采用ISO/IEC 27001国际标准建立信息安全管理系统（ISMS）比采用单一国家或特定行业标准更具公信力，并可获得世界各国认可已是不争的事实；惟ISO国际组织最新推动的一系列的个资保护与管理国际标准，尚未被大众所熟知。本文将说明如何应用ISO国际标准来推动个资保护与管理，实作隐私冲击评鉴方法，进而实施国际间广泛认可的个资管理系统验证。当您的组织已使用其它（国家）个资管理标准且面临转版抉择时，ISO个资管理标准将是您的不二选择。

隐私保护与管理的ISO国际标准发展

ISO在2011年发展出ISO 29100隐私权框架，并陆续发展出ISO 29191部分匿名及部分去连接鉴别之要求事项、ISO 29101隐私权构架框架（Privacy architecture framework），并于2017年发展出全球首个适用于一般组织的隐私冲击评鉴的国际标准「ISO 29134：隐私冲击评鉴指引（Guidelines for privacy impact assessment）」，以及适用于所有类型组织的个资保护控制措施的国际标准「ISO 29151：个人可识别信息保护实务（Code of practice for personally identifiable information protection）」，前述标准均可进行特定领域（sector-Specific）的延伸验证。目前仍持续发展相关国际标准，如：ISO 27552 Enhancement to ISO/IEC 27001 for privacy management–Requirements就是因应国际间的个资管理需求（如：欧盟GDPR）而生的。（如图一）

图一：ISO国际组织推动的个资保护与管理国际标准

隐私管理系统

为利于各类型组织将个资保护与管理与资安管理整合，ISO国际组织建议以ISO 27001及ISO 29100为基础，建立个资管理系统（PIMS），可共同使用单一管理系统，信息安全风险的识别与管理采用ISO 27005（与ISO 31000相校准）、个资（隐私）风险评鉴则加入ISO29134隐私冲击评鉴指引、风险处理选用ISO 27002（信息安全）及ISO 29151（个资保护）的控制措施与实作指引，以符合组织的风险接受准则。若组织有特别的考察，ISMS与PIMS仍可个别存在运行，但可使用共同的方法并相互连接。

隐私管理系统之验证机制

个资管理系统之验证机制，是以ISO 27001延伸验证的方式实施，ISO 27001延伸验证除了补强原先ISO 27001+ISO27002的不足外，亦可有效加强组织对于信息安全实作的深度及广度。ISO 27001延伸验证依据ISO 27009 Sector-specific application of ISO/IEC 27001-Requirements特定领域应用ISO/IEC 27001的要求，个资管理系统之验证即为个资的特定领域PIMS-Specific的延伸验证。

ISO/CNS 27001:2013标准附录A中，其各项控制目标及控制措施并未尽列出，可能需要额外之控制目标及控制措施。对此，ISO标准已识别出个资保护的控制措施，以ISO 29151对应个资风险；ISO 27006:2015信息安全管理系统验证机构认证规范中也揭示经鉴别适用之特定标准，亦可列入验证文件，显示出ISO对于以ISO27001为基础的特定领域延伸验证（依据ISO27009）有着完整的布局。

其他ISO 27001延伸验证机制

除了个资保护ISO 29151采用ISO 27001延伸验证机制的方式实施外，还有很多其它特定领域的安全管理也采用类似的方式（如图二）。

图二：ISO 27001延伸验证机制

目前国际各大企业Microsoft、Amazon、Dropbox、IBM、Google及百度…等，均已采用ISO 27001+ISO 27018的个资保护延伸验证。

如何从ISMS到PIMS

对于已经熟悉ISMS/ISO27001的组织而言，建立以ISO标准为依据的PIMS是最有效率的选择。目前尚无建立ISMS的组织，可以选择同时建立ISMS与PIMS并通过验证。ISMS与PIMS的验证相关标准列举如下，各标准的交互关系如图三。

ISMS:

－Information Security Management System

－信息安全管理系统

－验证标准：ISO/CNS27001

PIMS:

－Privacy Information Management System

－个资管理系统

－验证标准：ISO29151 & ISO/CNS27018（适用于对外服务）

including ISO29134 and based on ISO/CNS27001、ISO 27009与ISO/CNS29100

图三：从ISMS到PIMS

各行业以往在展现对个资法及施行细则（如第12条）遵循时，在没有适用的ISO国际标准情况下，会退而求其次采用德国或英国标准，但能否符合我国个资法及施行细则要求，或与其他国家互通，是有争议的。

个资保护与管理的ISO国际标准可应用在个资法及施行细则的法规遵循展现，政府与民间机构应共同为信息安全与个资保护把关。欧盟除了采用ISO29134做为GDPR DPIA数据保护冲击评鉴的标准外，亦已确认发展中的ISO 27552做为个资管理系统的标准，并鼓励以认验证机制（Article 40~43）来展现GDPR的合规性，包含德国（DIN）、英国（BSI）与法国（个资保护监管机构CNIL）都积极的推动。

无论是现阶段ISO 27001+ISO 29151+ISO 27018或是正在推动的ISO 27001+ISO 27552的PIMS，以及因应欧盟GDPR DPIA的要求，都是以实施隐私冲击评鉴（privacy impact assessment）为基础工作，以ISO 29134：隐私冲击评鉴指引（Guidelines for privacy impact assessment）」，在组织内建立ISO标准为基础的隐私冲击评鉴方法，除了可以与现有的制度接轨外，亦有助于建立以ISO标准为基础的PIMS，使我国在推动相关业务时，增进与各国间互认与接轨的基础，也是巩固既有制度并兼顾组织永续发展。

本文：https://cioctocdo.com/brief-talk-latest-international-standard-pims-sta…