以互联网、大数据、人工智能等现代信息技术构成的数字化时代,技术进步带来便利的同时,其背后伴随的安全问题也不容忽视。

面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意?

邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……

这些被拿去的个人信息会不会被泄露和滥用?

公众该如何防护?

企业如何保护隐私的同时获取益处?

又该如何保障用户的信息安全?

近年来全球多个国家纷纷颁布相关法律法规,对信息安全与隐私保护相关问题进行严格的规范与引导。

如中国的网络安全法、GB/T 35273个人信息保护条例;欧盟GDPR通用数据保护条例;美国加州CCPA隐私保护条例;美国内华达州SB220数据隐私法;英国DPA2018数据保护法等。

为了应对越来越多信息泄露件及个人信息滥用的情况,国际标准化组织ISO也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

如:ISO/IEC27001:2013信息安全管理体系,ISO/IEC27002:2013 信息安全控制实用规则,ISO/IEC27017:2015 云环境下的信息安全控制,ISO/IEC27018:2019 公有云个人隐私保护,ISO/IEC27701:2019 隐私管理体系,ISO/IEC29100:2011 隐私框架,ISO/IEC29134:2017 隐私影响评估指南,ISO/IEC29151:2017 个人隐私保护标准领域ISO/IEC2实实施1是通用的个人隐私保护标准

一、ISO/IEC27001:2013信息安全管理体系

ISO/IEC27001是信息安全领域的重要标准,是建立信息安全管理体系的一套规范,标准详细说明了建立、实施及维护信息安全管理体系的要求,指出实施组织应该遵循风险评估标准,其最终目的在于帮助组织建立适合自身需要的信息安全管理体系。

ISO/IEC27001共分成14个领域,35个控制目标,114个控制措施。

二、ISO/IEC27002:2013 信息安全控制实用规则

ISO/IEC27002标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。

ISO/IEC27002标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。

.ISO/IEC27002标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求,ISO/IEC27002标准可以作为一个实践指南服务于幵发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。

实施规则中的控制和指导并不全都是适用的,可能需要 ISO/IEC27002标准中未包括的附加控制和指南:。

三、ISO/IEC27017:2015 云环境下的信息安全控制

ISO/IEC27017提供了ISO/IEC27002与云环境相关的控制措施实施指引,同时提供了针对云服务的额外安全控制措施。

ISO/IEC27017标准适用于所有类型和规模大小的组织,无论是自建的云服务还是透过购买所获得的云服务,以及云服务提供商本身,皆可透过此标准的指引,强化所提供或者所使用的云服务的安全。

ISO/IEC27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任,避免可能在服务过程总所产生的歧义,导致服务中断。

ISO/IEC27017标准除了引用37个来自于ISO/IEC27002的控制措施,同时还额外提供了7个专门针对云服务的安全控制措施。

四、ISO/IEC27018:2019 公有云个人隐私保护

ISO/IEC27018是公有云个人隐私保护的国际标准,标准提供了一套用于公有云中个人信息处理者的个人信息保护实用规则。

这些规则让云服务供应商的个人信息安全控制变得标准化和透明化,使得公有云服务提供商在扮演PII处理者时,有足够能力去处理公有云服务中的信息安全问题,能够在满足客户合约以及相应法规前提下,有效应对云服务中个人隐私保护的特定风险。

ISO/IEC27018标准参考了ISO/IEC27002的16项控制措施,以及根据ISO/IEC29100的11项隐私框架原则追加的25项控制措施。

五、ISO/IEC27701:2019 隐私管理体系

ISO/IEC27701作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。

六、ISO/IEC29100:2011 隐私框架

由于信息科技的普及,处理或利用个人信息的情况越来越普遍,但不同国家的相关法规均不一致,为了确保跨国间的个人信息传输都能符合一定的法律要求,国际标准化组织ISO于2011年12月发布了国际标准ISO/IEC29100隐私框架。

隐私保护框架内容包括:识别PII、隐私防护的要求、隐私策略和隐私控制的确定。

标准的附录对于隐私的词汇和ISO/IEC27000标准族的词汇进行了对应。

由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC29100:2011中,关于隐私控制并没有展幵。

但是第五章关于隐私原则的内容对于后续开展隐私管理体系建设具有指导意义。

七、ISO/IEC29134:2017 隐私影响评估指南

隐私影响评估(PIA)是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。

最终产生的PIA报告可能涵盖涉及风险治理措施的标准文件内容,包括因使用ISO/IEC27001标准中而产生的措施。

ISO/IEC29134第六章列出了隐私影响评估的主要步骤,给出了是否需要做PIA(阈值分析)的六种情境,最后在标准的附录中列举了常规的隐私风险库。

八、ISO/IEC29151:2017 个人隐私保护标准领域ISO/IEC2实实施1是通用的个人隐私保护标准

基于ISO/IEC27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC29100十一大隐私保护原则。

标准涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险和满足影响评估所确定的要求。

湖南ISO27001认证办理多少钱,ISO27001体系认证公司,ISO27701体系认证机构,ISO27001认证办理机构,ISO29151认证,信息安全管理体系,信息安全管理体系认证,认证机构,认证咨询