ISO/IEC27701:2019标准隐私信息管理体系认证介绍:
伴随着信息技术的不断发展,人们越来越重视网络信息安全。世界上许多国家和地区都出台了一系列个人隐私保护法律法规,如欧盟GDPR、中国互联网安全法和香港私人信息条例。目前,几乎所有组织都处理了个人信息(PII)。
2019年8月6日,国际标准化组织(ISO)和国际电工委员会(IEC)正式发布ISO/IEC27701私人信息信息系统规范。这表明网络信息安全、私人信息和个人信息保护在国际法律法规中显示出一致的标准。
ISO/IEC27701是ISO/IEC27001和ISO/IEC27002在管理工作方面的拓展,希望通过新的需求提升已有的网络信息安全智能管理系统(ISMS),进而创建、执行、日常维护持续改善私人信息信息系统(PIMS)。本规范简述了主要用于个人鉴别信息内容(PII)控制板和PIICpu的私人信息操纵风险管理框架,以尽可能减少私人信息的各类风险性。
1.关键术语解释
PII:个人可鉴别信息内容,指a)可鉴别PII行为主体一切信息或b)与PII行为主体直接和间接相关的内容
PIMS:私人信息信息系统
2.ISO27701构造成分
ISO27701是ISO27001和ISO27002在私人信息等方面的拓展。伴随着ISO27001和ISO27002,ISO27701还提供了个人隐私保护的其他手册。全篇主要分为8章和6个附则。关键要求及具体指导都集中在第5-8章。
第5章介绍了ISO27001中的PIMS拓展明文规定及其本规范对PIMS的附加明文规定。第6章叙述了PIMS拓展和ISO27002的附加明文规定。这两章内容主要用于PII控制板和CPU。构造与控制域与原始规范一致,包括ISO27002中的14个操纵域和114个操纵项。
第7章是PII控制板的附加手册,共有31个控件,第8章是PICpu的附加手册(共有18个控件)。这两章对PII的收集和解决、PII行为主体的责任义务、设计方案私人信息和默认私人信息及其PII的共享、传送和公布进行了相对应明文规定。
通常,本规范通过ISO27001中的PDCA及其第5章和第6章将ISO27002和其他PIMS操纵项目引入系统,以形成完整的信息内容安全和隐私智能管理系统。此外,第7章和第8章分别从数据生命周期的角度增加了PII控制板和Cpu的控制明文规定。
ISO27701拓展了ISO27001的需求,在原有ISMS流程的管理、执行、运行、监控、审核和持续改善的基础上,密切关注公司拥有PI的个人隐私保护。同时,ISO27701解释并拓展了ISO27002实施指南中的私人信息。
PII私人信息实施指南已添加到除业务连续性以外的全部操纵域。从PII控制板和PIICpu的角度来看,ISO27701补充了收集和解决PII的条件、PII行为主体个人隐私保护义务、设计方案私人信息和默认私人信息,及其PII共享、传送和公布的相关规定。
伴随着数据时代的来临,数据信息处理越来越普及。对于PII解决,人们在享受智能化所带来的诸多便利的前提下,也面临着PII智能化带来的损失。
作为一种国际通用的隐私数据可视化工具,PIMS可以有效的帮助企业市场营销与分析私人信息风险性,采取措施将降低风险到可以接受的水准并维持这一水准,并在管理和技术方面创建个人隐私保护体系,让企业可以满足中国与国际监管合规明文规定。同时,私人信息信息系统的建设在很大程度上也是公司个人隐私保护能力的体现,可以增强公司与消费者、战略合作伙伴乃至监管部门相互之间的相互信任。
高科技和大数据的广泛应用已成为当今时代的背景,人们在享受日趋便利的生活的同时,也受到个人隐私信息广泛泄露而带来的负面影响。隐私信息的保护开始受到各国的关注,全球多个国家和地区相继出台了一系列隐私保护的法律法规,例如欧盟的GDPR,中国的网络安全法,以及香港的个人隐私条例等。2019年8月ISO组织也正式发布了ISO/IEC 27701安全技术——扩展ISO 27001和ISO 27002的隐私信息管理体系要求和指南。
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展,全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。它是ISO标准委员会以ISO 27001为基准,以ISO 27552为蓝本,建立发布的隐私信息管理体系标准,为保护个人隐私提供指导。ISO/IEC 27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
ISO/IEC27018-2019标准公有云个人识别信息安全管理体系认证简介:
对于组织和消费者而言,云具有大量优势:比如节省成本、灵活性以及移动访问信息均深受青睐。但云同样也引发人们对数据保护和隐私方面的担忧,尤其是涉及个人可识别信息。在信息、数据、高科技爆炸的时代,隐私的保护比以往任何时候都更为重要。在此背景下,ISO(国际标准化组织)于2014年发布了一项新的标准ISO/IEC 27018 公有云中个人可识别信息保护管理体系(CPIISMS,又称“公有云个人信息保护管理体系”或“云隐私保护管理体系”)。那么,ISO/IEC 27018能够为企业提供什么?它又为何如此重要?超越检测技术中心给大家进行解读。
什么是ISO27018
ISO/IEC27018标准是首个专注于云中个人数据保护的国际行为准则,在体系结构上沿用了被广泛使用且备受重视的ISO/IEC 27002信息安全控制行为准则的框架,提供了适用于公共云个人身份信息 (PII) 的 ISO/IEC 27002 控制措施实施指导。ISO/IEC 27018对ISO/IEC27002的扩展体现在两个方面:
一是在原有的ISMS标准的附录A中114个控制条款延展了15%的要求,主要对在公有云中PII 的处理者保护PII 提出了额外的控制要求,并将控制要求更具体化;
二是根据ISO/IEC29100的11个隐私原则增加了11个ISO/IEC27018特定的PII保护附加控制条款。
扩展主要体现在以下几点:
1、在存储和任何可移动的物理介质中,对PII进行加密的要求;
2、一旦数据不再需要,在指定的时间内删除PII;
3、符合云服务协议中明文规定的目的时,才进行PII处理;
4、如法规所明文规定,在处理PII原则的权利问题上,可检查和纠正PII。
ISO/IEC27017-2015云服务信息安全管理体系认证介绍:
由于云服务所具备的灵活性、连续性以及可扩展性等诸多优势,越来越多的企业将其业务部署在云上,借助云服务来为客户提供更好的服务和体验。与此同时,云服务也带来了新的安全挑战。云服务商保障云服务客户信息安全,ISO27017云服务信息安全管理体系可以解决这些问题!
ISO/IEC 27017云服务信息安全管理体系(CSSMS)标准建立在ISO/IEC 27001信息安全管理体系标准框架和ISO/IEC 27002最佳实践控制措施的基础之上,提供与云环境相关和针对云服务的额外安全控制措施和指南。ISO/IEC 27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任,避免可能在服务过程中所产生的歧义,导致服务中断。通过ISO/IEC 27017标准认证,证明其遵守国际公认的最佳实践,在云和更广泛的运营层面构建组的生存力,可以有效地保护数据,降低数据泄露以及违反法律法规带来的风险和负面影响,增强客户对企业的信任。
ISO/IEC 27017标准与ISO/IEC 27001系列标准配合使用,为云服务提供商和云服务客户提供加强控制。与许多其他技术相关标准不同的是,ISO/IEC 27017标准阐明了双方在帮助确保云服务如同认证信息管理系统中所包含的其他数据那般安全可靠方面所扮演的角色和所承担的责任。ISO/IEC 27017标准不仅提供了ISO/IEC 27002标准中37个控制基于云端的指导方针,而且还介绍了7个全新云控制以解决以下问题:
负责云服务提供商和云客户之间关系的人是谁
当合同终止时,资产的移除/归还
客户虚拟环境的保护和分离
虚拟机配置
与云环境相关的管理操作和程序
云客户监控云中活动
虚拟和云网络环境的对接
ISO/IEC 27017标准适用于所有类型和规模大小的组织,无论是自建的云服务还是透过购买所获得的云服务,以及云服务提供商本身,皆可透过此标准的指引,强化所提供或者所使用的云服务的安全
扫一扫,联系我们
扫一扫,联系我们
