- 引言
隐私暴露,大数据营销杀熟、骚扰信息不断……越来越多的数据泄露与威胁影响全球人类的安宁生活。在此背景下,各个国家、地区纷纷出台相关法律法规,对数据安全与隐私保护相关问题进行严格规范与引导。目前常见的有中国的个人信息保护法、欧盟的GDPR(General Data Protection Regulation)、美国加州的CCPA(California Consumer Privacy Act)等。现阶段,或者以后,隐私保护的重要性将不断强调、不断加强,这不仅仅关系个人,更关系到社会。
- ISO27701是什么?
ISO 27001全称《ISO/IEC 27701,安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南》。ISO 27001是以ISO 27001为基准,以ISO 27552为蓝本,建立了ISO/IEC 27701标准。ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系,为保护个人隐私提供指导。ISO/IEC 27701规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求,是保护个人信息的管理体系(PIMS:Privacy Information Management System)。
- ISO27701组成?
ISO/IEC 27701全文分为8个章节及6个附录,主要的要求和指导内容集中在第5-8章。
其中:条款1-4,给出了标准的范围,术语、定义等。
第5章介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及对PIMS的附加要求。
第6章则介绍了ISO 27002中对PIMS的扩展及附加要求。
第5章与第6章的内容对PII控制者和处理者均适用,行文结构和控制域与原标准一致,包含ISO 27002共14个控制域、114个控制项。
第7章为专门针对PII控制者的额外指导内容,共31个控制项。
第8章则为针对PII处理者的额外指导内容,共18个控制项。
第7章与第8章均从PII的收集和处理,对PII主体的义务,Privacy by design & Privacy by default,PII的共享、传输和披露四个方面作出相应规定。
总体而言,标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章分别针对PII控制者和处理者的控制要求。
附录A是针对PII控制者的PIMS特定的控制目标和控制措施。
附录B是针对PII处理者的PIMS特定的控制目标和控制措施。
附录C给出了标准与ISO/IEC 29100的映射。
附录D是与GDPR的映射。
附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。
附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。
- ISO 27701与各标准之间的关系
与各标准间的关系:
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
- ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002,ISO 27701在原有ISMS的流程基础上,着重考虑了对于企业所持有PII(个人可识别身份信息,指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息)的隐私保护,ISO 27701嵌套在ISO 27000系列中,并要求符合ISO 27001标准,对ISO 27002实施指南中的隐私性进行了解释和扩展,从PII控制者和PII处理者的角度,补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design 、privacy by default以及PII共享、转移和披露的相关要求。
在应用ISO 27701标准时,除了将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”外,在组织环境与规划方面增加了特定的PIMS的要求补充。
ISO 27002 共14个控制域,每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后,除了“业务连续性管理的信息安全方面”的控制域,ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充,但控制措施均延续ISO 27002的控制措施(仅将“信息安全”替换为“信息安全和隐私”)。
6. ISO 27701 VS GDPR
ISO 27701是通用性的国际标准,部分要求通用性的提出应当遵守本地法律法规,无具体规定;GDPR是欧盟经济体范围内的法规要求,有相对具体的规定。ISO 27701 与GDPR在属地、定义、范围覆盖等要求均不同。一个是标准、一个是法规,不能认为通过ISO 27701认证就可以作为表明完全符合GDPR。
如:对于儿童个人数据收集方面的规定,GDPR要求有年龄界定及处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,ISO 27701要求组织应考虑此类要求并记录同意的机制如何满足这些要求;在向监管机构报告个人数据泄露时,GDPR要求,数据控制者应当自发现之时起72小时内,按照规定将个人数据泄露的情况报告监管机构,ISO 27701要求组织应确保他们能够证明遵守司法辖区规定的法规;GDPR要求,Article 35 数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景,Article 36 事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询,ISO 27701无此要求。
- ISO 27701 VS ISO 29151
ISO 27701基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念,对个人可识别信息控制者和个人可识别信息处理者进行规范和指导。
ISO/IEC29151是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息相关的风险和满足影响评估所确定的要求。可以说ISO 27701和ISO 29151都是ISO 29100的细化体现,ISO 27701满足了ISO 29151的要求,并且从体系角度给予了充分的展示与要求。
- ISO/IEC 27701实践意义
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有效的隐私管理,从而使企业获益。作为一个国际通用的隐私信息管理工具,能够有效的协助企业对对隐私风险进行识别、分析,采取措施将风险降到可接受水平,建立隐私保护体系,从管理与技术等方面出发,使组织满足监管合规要求。同时,隐私信息管理体系的建设,一定程度上也是企业隐私保护能力的一种体现,能够增强企业与消费者、合作伙伴甚至是监管部门的相互信任。
- ISO/IEC 27701详细导图
如下为ISO/IEC 27701详细导图供参考。