ISO27701隐私信息管理

产品介绍

ISO/IEC 27701标准的发布，填补了目前隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。
一、 隐私保护的重要性被不断强调，ISO/IEC 27701标准也随之出台
威胁重重，数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。
如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR)；美国的 《California Consumer Privacy Act》(CCPA)等。
为了应对越来越多的个人数据泄露或滥用的情况，国际范围迎来了隐私保护立法和建立标准热潮。
1. GDPR
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》)，是一项保护欧盟公民个人隐私和数据的法律，其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. CCPA
美国已有多个州先在数据安全与隐私保护进行了立法，其中最著名的要数2018年6月加州通过《加州消费者隐私法案》（ 《California Consumer Privacy Act》, 简称《CCPA》）。该法案被称为美国“最严厉和最全面的个人隐私保护法案”，将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》（通常简称《网安法》）。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律，包含的内容十分丰富，一共包括7章79条，包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是，《网安法》在数据（包括个人信息）安全与保护上也有诸多规定，例如第四十至四十五条。
ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立了ISO 27701标准。
二、ISO/IEC 27701标准介绍
1. 关键术语解释
PII：个人可识别身份信息，指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息
PIMS：Privacy Information Management System，隐私信息管理体系
Customer：
PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者
PII处理者的customer：与PII处理者有合约关系的PII控制者
与PII处理的分包商有合约关系的PII处理者
2.  ISO 27701与各标准之间的关系
a)  ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。
e)  ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。
三、ISO/IEC 27701标准重点解读
ISO 27701嵌套在ISO 27000系列中，并要求符合ISO 27001标准。ISO 27701扩展了ISO 27001的要求，在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上，着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展，除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。
ISO 27701 5.4规划中指出，组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险；组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险；组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况，对信息安全和隐私保护进行统一流程的综合评估，也可以根据实际需要采用独立的流程进行分别评估。
ISO 27002 6.3信息安全组织中指出，组织应指定一个联系人处理客户的相关PII事务；当组织是PII控制者时，需为PII主体指定PII联系人负责相关流程；同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员，以确保处理PII相关事务时的合规性。负责人应酌情考虑a) 独立并直接向组织的适当管理层报告，以确保有效管理隐私风险；b) 参与管理与处理PII有关的所有问题；c) 成为数据保护立法，监管和实践方面的专家；d) 充当监管机构的联络点；e) 告知顶级管理层和组织员工在处理PII方面的义务；f) 就组织进行的隐私影响评估提供建议。要求组织需要根据自身角色配置响应的PII管理专职人员。
ISO 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导，包括收集和处理PII的条件等控制域。增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围，目的是使组织可以根据适用的司法管辖区的法律依据，以明确定义的、合法目的，确定并记录PII处理是合法的，且具有法律依据。标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估，通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上，开展对收集与处理PII的条件相关的管理建设。
ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充，使企业建立PIMS，实现有效的隐私管理，从而使企业获益。
四、ISO/IEC 27701认证收益
ISO/IEC 27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益：
1）合规。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。满足了 ISO27701 标准也就意味着基本满足 GDPR 的要求，而 GDPR 是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。
2）完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险，如：体现为采用隐私控制技术（如日志脱敏、数据库加密）、产品架构（如加密芯片）、技术路径（如完整性校验）等。
3）PIMS认证可以传递信任。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据（如PIA分析报告），从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。