搭隐私信息安全保护伞,筑隐私信息安全防火墙
在互联网和大数据时代,许多业务的开展都离不开个人隐私信息的处理,隐私保护问题已然成为当前社会的一大关注焦点。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,并将于2021年11月1日起正式实行。
这意味着,保护个人身份信息 (PII) 不仅是社会共识,更已成为法律的强制要求,组织面临着来自客户、最终用户、投资者和政府监管所交付的多重责任。组织应如何管理个人可识别信息 (PII) 或个人数据,如何确保隐私合规,都成为摆在组织面前亟待解决的新问题和新挑战。
ISO/IEC 27701正是基于此需求而开发的一项国际管理体系标准,它是ISO 27001(信息安全管理体系)和ISO 27002(信息安全控制实践指南)在隐私信息管理的一个扩展标准。为组织在保护个人隐私信息方面提供指导。随着欧盟的GDPR和更多类似隐私数据保护法律法规的发布,全球范围内对隐私要求的合规需求正在增加。几乎每个组织都会处理个人可识别信息 (PII)。另外,处理的PII数量和类型也在不断增加,组织间相互合作处理PII的情况也在增多。在PII处理的背景下保护隐私是一项社会需求,也是全球范围内专项法律法规的主要议题。
ISO 27701隐私信息管理体系让组织能持续改善在数据保护方面的实践,同时也是对信息安全管理体系在个人信息保护方面的进一步深化,旨在个人数据利用与保护之间进行合理的平衡,降低组织运营与合规方面的风险。
2019年8月6日,国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC 27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现中有了一致性的标准。
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系以便建立、实施、维护和不断改进隐私信息管理体系,标准概述了适用于个人身份信息 (PII) 控制者和PIl处理者的框架,用于隐私控制管理,以降低个人隐私的各种风险。
ISO/IEC 27701适用于所有类型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。通过实施ISO/IEC 27701标准,能够使组织给他们的监管机构、合作伙伴、客户和雇员等带来更加有力的信任,为组织赢得更多的机遇。
○ 《ISO/IEC 27701安全技术ISO/IEC27001和ISO/IEC27002在隐私信息管理的扩展要求和指南》
○ 《ISO/IEC 27001信息技术安全技术信息安全管理体系要求》
○ 《ISO/IEC 27002信息技术安全技术信息安全控制实践指南》
○ 《ISO/IEC 27000信息技术安全技术信息安全管理体系总则和词汇》
○ 《ISO/IEC 29100信息技术安全技术隐私框架》
○ 《GB/T 35273信息安全技术个人信息安全规范》
○ 明确对PII控制者和处理者隐私保护要求,协助组织和对隐私风险进行识别、分析;
○ 明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险;
○ 确保组织高级管理层、组织所有者以及关键相关方的利益,满足隐私保护要求;
○ 向组织客户或合作伙伴传达隐私合规价值,从而使组织实现长期、持久的个人隐私安全合规化发展;
○ 基于国际标准统一框架可以降低合规沟通成本,向公众传达组织的可信度;
○ 使组织向他的管控组织、合作方、顾客和员工产生传达更强有力的信赖感,获得大量的机会。