ISO 三个体系认证之间的差异
2022-12-08
各国立法也非常关注隐私信息,如我国2021年11月1日实施《中华人民共和国个人信息保护法》,欧盟2018年5月25日实施《通用数据保护规范》(GDPR)等。隐私信息相关的安全标准被应用较广的有GB/T 35273-2020《信息安全技术 个人信息安全规范》、ISO/IEC 27701:2019《安全技术 扩展 ISO/IEC 27001 和 ISO/IEC 27002 的隐私信息管理要求与指南》、ISO/IEC 27018:2019《信息技术 安全技术 作为PII处理者的公共云中个人可识别信息(PII)保护实施规则》等。
目前,建立PIMS是很多组织已经采纳的解决方案,同时也取得了比较好的效果。隐私信息管理体系建立在信息安全管理体系(ISMS)(ISO/IEC 27001)基础之上,已经建立ISMS的组织需要在ISMS基础上进行完善,增加ISO/IEC 27018:2019等特定要求。没有建立ISMS的组织需要依据ISO/IEC 27001和ISO/IEC 27701建立ISMS和PIMS。
ISO/IEC 27018:2019中隐私信息管理的特定要求包括PII控制者控制措施和PII处理者控制措施。组织应该首先判断是哪个角色,根据判断结果实施相关的控制措施。
PII控制者控制措施和PII处理者控制措施均包括收集和处理条件、对 PII 主体的义务、PII流程和系统的设计、PII 共享传输和披露四个部分。
1、收集和处理条件部分关注隐私信息收集和处理是否合法,具有适用司法管辖区的法律依据,并具有明确定义和合法的目的。
2、对 PII 主体的义务部分关注向PII主体提供PII处理的适当信息,并履行对 PII 主体的任何与处理其 PII 相关的适用义务。
3、PII流程和系统的设计部分关注PII管理流程和系统的设计,使收集和处理(包括使用、披露、保留、传输和处置)仅限于为确定的目的所必需的。
4、PII 共享传输和披露部分关注是否共享PII、是否传输到其他司法管辖区或第三方,根据适用义务披露并记录。
组织不仅需要建立隐私信息管理的流程,同时需要设计和改进相关系统以满足技术要求。组织宜及时建立隐私信息管理体系,并确保隐私信息管理措施的落地,才能有效的保障隐私信息的安全性,以满足合规及客户的安全要求,从而保障业务的连续性。