隱私信息管理體系認證簡介

1、背景介紹

大數據時代的到來，為我們帶來了空前的便利，隨著大數據在各個領域的滲透逐漸加深，個人隱私泄露的風險也愈加嚴重，人們對信息安全的關注日益提升，全球多個國家和地區相繼出臺了一系列隱私保護的法律法規，當前幾乎所有的組織都有處理個人信息 (PII) 的情況，保護PII不僅是法律要求，也是社會需要。

因此，新標準ISO/IEC 27701隱私信息管理體系應勢而生。助力組織為GDPR合規展現、保護用戶隱私和個人信息合規管理提供了更多相關指南。2019年8月6日，國際標準化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC 27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護，在國際間法律與法規的合規展現有了一致性的標準。

該標準填補了目前隱私信息管理體系的空白，將隱私保護的原則、理念和方法，融入到信息安全保護體系中，并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定，細化了隱私信息管理的要求，給組織在隱私保護和信息安全方面給出了指導建議。作為一個國際通用的隱私信息管理工具，能夠有效的協助組織對隱私風險進行識別、分析，采取措施將風險降到可接受水平并維持該水平，并建立隱私保護體系，從管理與技術等多方面滿足國內外的監管合規要求。

2、認證價值

?  通過明確對PII控制者和處理者的隱私保護要求，可以使組織明確隱私保護管理合規目標，減輕組織合規負擔的同時降低組織合規風險。

?  實現持續的個人隱私安全合規對于任何組織都是一個安全治理的課題，ISO/IEC 27701通過建立PIMS，可以確保組織高級管理層、組織所有者以及關鍵相關方的利益滿足隱私保護要求，從而使組織實現長期、持久的個人隱私安全合規。

?  PIMS認證可以向組織客戶或合作伙伴傳達隱私合規價值。PII控制者通常會要求PII處理者提供相關證據，從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過得到授權的第三方機構對PII處理者進行審計驗證，基于國際標準的統一證據框架可以極大地降低合規溝通成本，這種合規透明度的提高對于組織戰略和業務決策至關重要，同時PIMS認證也有助于向公眾傳達組織的可信度。

3、適用范圍

ISO/IEC 27701嵌套在ISO/IEC 27000系列中，并要求符合ISO/IEC 27001標準。適用于所有類型和規模的需要對個人身份信息進行管理的任何組織，如銀行、保險公司、電信公司、航空公司、 數據中心、代理商、非政府組織、醫院和學校等。

4、標準簡介

ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準，其目標是通過新增的要求來增強現有信息安全管理體系（ISMS），以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標準概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風險。

ISO/IEC 27701標準的正文由8個條款組成，其中：

1)     條款1-4，給出了標準范圍、術語、定義等

2)     條款5給出了ISO/IEC 27001相關的PIMS要求

3)     條款6給出了ISO/IEC 27002相關的PIMS指南

4)     條款7給出了針對PII控制者的ISO/IEC 27002擴展指南

5)     條款8給出了針對PII處理者的ISO/IEC 27002擴展指南

6)     附錄A，針對PII控制者的PIMS特定的控制目標和控制措施

7)     附錄B，針對PII處理者的PIMS特定的控制目標和控制措施

8)     附錄C，與ISO/IEC 29100的對應

9)     附錄D，與GDPR的對應

10)   附錄E，與ISO/IEC 27018和ISO/IEC 29151的對應

11)   附錄F，如何在ISO/IEC 27001和ISO/IEC 27002的基礎上實施ISO/IEC 27701

5、一圖看懂隱私安全相關標準之間的關系

為了應對越來越多信息泄露件及個人信息濫用的情況，國際標準化組織ISO也在信息安全、隱私安全、云安全等相關領域發布了諸多國際標準。下圖展示了隱私安全相關標準之間的關系：

1)        ISO/IEC 27002為ISO/IEC 27001提供風險處置具體的控制目標和控制措施指南；

2)        組織依據ISO/IEC 27001標準建立信息安全管理體系，通過風險管理來保護和管理組織的所有信息，從數據安全方面滿足各國隱私法規的部分要求；

3)        ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標準的延伸，ISO/IEC 27017著重于云環境下的信息安全控制，ISO/IEC 27018著重于公有云個人隱私保護；

4)        擴展ISO/IEC 27001相關的PIMS要求；

5)        擴展ISO/IEC 27002相關的PIMS要求以及PII控制者和處理者的額外要求；

6)        ISO/IEC 27701附錄D映射GDPR大部分條款，僅部分條款未被ISO/IEC 27701覆蓋，通過ISO/IEC 27701認證能表明組織符合GDPR的大部分要求，是目前GDPR合規展現的方式之一；

7)        ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均為隱私方面的標準，有不同的側重點，與ISO/IEC 27701互為補充。