【隐私标准】ISO 29100组织如何保护其隐私网络？

cioctocdo

24 October 2022

SEO Title

ISO 29100 How Can Organizations Secure Its Privacy Network?

介绍

在过去的几年中，由于涉及个人识别信息（PII）的许多信息安全事件影响到个人和组织，我们目睹了巨大的创纪录损失。各种事件的一些例子涉及法律责任、身份盗窃和恢复成本。因此，各组织应实施一项国际信息安全标准，该标准为如何保护其隐私网络和PII提供了指导，以适应处理PII的信息和通信技术（ICT）使用的增加。

为了应对大公司、小公司和名人不断发生的与隐私相关的事件，2011年，ISO开发了ISO/IEC 29100隐私框架和ISO 29101隐私框架架构，以提供更高级别的框架，用信息和通信技术系统保护个人可识别信息PII。组织可以使用这些标准来设计、实施、运营和维护其ICT系统，从而通过行业最佳实践保护个人信息和改善组织的隐私计划。

PII是任何可用于唯一识别、联系或定位个人的信息，或可与其他来源一起用于唯一识别个人的信息。

PII示例包括：

名字和姓氏
位置信息
信用卡号码
年龄
犯罪记录

关于ISO/IEC 29100

ISO/IEC 29100旨在供参与设计、开发、采购、架构设计、测试、维护和操作信息和通信技术系统的人员和组织使用，其中PII的运行需要隐私控制。

本隐私框架的开发目的是帮助组织定义其通过以下属性涉及的所有信息的隐私保护要求：

通过指定公共隐私术语；
通过定义参与者及其在处理PII中的角色；
通过描述隐私保护注意事项；和
通过为IT提供已知隐私原则的参考。

尽管有几个与安全相关的现有标准，例如（ISO 27001、ISO 27002和ISO 27018等），ISO/IEC 29100更关注PII的处理。

信息和通信技术系统的复杂性不断增加，使得各组织难以确保其隐私受到保护，而随着个人信息基础设施的大量商业使用，如今更难遵守各种适用法律。

因此，ISO/IEC 29100标准有11项实质性隐私原则（如下图所示），这些原则的制定考虑了适用的法律和法规、合同、商业和其他相关因素。所有这些原则都是由全世界许多国家、国家和不同国际组织制定的。

Eleven-substantive-privacy-principles-of-ISO-IEC-29100

除了这些原则可用于指导、设计、开发和实施隐私政策和控制之外，它们还可作为监督和测量组织中隐私管理计划的绩效基准和审计方面的参考点。

此外，包含ISO/IEC 29100隐私框架的基本要素如下图所示，该图摘自2007年瑞士卢塞恩ISO/IEC/FIDIS/ITU-T身份管理标准联合研讨会的WG5。此外，该图显示PII提供者和PII接收者被识别为参与者。PII提供者可以是信息通信技术系统的用户、数据所有者或订户，而应用程序提供者或管理员称为PII接收者。隐私首选项由PII提供商设置，同时在信息生命周期中应用保护控制，包括信息的收集、存储、使用、传输和删除。

privacy framework

为什么保护PII很重要？

个人可识别信息可能包括仅用于受限用途的非常机密的数据。他们的保护对于主要目的至关重要，即不披露信息可能会导致许多后果（见下一节）。组织保护其PII的主要原因如下：

保护PII负责人的隐私
满足法律和法规要求
履行企业责任
提高消费者的可信度，以及
减少安全漏洞的数量

Ponemon Institute报告称：“43%的公司在去年经历了数据泄露，比一年前增长了10%。”

不保护PII的后果

此外，如果不认真考虑保护PII，许多组织可能会遇到会导致巨大成本的问题。当安全漏洞发生时，不仅信息会受到损害，而且还会造成多米诺效应，在这种情况下，您的客户或客户的客户可能会受到损害。这种破坏链将给组织带来许多意想不到的问题，如罚款和法庭审判、利益相关者不满、灾难恢复成本的大幅增加，以及最后但并非最不重要的声誉损害。以下仅列出了各组织最近发生的几起事件：

2014索尼图片娱乐黑客

2014年11月，包括员工信息、内部电子邮件、高管薪酬、未发行电影拷贝等在内的机密信息被曝光。据信，这次网络黑客已使索尼影业损失约1500万美元的损失。此外，信息的泄露（尤其是员工之间的电子邮件）导致了许多知名名人之间的混乱，大量法庭审判被判刑。

2014年家得宝数据泄露

2014年9月，黑客侵入了一个已安装的支付系统，导致5300万客户电子邮件被盗，5600万客户信用卡账户被盗。据信，这一事件已使该公司花费3400万美元来克服这种情况。

2012年道明银行数据泄露

2012年3月，道明银行遭遇数据泄露，账户信息、社会保障号码等多达260000名客户的个人信息被泄露，导致625000美元的结算。

拥有隐私框架有什么好处？

实施和维护基于ISO/IEC 29100标准的隐私框架，对处理个人身份信息的每个组织和个人都有重要好处，例如：

它是首选的其他隐私标准化举措的基础，例如技术参考架构、特定隐私技术的使用、总体隐私管理、确保外包数据流程的隐私合规性、隐私影响评估和工程术语、，
它定义了与所有个人可识别信息和通信系统相关的隐私保护要求，
它适用于广泛的范围，并设置了通用的隐私术语，在处理PII时定义了隐私原则，对隐私特征进行分类，并将所有描述的隐私方面与现有的安全指南相关联，
它与已经广泛实施到实践中的现有安全标准密切相关，
它着眼于组织、技术、程序和监管方面，并在高级别上处理系统特定事项，以及
它提供了有关信息和通信系统要求的指导，以处理个人身份信息，从而在国际一级保护人们的隐私。

为什么要使用ISO/IEC 29100？

ISO/IEC 29100隐私框架是国际通用的其他相关标准的基础。换言之，本标准通过设置共同的隐私术语和原则，将组织、技术、程序和监管事项考虑在内。它还列出了需要结合安全指南维护的隐私功能。

此外，隐私框架将有助于改善隐私，帮助维护良好治理，降低与安全相关的间接成本，并作为良好的营销战略，以提高您在国际知名ISO标准下的可信度。

这些只是每个组织都应该高度重视拥有经过信息安全认证的安全专家的原因之一，这些专家拥有适当的知识和经验，能够将数据安全与公司的目标联系起来，同时还要遵守法律和法规要求。

为什么PECB是一个值得选择的选择？

使用IMS2方法实现隐私框架

考虑到实施基于ISO/IEC 29100的隐私框架的有充分记录的好处，使得该提案更容易决定。

大多数公司现在意识到，仅仅实施一个通用的、“一刀切”的隐私框架是不够的。为了做出有效的回应，在维护隐私框架方面，必须定制适合公司的框架。更困难的任务是编译一个隐私框架，以平衡标准的要求、业务需求和认证截止日期。

实施ISO/IEC 29100并没有适用于每个公司的单一蓝图，但有一些常见的步骤可以帮助您平衡频繁冲突的要求，为成功的认证审核做好准备。

PECB已制定了实施隐私框架的方法（请参见下面的示例）；“管理系统和标准的综合实施方法（IMS2）”，该方法以适用的最佳实践为基础。该方法基于ISO标准的指导原则，并符合ISO/IEC 29100的要求。

Methodology-for-implementing-a-Privacy-Framework IMS2基于PDCA循环，该循环分为四个阶段：计划、执行、检查和行动。每个阶段具有2至8个步骤，总共21个步骤。这些步骤又分为101项活动和任务。本“实践指南”考虑了从起点到终点的实施项目的关键阶段，并为每一个阶段提出了适当的“最佳实践”，同时指导您在开始ISO/IEC 29100之旅时获得更多有用的资源。