-
體系咨詢
- ISO27001 信息安全管理
- ISO20000 信息技術(shù)服務(wù)管理
- ISO22301 業(yè)務(wù)連續(xù)性管理
- ISO27017 云服務(wù)信息安全
- ISO27018 公有云隱私安全
- ISO27701 隱私信息管理
- ISO9001 質(zhì)量管理
- ISO14001 環(huán)境管理
- ISO45001 職業(yè)健康安全管理
- ISO22000 食品安全管理
- ISO13485 醫(yī)療器械質(zhì)量管理
- ISO50001 能源管理
- ISO29151 個人身份信息保護
- IATF16949 汽車行業(yè)質(zhì)量管理
- AS9100 航空質(zhì)量管理
- GB/T31950 誠信管理體系
- GB/T23794 企業(yè)信用評價
- QC080000 有害物資過程管理
- HACCP 危害分析與關(guān)鍵點控制
- SA8000 社會責任管理
- SB/T10962 商品經(jīng)營企業(yè)服務(wù)質(zhì)量
- SB/T11045 住宿,食品飲料服務(wù)
- GB/T27922 商品售后服務(wù)評價
- GB/T20647 不動產(chǎn)(物業(yè))服務(wù)
- GB/T29490 知識產(chǎn)權(quán)管理
- FSC 森林認證
- IS026262 汽車功能安全
- 資質(zhì)認證咨詢
- 產(chǎn)品認證咨詢
- 管理培訓
一文讀懂ISO/IEC 29151:2017個人可識別信息保護管理體系
網(wǎng)絡(luò)時代數(shù)字化不僅給我們的生活帶來了便捷,同時對個人信息安全也帶來了隱患。隱私保護問題已然成為了當前社會的焦點,這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機構(gòu)的多重壓力。
在全球多個國家和地區(qū),紛紛相繼出臺了一系列個人信息保護的法律法規(guī),例如歐盟的GDPR,中國的網(wǎng)絡(luò)安全法,以及即將出臺的個人信息保護法等,面對越來越嚴格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī),企業(yè)如何有效的管理和保護客戶及用戶的信息安全?
個人可識別信息保護管理體系
ISO/IEC 29151:2017
ISO/IEC 29151是國際標準化組織和國際電工委員會共同發(fā)布的關(guān)于處理個人可識別信息(Personally Identifiable Information,PII)的控制措施和指南,以滿足與保護 PII 有關(guān)的風險評估和隱私影響評估所確定的要求。
ISO/IEC 29151基于 ISO/IEC 27002 信息技術(shù)-安全技術(shù)-信息安全控制實踐規(guī)則以及 ISO 相關(guān)安全標準規(guī)范,提供一系列信息安全和 PII 保護控制的指南,并指導(dǎo)組織根據(jù)風險分析的結(jié)果來選擇與 PII 特定處理匹配的控制措施,以制定全面、一致的控制系統(tǒng),減少隱私泄露風險并減少違規(guī)。
一、IS0/IEC 27701與IS0/IEC 29151的異同關(guān)系
IS0/IEC 27701:2019安全技術(shù)-擴展的IS0/IEC 27001和IS0/IEC27002-隱私信息管理要求和指南》和《IS0/IEC 29151:2017個人可識別信息保護實踐指南》同是IS0標準委員會頒布的指導(dǎo)組織實現(xiàn)隱私安全的國際標準。兩者之間的聯(lián)系包括:
區(qū)別一:結(jié)構(gòu)不同
IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002在隱私方面的擴展,并為隱私保護提供了除IS0/IEC 27001和IS0/IEC 27002之外的額外指導(dǎo)。標準通過第5章和第6章將IS0/IEC 27002與附加的PIMS控制項通過IS0/IEC 27001中PDCA的方式導(dǎo)入體系,形成完整的信息安全和隱私管理體系。第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對PII控制者和處理者的控制要求。
IS0/IEC 29151:2017描述了可被普遍接受的個人可識別身份信息(PII)安全控制措施和風險處理指南,該標準基于IS0/IEC 27002的基本結(jié)構(gòu),將IS0/IEC 29100中的隱私原則予以對應(yīng),形成實用且針對性強的PII保護措施供組織使用。
區(qū)別二:側(cè)重點不同
IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002的延伸,側(cè)重于隱私信息安全管理。IS0/IEC 27701分別對個人可識別信息控制者和個人可識別信息處理者進行規(guī)范和指導(dǎo)并基于IS0/IEC 27001和IS0/IEC 27002的各個領(lǐng)域,從管理體系的角度并遵循PDCA的理念。
IS0/IEC 29151:2017是個人信息保護的行為準則、是個人身份信息保護的實踐指南,側(cè)重于隱私技術(shù)。它主要是基于IS0/IEC 27002的各個域中加入了PI的實施指南,并引入了IS0/IEC 29100的隱私保護原則。
區(qū)別三:企業(yè)如何選擇
IS0/IEC 27701是基于IS0/IEC 27001信息安全管理體系標準族,適用于所有類型和規(guī)模的組織,包括公共和私營公司、政府機構(gòu)和非盈利組織,他們是在ISMS中處理PII的控制者或處理者。IS0/IEC 29151:2017是基于IS0/IEC 29100信息技術(shù)-安全技術(shù)-保密框架標準族,適用于所有類型和規(guī)模的作為PII控制者的組織,包括處理PII的公共和私營公司、政府機構(gòu)和非盈利組織。
兩者存在的差異使得IS0/IEC 27701認證和IS0/IEC 29151認證不可相互替代,企業(yè)可根據(jù)實際情況進行選擇。
二、企業(yè)獲得ISO/IEC 29151:2017認證的益處:
1、獲取客戶關(guān)于組織對個人可識別信息保護管理方面的信任,以獲得潛在業(yè)務(wù);
2、證實組織對其產(chǎn)品和服務(wù)目標市場所在地隱私法規(guī)的遵從,獲得所在地的市場準入;
3、組織自身為證實其在個人可識別信息保護管理方面的能力和符合性;
4、向相關(guān)方證實其在個人可識別信息保護管理方面的能力和符合性。
企業(yè)有效的信息安全管控及個人可識別信息保護處理,是為客戶及用戶帶來信任和提升品牌價值的方法和策略。通過 ISO/IEC 29151認證意味著企業(yè)已經(jīng)具備適當?shù)陌踩刂企w系為您在云端的 PII 提供了高標準的隱私保護控制。