隐私保护的重要性被不断强调,ISO/IEC27701标准也随之出台威胁重重,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个国家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。
ISO/IEC27701标准的发布,填补了目前隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性强的规定,给企业在隐私保护和信息安全方面给出了指导建议。
ISO/IEC27701主要的内容分为8个章节:
第一至第三章:
主要是适用范围、参考标准和名词定义的说明,ISO/IEC27701适用于任何类型的组织,包括政府、事业单位、金融、教育机构、企业及非营利组织。
第四章:
标准整体说明,包括PIMS的要求如何应对ISO/IEC27001的4~10章管理体系,以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。
第五章和第六章:
进一步引述在第四章提到的PIMS对应ISO/IEC27001管理体系要求和ISO/IEC27002控制措施实施指引。
第七章和第八章:
分别从PII控制者和PII处理者的角度,说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定,以及个人信息的分享、传输和揭露的增项要求。
在互联网和大数据时代,许多业务的开展都离不开个人隐私信息的输入,每个组织都会或多或少地处理个人身份信息(PII),保护PII不仅是法律要求,也是社会的需要。随着越来越严格的数据保护要求和法律,如欧盟保护个人数据的《General Data Protection Regulation》(GDPR)和美国的California Consumer Privacy Act》(CCPA)等法律法规的相继出台,以及与隐私和数据保护相关的投诉和罚款数量的增加,许多组织都迫切地需要开展行动以提高其PII的保护能力。
