个人身份信息保护管理体系是一个综合性的框架,旨在确保个人身份信息(PII)在处理、存储、传输和使用过程中的安全性、完整性和合规性。以下是对该管理体系的详细阐述:
1、ISO 29151介绍
ISO/IEC 29151是国际标准化组织和国际电工委员会共同发布的关于处理个人可识别信息(Personally Identifiable Information,PII)的控制措施和指南,以满足与保护 PII 有关的风险评估和隐私影响评估所确定的要求。
ISO/IEC 29151基于 ISO/IEC 27002 信息技术-安全技术-信息安全控制实践规则以及 ISO 相关安全标准规范,提供一系列信息安全和 PII 保护控制的指南,并指导组织根据风险分析的结果来选择与 PII 特定处理匹配的控制措施,以制定全面、一致的控制系统,减少隐私泄露风险并减少违规。
2、实施步骤
确定认证范围和目标:企业需明确需要认证的业务范围和目标。
进行初步评估:评估现有的运营过程、管理系统和业务流程,找出潜在的安全风险和效率瓶颈。
制定实施计划:基于初步评估的结果,制定详细的实施计划,包括改善措施、时间表和责任人。
实施改进措施:逐步推进各项改进措施,包括优化系统、更新流程、加强培训等。
监控与持续改进:建立有效的监控机制,确保改进成果的可持续性,并定期进行自评估。
选择合适的认证机构:选择权威且具有良好声誉的认证机构进行认证。
3、IS0/IEC 27701与IS0/IEC 29151的异同关系
IS0/IEC 27701:2019安全技术-扩展的IS0/IEC 27001和IS0/IEC27002-隐私信息管理要求和指南》和《IS0/IEC 29151:2017个人可识别信息保护实践指南》同是IS0标准委员会颁布的指导组织实现隐私安全的国际标准。两者之间的联系包括:
区别一:结构不同
IS0/IEC 27701是IS0/IEC27001和IS0/IEC 27002在隐私方面的扩展,并为隐私保护提供了除IS0/IEC 27001和IS0/IEC 27002之外的额外指导。标准通过第5章和第6章将IS0/IEC 27002与附加的PIMS控制项通过IS0/IEC 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
IS0/IEC29151:2017描述了可被普遍接受的个人可识别身份信息(PII)安全控制措施和风险处理指南,该标准基于IS0/IEC 27002的基本结构,将IS0/IEC 29100中的隐私原则予以对应,形成实用且针对性强的PII保护措施供组织使用。
区别二:侧重点不同
IS0/IEC27701是IS0/IEC 27001和IS0/IEC 27002的延伸,侧重于隐私信息安全管理。IS0/IEC 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于IS0/IEC 27001和IS0/IEC 27002的各个领域,从管理体系的角度并遵循PDCA的理念。
IS0/IEC29151:2017是个人信息保护的行为准则、是个人身份信息保护的实践指南,侧重于隐私技术。它主要是基于IS0/IEC 27002的各个域中加入了PI的实施指南,并引入了IS0/IEC 29100的隐私保护原则。
区别三:企业如何选择
IS0/IEC27701是基于IS0/IEC 27001信息安全管理体系标准族,适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。IS0/IEC 29151:2017是基于IS0/IEC 29100信息技术-安全技术-保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
两者存在的差异使得IS0/IEC27701认证和IS0/IEC 29151认证不可相互替代,企业可根据实际情况进行选择。
4、企业获得ISO/IEC 29151:2017认证的益处
1、获取客户关于组织对个人可识别信息保护管理方面的信任,以获得潜在业务;
2、证实组织对其产品和服务目标市场所在地隐私法规的遵从,获得所在地的市场准入;
3、组织自身为证实其在个人可识别信息保护管理方面的能力和符合性;
4、向相关方证实其在个人可识别信息保护管理方面的能力和符合性。
