|
|
|
|
|
|
来源: 发布日期:2019.05.28 点击量:
众所周知,个人信息隐私保护是每个企业不容忽视的重点,而个人信息隐私保护的相关标准,分为ISO/IEC JTC 1/SC-27-WG5系列国际标准与TC260国家标准两大块,这一期,我们首先介绍一下国际隐私保护相关标准~
摘要标准介绍重点
国际隐私保护标准化工作,目前已形成包含总体框架、管理要求、实施指南、技术要求的标准体系。其中,关于个人身份信息的释义如下:
·PII——Personally Identifiable Information个人身份信息
·关于PII的定义:指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 (《网络安全法》第七十六条(五))
标准介绍
1.ISO/IEC 29100:2011隐私框架(通用框架类标准)
此标准给出了一个隐私保护的框架,主要的步骤包括:识别PII,隐私防护的要求,隐私策略和隐私控制的确定。该标准的附录A对于隐私的词汇和ISO/IEC27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,关于隐私控制并没有展开,但是标准的第5章:ISO/IEC 29100的隐私原则,讨论的比较细致,也比较有指导意义。ISO/IEC 29100在2017年经过评审后依然有效,目前有ISO/IEC 29100:2011/Amd 1:2018可用。
2.ISO/IEC 29134:2017隐私影响评估指南(管理类标准)评估标准
描述了一个隐私影响评估(Privacy Impact Assessment,PIA)过程,以及如何准备PIA报告。该标准中的PIA过程与ISO/IEC 27005中的信息安全风险评估过程存在诸多类似,其中词汇也大多直接应用ISO/IEC 27000标准族。
小贴士:当组织或项目涉及以下情景时,需要PIA的执行:
1.开发或处理PII的信息系统进行重大改变时,应该进行PIA;
2.任何新项目的启动都应触发阈值分析,以确定是否需要进行PIA;
3.进行涉及PII资产和处理PII的所有系统的资产清单的建立、维护和更新时,需要参考PIA报告;
4.开发和维护库存时,需要从PIAS中提取关于信息系统处理PII 的信息元素;
5.当组织正在处理PII,组织应该建立进行PIA所需的程序;
6.为确保与PII处理相关的计划和服务符合隐私保护要求,组织应该执行PIA并实施所产生的隐私处理计划。
3.ISO/IEC 29151 个人身份信息保护实践指南体系建设及认证(管理类标准)可认证
标准结构说明如下图:
4.ISO/IEC 27018:2014作为PII处理器的公共云中保护个人可识别信息(PII)的操作规范(管理类标准) 可认证
ISO/IEC 27018:2014是ISO发布的第一个云计算隐私保护标准,它沿用了ISO/IEC 29100的框架和原则,为公有云计算环境中的PII保护提供了通用的控制目标,控制和实施指南。显然,该标准基于ISO/IEC 27002,可以列入ISO/IEC 27000标准族系列。最新的版本为ISO/IEC FDIS 27018。
这一标准专注于提供实质性建议,以帮助云服务提供商更好地达到规定的要求。例如:
·为有权处理信息的供应商制定保密协议并提供培训
·个人信息在终端的恢复,转换和处理政策
·在客户的明确同意下才准许以营销或广告为目的处理个人信息的政策
·在进入云服务协定之前,要求公开可能对个人信息进行处理的子处理器名称和个人信息可能到达的位置
·定期或在重大变化之后进行独立的安全审查
5.ISO/IEC27552《ISO IEC27001和ISO IEC27002的隐私管理扩展-要求和指南》(管理类标准)
27552作为27001和27002的扩展,用于组织建立隐私信息管理体系(PIMS),已推进到第一版DIS国际标准草案阶段。
6. ISO/IEC27555在组织建立PII删除概念(管理类标准)
提出了组织PII的删除流程,已推进为第一版(WD)工作草案。
7.ISO/IEC27550系统生命周期的隐私工程(实施指南)
将隐私保护应用到了ISO/IEC 15288的系统工程各个阶段,已推进为第三版TR技术报告,国内《个人信息安全工程指南》标准编制时参考了该标准。
8. ISO/IEC29184 在线隐私告知和同意(实施指南)
29184提供了线上隐私告知基本条款,已推进为第三版(CD)委员会草案,国内标准研究项目《个人信息告知同意指南》参考了该标准。
9.ISO/IEC 29190:2015隐私能力评估模型(实施指南)
此标准为组织如何评估隐私相关过程的管理能力提供了指导,该标准与过程评估标准比较相关,例如,ISO/IEC 33001:2015(信息技术过程评估概念和术语)和ISO/IEC 33020:2015(信息技术 过程评估评估过程能力的过程测量框架)。
10.ISO/IEC 29101:2013隐私架构框架(技术要求)
为信息系统中的PII处理提供了技术索引,该标准的框架沿用了ISO/IEC/IEEE 42010(系统与软件工程架构描述)。该标准的第6章描述了一个PII处理的生命周期,包括:收集、传输、应用、存储和销毁。第8章中,将架构视角(architectural views)又分为三个视角:组件视角(component view)、角色视角(actor view)和交互视角(interaction view)。其中组件视角的分层及其中的控制比较有价值。
11. ISO/IEC 20889增强隐私的数据去标识化技术(技术要求)
介绍了统计、加密、抑制、假名、泛化、随机、合成7大类的去标识化技术以及K匿名和差分隐私2大类去标识化模型,国内标准《个人信息去标识化指南》编制时参考了该标准。
12.ISO/IEC 29191:2012半匿名和部分不可链接的身份认证要求(技术要求)
定义了身份认证相关的四个角色,明确了在具体的认证过程中每个角色对应的基本操作,同时针对半匿名、部分不相关的认证明确了具体要求。
更多关于国际隐私保护标准相关内容或业务需求请持续关注我们。
详情请咨询:
电话:021-62101209-811/17721199231
邮件:mkt@aryasec.com
相关新闻:
