文章分类
介绍
计划在未来扩展其运营、活动和流程的组织必须依靠数字化转型来确保其存在。旧的工业制造时代正被新的信息时代迅速取代,知识创造、服务提供和信息价值都得到了极大的发展。目前,廉价的互联网连接、方便的信息访问和低存储成本的出现促进了这一发展,加速了这一数字转型。另一方面,物联网(IoT)设备等技术进步对用户来说变得更加经济实惠。
信息被高度追捧,这主要取决于信息所具有的内在价值。组织可以通过直接针对客户利益的成功市场广告,为客户提供高度个性化的产品和服务。然而,使用客户数据的组织有时可能容易受到网络罪犯和其他威胁源的攻击,这些威胁源经常以这些组织为目标,以提取个人身份信息。如果成功,网络犯罪分子和其他威胁来源利用组织的客户数据的原因包括身份盗窃和财务欺诈;事实证明,这种现象很难控制。因此,信息成为许多实体滥用的主要目标,但也使服务和产品高度可定制,以满足每个客户的特定需求,这使得在好的产品或服务与隐私之间达成平衡成为一项挑战。
在现代计算机时代,隐私是(或最近被强调为)一个相当开放的社会的必要条件。因此,正在采取措施,这反映在全世界执行专门的法律和条例。
NOYB(None Of Your Business)等非营利性组织不断指出立法中的缺陷,这些缺陷使得组织在处理个人身份信息(PII)和遵守一般数据保护条例(GDPR)方面逃避责任。
隐私并不意味着保密。私人事务是某人不想与全世界分享的事情;相反,秘密是一些人不想让其他人知道的事情。隐私是通过选择和意愿向世界展示自己的能力和力量。在开放的社会中,使用强大的加密技术,如Pretty Good Privacy(PGP)、假名化、数据匿名化以及其他技术和组织措施,可以保护个人隐私。
有几个令人信服的原因导致GDPR和其他数据隐私法的制定和颁布。许多研究声称,仅仅知道人们在社交媒体上被观察到的事实可能会改变他们的行为,更不用说知道有一个权威在观察他们的每一个举动。因此,以这种方式作出的决定不是一个人自己机构的副产品,而是其他人对他们的期望。这会导致用户表现出更为循规蹈矩和顺从的行为,从而严重减少了行为选项的范围。
考虑到GDPR是关于居住在欧盟(EU)和欧洲经济区(EEA)的所有个人的数据保护和隐私的法规,欧盟和EEA以外的国家已经开始制定自己的数据保护法律。作为对这一市场需求的回应,国际标准化组织(ISO)与国际电工委员会(IEC)合作,已决定制定标准,提供适用于任何组织的隐私指导,无论其经营规模、类型或国家。关于这一问题,他们正在制定的最新标准是ISO/IEC 27701——安全技术——对ISO/IEC 270 01和ISO/IEC 27 002隐私信息管理的扩展——要求和指南。
什么是ISO/IEC 27701?
ISO/IEC 27701规定了建立、维护和持续改进隐私信息管理系统(PIMS)的要求,并提供了指导,作为基于ISO/IEC 2.7001要求和ISO/IEC 27.02指南的ISMS实施的扩展。
该标准可用于PII控制者和PII处理者。PII保护的附加要求和指南适用于任何组织,无论组织的规模和文化环境如何,都可以采用。
ISO/IEC 27701提供了将本标准映射到ISO/IEC 29100中定义的隐私框架和原则的信息。此外,它还包括映射到ISO/IEC 27018、ISO/IEC 29.151和GDPR。
PII控制者和处理者
ISO/IEC 27701设计用于所有PII控制者,包括联合PII控制者和所有PII处理者,包括分包的PII处理者和分包给PII处理者的分包商。
在ISO/IEC 29100标准中,个人识别信息PII被定义为“可用于识别与该信息相关的PII负责人的任何信息,或与PII负责人为直接或间接关联的任何信息。“PII控制人被定义为“确定处理个人身份信息(PII)的目的和方法的隐私利益相关者,而非出于个人目的使用数据的自然人。”PII控制人定义了PII处理的“原因”和“方式”。此外,他们有责任根据相关司法管辖区实施隐私和安全控制。
当有多个PII控制者时,他们应共同努力确保在PII处理过程中遵守隐私原则,这称为联合PII控制者。共同PII控制人由GDPR共同承担责任。
ISO/IEC 29100标准将PII处理者定义为“代表PII控制者并按照其指令处理个人身份信息(PII)的隐私利益相关者”。PII处理者根据PII控制者的指令行事并实施隐私控制。与PII控制者相比,PII处理者通常承担较少的法律义务,因为处理的责任仍在PII控制者内部。然而,如第28条所述,GDPR对控制者和处理者之间的关系规定了严格的要求。PII处理者通常是公司外部的第三方。例如,云计算提供商通常是PII处理者,外部公司也是如此,他们可以访问IT系统进行维护。
在合同或其他法律行为中处理PII之前,必须规定PII处理者对控制者的职责。合同必须说明一旦合同终止PII会发生什么。尽管如此,在某些情况下,一个实体除了是PII控制者外,还可以是PII处理者。
ISO/IEC 27701的结构
ISO/IEC 27701是ISO/IEC 270 01和ISO/IEC 27 002的扩展。它通过提供额外的PIMS特定要求(见表1),扩展了ISO/IEC 2 700 1:2013要求和ISO/ICE 2 700 2:2013指南。由于其主要目标是增强现有的ISMS,因此“信息安全”一词被“信息安全和隐私”一词取代
表1:ISO/IEC DIS 27701条款
第5条介绍了与ISO/IEC 27001相关的PIMS特定要求,适用于充当PII控制者或PII处理者的组织。第5条的要求是强制性的;这意味着该组织不能以其他方式声称符合ISO/IEC 27701。
然而,有时附件A和B中所列的一些控制因其独特性质而不适用于组织。因此,它们可能被排除在PIMS实施中。与ISO/IEC 27001类似,适用性声明中应包含排除实施任何控制的理由。
第6条介绍了ISO/IEC 27002中与信息安全控制相关的PIMS特定指南,该指南同样适用于作为PII控制者或PII处理者的组织。
第7条给出了PII控制者的PIMS特定指南,而本标准第8条给出了针对PII处理者的PIMS具体指南。两者的组织和结构都类似。
本标准附录A和B提供了有关PIMS特定参考控制目标和PII控制者和处理者控制的信息和指南。附录C、D和E提供了有关根据GDPR和其他ISO/IEC标准映射本标准的信息和指南。附录F说明了本标准中使用的术语和特定司法管辖区中使用的替代术语,而附录G给出了如何将ISO/IEC 27701应用于ISO/IEC 2.7001和ISO/IEC 27.02要求和指南的指南。
为什么选择ISO/IEC 27701?
个人信息无处不在,并且呈指数级增长。每天,各种类型的组织都在以多种形式收集、处理、存储和传输信息。
参与这一过程的组织经历了一种竞争的氛围,应意识到承认和接受责任的必要性,并对有效处理PII负责。因此,组织应寻求ISO/IEC 27701认证的主要原因之一是遵守GDPR,并且在客户和供应商审计方面成本更低。
ISO/IEC 27701提供了组织应如何管理和处理数据以保护隐私和个人身份信息的信息。该标准改进了ISMS,有助于准确处理PIMS。本标准草案的框架是建立、实施、维护和改进隐私信息管理系统的指南。它有助于组织了解实施有效的PII管理所涉及的实际方法。因此,遵守ISO/IEC 27701可以使您的组织评估、处理和降低个人信息的风险。
考虑到实施ISMS的优势以及近年来对隐私需求的增加,基于ISO/IEC 27701的PIMS的实施应该在商业市场上提供竞争优势,并提高组织的声誉。此外,它还可能影响客户满意度,增加客户对组织的信任程度。通过ISO/IEC 27701认证可能会让客户确信他们的个人身份信息是安全的,并用于最初收集的主要目的。这可能增加组织过程和程序的透明度,从而维护对客户和组织相关方的诚信。
ISO/IEC 27701与其他ISO标准之间的关系
ISO/IEC 27000系列标准专门用于信息安全。有三个要求标准,ISO/IEC 27001信息安全管理系统-要求,ISO/IEC27006信息安全管理体系审核和认证机构要求,以及ISO/IEC2.7009 ISO/IEC 2.7001-要求的行业特定应用。在此列表中,ISO/IEC 27001是唯一一个可以获得认证的组织。所有其他标准都是指导性标准,如ISO/IEC 27002信息安全控制实施规程、ISO/IEC 2.7005信息安全风险管理或ISO/IEC 270 32网络安全指南。同样,努力通过ISO/IEC 27701认证的组织也需要通过ISO/IEC27001认证。
ISO/IEC 29100提供了适用于任何需要PII处理的系统或服务的隐私框架。本标准的一般隐私原则与PII控制者和处理者的控制有关,ISO/IEC 27701标准的附录D对此进行了说明。
ISO/IEC 27018基于ISO/IEC 2.7002,为作为PII处理者的公共云中的PII保护提供了指导。其指南适用于担任PII控制员的组织。ISO/IEC 29151规定了基于ISO/IEC 27002的PII处理要求指南。本标准适用于担任PII控制者的组织。
附录E说明了ISO/IEC 27701与这些标准的映射;然而,这种联系并不意味着等价。
ISO/IEC 27701和GDPR之间的关系
二十多年前,欧盟决定,最好在其成员国内调整数据保护标准,以促进欧盟内部、跨境数据传输。为此,1995年,欧盟通过了《数据保护指令》。
然而,由于技术的快速进步、全球化以及在整个欧盟的数据保护实施过程中未能防止碎片化,数据保护指令未能达到预期。因此,欧盟决定采用GDPR,其目的最好在以下句子中描述,如条例前言2所述:
“本条例旨在促进实现自由、安全和正义领域和经济联盟,促进经济和社会进步,加强和融合国内市场内的经济,并促进自然人的福祉。”
通过GDPR,欧盟旨在在处理个人数据方面重新赢得人们的信任,并在整个欧盟内部市场推动数字经济。
GDPR分为两大部分:引言和文章。这些条款规定了条例范围内的实体必须遵守的具体要求。第5至49条(第43条除外)均与ISO/IEC 27701要求有关,如本标准附录C所示。第43条,GDPR的认证机构不受相关ISO/IEC 27701要求的约束,因为它仅用于根据GDPR认证机构的认证。
符合ISO/IEC 27701标准的控制要求是满足GDPR要求的证据。在某些情况下,多个控制涵盖特定要求,而其他情况下,一个控制涵盖多个GDPR要求。例如,ISO/IEC 27701的6.13.1.1和6.13.1.5控制与GDPR第33条的映射。这些控制措施为信息安全事件的管理提供了指导,而第33条规定了向监管机构通知个人数据泄露的要求。
这两者通过所有措施联系在一起,但不包括通知数据主体和隐私监管机构所需的时间框架,根据法律规定,该时间框架为72小时。此示例表明,遵守ISO/IEC 27701标准将同时帮助组织证明符合GDPR要求。一般来说,该标准没有给出为符合控制目标和控制而应采取的措施的具体细节,将决策权留给实施者。
此外,GDPR和ISO/IEC 27701草案都使用了不同的术语。GDPR使用术语“个人数据”,而ISO/IEC 27701使用术语“可识别个人信息(PII)”。此外,GDPR的术语“数据主体”在ISO/IEC 77001中被术语“PII负责人”取代。相应地,GDPR的术语“数据控制者”和“数据处理者”替换为ISO/IEC 27701中的术语“PII控制者”和”PII处理者“。
结论
拥有完善的隐私规范将使人们有信心以公正的方式表达自己的观点、想象力和异议,而不受社会影响。一个不断受到监控的社会是一个言论和思想自由从根本上受到损害的社会。
“所有人都有三种生活:公开、私人和秘密。”―加布里埃尔·加西亚·马尔克斯
保护个人身份信息是一项基本人权。随着服务的全球化和个性化,个人数据的处理也在增长。因此,有必要制定关于个人身份信息管理的安全技术准则。
ISO/IEC 27701是与ISO/IEC 270 01和ISO/IEC 27 002相关的行业特定标准。符合此标准需要PII处理方面的证据。此外,这些要求与组织的规模和文化环境无关。通过ISO/IEC 27701认证的组织将有一种更简单的方式来证明其符合GDPR,从而间接地为数字领域中隐私被视为人权的未来做出贡献。
培训课程和认证
PECB将根据即将出台的ISO/IEC 27701标准,为人员认证计划制定培训指南。个人认证不仅可以作为专业能力的证明,还可以证明个人已参加培训课程并成功完成认证考试。该证书还证明,认证专业人员具备掌握信息安全组合下隐私和数据保护特定法规和标准的技能。
PECB培训课程通过授权培训提供商网络在全球范围内提供;它们有多种语言版本,包括以下培训课程:简介、基础、主要实施者和主要审核员。知道ISO/IEC 27701是ISO/IEC 270 01和ISO/IEC 27 002的扩展,值得一提的是,PECB已经为ISO/IEC 2 700 1和ISO/ICE 2 700 2创建了认证方案。ISO/IEC 7 700 1培训课程提供了关于如何建立、实施、管理、维护、,审计信息安全管理系统(ISMS)以及ISO/IEC 27002关于如何实施信息安全控制和信息安全管理实践的培训课程。
尽管认证过程不需要特定的培训课程或学习课程,但完成公认的PECB培训课程或研究课程将大大提高通过PECB认证考试的机会,因为它是基于PECB的培训课程材料。
- 登录 发表评论