ISO/IEC27001:2013和ISO/IEC27017:2015及ISO/IEC27017:2019

2022-10-29 09:59

以互联网、大数据、人工智能等现代信息技术构成的数字化时代,技术进步带来便利的同时,其背后伴随的安全问题也不容忽视。

面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意?

邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……

这些被拿去的个人信息会不会被泄露和滥用?

公众该如何防护?

企业如何保护隐私的同时获取益处?

又该如何保障用户的信息安全?

近年来全球多个国家纷纷颁布相关法律法规,对信息安全与隐私保护相关问题进行严格的规范与引导。如中国的网络安全法、GB/T 35273个人信息保护条例;欧盟GDPR通用数据保护条例;美国加州CCPA隐私保护条例;美国内华达州SB220数据隐私法;英国DPA2018数据保护法等。

为了应对越来越多信息泄露件及个人信息滥用的情况,国际标准化组织ISO也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。

ISO/IEC27001:2013和ISO/IEC27017:2015及ISO/IEC27017:2019

一、ISO/IEC 27001:2013 信息安全管理体系

ISO/IEC 27001是信息安全领域的重要标准,是建立信息安全管理体系的一套规范,标准详细说明了建立、实施及维护信息安全管理体系的要求,指出实施组织应该遵循风险评估标准,其最终目的在于帮助组织建立适合自身需要的信息安全管理体系。ISO/IEC 27001共分成14个领域,35个控制目标,114个控制措施。

二、ISO/IEC 27002:2013 信息安全控制实用规则

ISO/IEC 27002标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。ISO/IEC 27002标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。.ISO/IEC 27002标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求,ISO/IEC 27002标准可以作为一个实践指南服务于幵发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。实施规则中的控制和指导并不全都是适用的,可能需要 ISO/IEC 27002标准中未包括的附加控制和指南:。

三、ISO/IEC 27017:2015 云环境下的信息安全控制

ISO/IEC 27017提供了ISO/IEC 27002与云环境相关的控制措施实施指引,同时提供了针对云服务的额外安全控制措施。ISO/IEC 27017标准适用于所有类型和规模大小的组织,无论是自建的云服务还是透过购买所获得的云服务,以及云服务提供商本身,皆可透过此标准的指引,强化所提供或者所使用的云服务的安全。ISO/IEC 27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任,避免可能在服务过程总所产生的歧义,导致服务中断。ISO/IEC 27017标准除了引用37个来自于ISO/IEC 27002的控制措施,同时还额外提供了7个专门针对云服务的安全控制措施。

四、ISO/IEC 27018:2019 公有云个人隐私保护

ISO/IEC 27018是公有云个人隐私保护的国际标准,标准提供了一套用于公有云中个人信息处理者的个人信息保护实用规则。这些规则让云服务供应商的个人信息安全控制变得标准化和透明化,使得公有云服务提供商在扮演PII处理者时,有足够能力去处理公有云服务中的信息安全问题,能够在满足客户合约以及相应法规前提下,有效应对云服务中个人隐私保护的特定风险。ISO/IEC 27018标准参考了ISO/IEC 27002的16项控制措施,以及根据ISO/IEC 29100的11项隐私框架原则追加的25项控制措施。

五、ISO/IEC 27701:2019 隐私管理体系

ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。

六、ISO/IEC 29100:2011 隐私框架

由于信息科技的普及,处理或利用个人信息的情况越来越普遍,但不同国家的相关法规均不一致,为了确保跨国间的个人信息传输都能符合一定的法律要求,国际标准化组织ISO于2011年12月发布了国际标准ISO/IEC 29100隐私框架。隐私保护框架内容包括:识别PII、隐私防护的要求、隐私策略和隐私控制的确定。标准的附录对于隐私的词汇和ISO/IEC27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,关于隐私控制并没有展幵。但是第五章关于隐私原则的内容对于后续开展隐私管理体系建设具有指导意义。

七、ISO/IEC 29134:2017 隐私影响评估指南

隐私影响评估(PIA)是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。最终产生的PIA报告可能涵盖涉及风险治理措施的标准文件内容,包括因使用ISO/IEC 27001标准中而产生的措施。ISO/IEC 29134第六章列出了隐私影响评估的主要步骤,给出了是否需要做PIA(阈值分析)的六种情境,最后在标准的附录中列举了常规的隐私风险库。

八、ISO/IEC 29151:2017 个人隐私保护标准领域ISO/IEC2实实施1是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险和满足影响评估所确定的要求。

标准之间的关系:

1、ISO/IEC 27002为ISO/IEC 27001提供风险处置具体的控制目标和控制措施指南;

2、组织依据ISO/IEC 27001标准建立信息安全管理体系,通过风险管理来保护和管理组织的所有信息,从数据安全方面满足各国隐私法规的部分要求;

3、ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002标准的延伸,ISO/IEC 27017着重于云环境下的信息安全控制,ISO/IEC 27018着重于公有云个人隐私保护;

4、扩展ISO/IEC 27001相关的PIMS要求;

5、扩展ISO/IEC 27002相关的PIMS要求以及PII控制者和处理者的额外要求;

6、ISO/IEC 27701附录D映射GDPR大部分条款,仅部分条款未被ISO/IEC 27701覆盖,通过ISO/IEC 27701认证能表明组织符合GDPR的大部分要求,是目前GDPR合规展现的方式之一;

7、ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均为隐私方面的标准,有不同的侧重点,与ISO/IEC 27701互为补充。

了那么多信息安全相关的标准信息,企业该如何选择符合且利于公司发展的管理体系呢?

信息安全标准适用范围:

标准描述备注ISO/IEC 27001:2013信息安全管理体系作为基础管理体系的框架,适用于所有类型和规模的组织。ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理个人身份信息相关组织和利益相关方要求;个人身份信息相关风险评估;适用于适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非营利组织,他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。

ISO/IEC 29151:2017个人信息保护的行为准则36项ISO/IEC 27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非营利组织。

ISO/IEC 27017:2015基于ISO/IEC 27002的云服务信息安全控制实务守则37个与云安全相关的ISO/IEC 27002附加控制要求;7个额外的云安全要求;适用于云服务提供商和云服务客户。ISO/IEC 27018:2019公用云作为保护隐私数据处理者的实务守则与云相关的15项ISO/IEC 27002附加控制要求;11个额外的基于云的个人信息要求;适用于所有类型和规模的组织,这些组织作为PII处理者通过与其他组织签订的云计算提供信息处理服务;也适用于PII控制者的组织。

科泰集团(www.gdktzx.com) 成立13年来,致力于提供高新技术企业认定名优高新技术产品认定、省市工程技术研究中心认定、省市企业技术中心认定、省市工业设计中心认定、省市重点实验室认定、专精特新中小企业、专精特新“小巨人”、专利软著申请、研发费用加计扣除两化融合贯标认证、科技型中小企业评价入库、专利奖、科学技术奖、科技成果评价科技成果转化、ISO体系认证等服务。关注【科小泰】公众号,及时获取最新科技项目资讯!

阅读全文
免责声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。

视频专栏