大數(shù)據(jù)時(shí)代,人們?cè)诰W(wǎng)絡(luò)上留下的個(gè)人印記越來越多,這給人們的生活帶來極大便利的同時(shí),也增加了用戶個(gè)人隱私信息泄露的風(fēng)險(xiǎn)。在這種背景下,個(gè)人隱私信息的保護(hù)就顯得至關(guān)重要,這就要求涉及個(gè)人隱私信息采集處理的組織加強(qiáng)組織內(nèi)的隱私信息保護(hù)管理體系建設(shè)。
組織實(shí)施 ISO 27701隱私信息保護(hù)管理體系的意義
組織實(shí)施隱私信息保護(hù)管理體系具有重大的意義。站在消費(fèi)者的角度考慮,隱私保護(hù)管理體系的建立一方面可以切實(shí)保護(hù)用戶隱私;另一方面也可以讓用戶看到企業(yè)的數(shù)據(jù)道德。站在社會(huì)和監(jiān)管的角度考慮,建立隱私保護(hù)管理體系既是企業(yè)承擔(dān)安全合規(guī)責(zé)任的要求;也是企業(yè)樹立良好的自身形象所需。對(duì)于組織內(nèi)部而言,隱私保護(hù)管理體系的建設(shè)能夠幫助企業(yè)樹立全員安全責(zé)任意識(shí),落實(shí)合規(guī)流程技術(shù)。最后,隱私保護(hù)管理體系的建設(shè)降低了企業(yè)與關(guān)聯(lián)方的數(shù)據(jù)之間的流動(dòng)風(fēng)險(xiǎn),更有利于構(gòu)建合作責(zé)任模型。
ISO 27701是ISO 27001(信息安全管理體系)和ISO 27002(信息安全控制實(shí)踐指南)在隱私信息管理的一個(gè)擴(kuò)展標(biāo)準(zhǔn),為組織在保護(hù)個(gè)人隱私信息方面提供指導(dǎo),適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。
符合ISO 27701認(rèn)證首先要求符合ISO 27001的要求。他們旨在相互補(bǔ)充。遵循ISO 27701認(rèn)證要求的組織將創(chuàng)建有關(guān)其如何處理PII的書面證據(jù),可用于促進(jìn)與PII的處理相關(guān)的業(yè)務(wù)伙伴的協(xié)議,并闡明組織與其他利益相關(guān)者的PII的處理。盡管GDPR尚無認(rèn)可的認(rèn)證方法,但根據(jù)最近的報(bào)道,ISO 27701認(rèn)證可能會(huì)在不久的將來改變這一現(xiàn)狀。
