1、隱私保護的重要性被不斷強調,我國有與此相關的法律法規嗎?
《中國人民共和國刑法》第二百五十三條之一:違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。
2017年6月1日起正式實施的《中華人民共和國網絡安全法》(通常簡稱《網安法》),是我國首部全面規范網絡空間安全管理方面問題的基礎性法律,一共有7章79條,包含了網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。《網安法》的第四十至四十五條中,明確了在數據(包括個人信息)安全與保護上的諸多規定。
此外,我國還先后出臺了《信息安全技術個人信息安全規范》、《App違法違規收集使用個人信息自評估指南》、《互聯網個人信息安全保護指南》等規范和指南,明確規定了個人信息收集、存儲和使用等方面的諸多要求。《個人信息和重要數據出境安全評估辦法(征求意見稿)》《信息安全技術數據出境安全評估指南(草案)》《個人信息保護法(草案)》也在意見收集過程中,并將陸續頒布。
2、隱私保護有哪些相關的主體角色?
ISO29100中定義了以下角色:
PII主體:與個人身份信息(PII)相關的自然人
PII控制者:有權決定個人信息處理目的、方式等的組織或個人。
PII處理者:按照PII控制者的要求處理個人身份信息等的組織或個人。
3、ISO組織有哪些關于隱私保護的標準?
ISO27001 信息安全管理體系要求
ISO27002 信息安全控制實用規則
ISO27018 公有云中PII處理者的PII保護實用規則
ISO29100 隱私框架
ISO29134 隱私影響評估指南
ISO29151 PII保護實用規則
ISO27701 擴展的ISO/IEC27001和ISO/IEC27002-隱私信息管理要求和指南
4、ISO27701認證標準的結構
ISO27701認證是ISO27001和ISO27002在隱私信息管理方面的擴展,并在隱私保護方面提供了必要的額外要求。ISO/IEC27701認證標準的正文由8個條款組成,其中:
條款1-4,給出了標準的范圍,術語、定義等。條款5介紹了ISO27001中延伸出的關于PIMS的擴展要求以及本標準對PIMS的附加要求。條款6介紹了ISO27002中對PIMS的擴展及附加要求。上述條款對PII的控制者和處理者均適用。條款7給出了針對PII控制者的ISO27002擴展指南。條款8給出了針對PII處理者的ISO27002擴展指南。這兩章從PII的收集和處理,對PII主體的義務,Privacy by design & Privacy by default,PII的共享、傳輸和披露四個方面做出了相應規定。
ISO27701認證標準附錄A是針對PII控制者的PIMS特定的控制目標和控制措施。附錄B是針對PII處理者的PIMS特定的控制目標和控制措施。附錄C給出了標準與ISO/IEC29100的映射。附錄D是與GDPR的映射。附錄E是與ISO/IEC27018和ISO/IEC29151的映射。附錄F則是如何在處理PII時將ISO/IEC27001和ISO/IEC27002擴展到隱私保護。
總體而言,ISO27701認證標準通過第5章和第6章將ISO27002與附加的PIMS控制項構成了完整的信息安全和隱私管理體系。第7章和第8章從數據生命周期的角度新增分別針對PII控制者和處理者的控制要求。
5、ISO27701的適用范圍
ISO27701認證可供PII控制者(包括聯合PII控制者)和PII處理者(包括使用分包的PII處理者和作為分包商處理PII的PII處理者)使用。
6、ISO27701 與ISO27001
| ISO27001中的條款 | 標題 | ISO27701中的子條款 | 備注 |
| 4 | 組織環境 | 5.2 | 補充要求 |
| 5 | 領導 | 5.3 | 沒有特定于PIMS的要求 |
| 6 | 規劃 | 5.4 | 補充要求 |
| 7 | 支持 | 5.5 | 沒有特定于PIMS的要求 |
| 8 | 運行 | 5.6 | 沒有特定于PIMS的要求 |
| 9 | 績效評價 | 5.7 | 沒有特定于PIMS的要求 |
| 10 | 改進 | 5.8 | 沒有特定于PIMS的要求 |
注:5.1中“信息安全”的擴展解釋,即使沒有特定于PIMS的要求,也始終適用。
7、ISO27701與ISO27002
| ISO27002中的條款 | 標題 | ISO27701中的子條款 | 備注 |
| 5 | 信息安全策略 | 6.2 | 補充指南 |
| 6 | 信息安全組織 | 6.3 | 補充指南 |
| 7 | 人力資源安全 | 6.4 | 補充指南 |
| 8 | 資產管理 | 6.5 | 補充指南 |
| 9 | 訪問控制 | 6.6 | 補充指南 |
| 10 | 密碼 | 6.7 | 補充指南 |
| 11 | 物理和環境安全 | 6.8 | 補充指南 |
| 12 | 運行安全 | 6.9 | 補充指南 |
| 13 | 通信安全 | 6.1 | 補充指南 |
| 14 | 系統的獲取,開發和維護 | 6.11 | 補充指南 |
| 15 | 供應商關系 | 6.12 | 補充指南 |
| 16 | 信息安全事件管理 | 6.13 | 補充指南 |
| 17 | 業務連續性管理的信息安全方面 | 6.14 | 沒有特定于PIMS的指南 |
| 18 | 符合性 | 6.15 | 補充指南 |
注:6.1中“信息安全”的擴展解釋,即使沒有特定于PIMS的要求,也始終適用。ISO 27701基于ISO 27001和ISO 27002并考慮了可能受PII處理影響的PII主體的隱私保護,所以在使用術語“信息安全”時,應替換為“信息安全和隱私”。
8、ISO27701與ISO29151
ISO27701與ISO27018
ISO/IEC29151為PII控制者處理PII提供了額外的控制和指導。ISO/IEC27018為充當PII處理者并提供公共云服務的組織提供了進一步的信息。
ISO27701在ISO27001和ISO27002的基礎上,遵循PDCA的理念,從管理體系的角度分別對個人可識別信息控制者和個人可識別信息處理者進行規范和指導。另外,ISO27701更全面地覆蓋了GDPR的要求。
ISO27701的附錄E給出了ISO27701與ISO/IEC27018和ISO/IEC29151之間的指示性映射,用以說明ISO27701的要求和控制措施如何與ISO/IEC 27018和/或ISO/IEC29151的規定保持一致。
9、ISO27701與GDPR
作為國際通用的標準,ISO27701的認證能在極大程度上表明組織符合GDPR的要求,附錄D中給出了ISO27701認證與GDPR第5條至第49條之間(43條除外)的映射關系。值得注意的是,ISO27701中使用的術語“PII”,在GDPR則使用的是“data”。此外,兩者具體要求的顆粒度也有所不同。
10、實施ISO27701認證對組織來說有哪些必要性?
ISO27701認證的目標是通過對于隱私保護的控制實現對ISMS進行補充,有效的協助組織對隱私風險進行識別、分析、采取措施將風險降到可接受水平并維持該水平,幫助組織建立PIMS,實現有效的隱私管理,從而使組織獲益。
通過明確對PII控制者和處理者的隱私保護要求,可以使組織明確隱私保護管理合規目標,減輕組織合規負擔的同時降低組織合規風險,ISO27701認證標準附錄D中明確表示,單個隱私控制點可以滿足GDPR中的多項要求。
實現持續的個人隱私安全合規對于任何組織都是一個安全治理的課題,ISO27701通過建立PIMS,可以確保組織高級管理層、組織所有者以及關鍵相關方的利益滿足隱私保護要求,從而使組織實現長期、有效的個人隱私安全合規。
PIMS認證可以向客戶或合作伙伴傳達隱私合規價值。PII控制者通常會要求PII處理者提供相關證據,從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過得到授權的第三方機構對PII處理者進行基于國際標準的審核,可以極大地降低合規溝通成本,這種合規透明度的提高對于組織戰略和業務決策至關重要,同時PIMS認證也有助于向公眾傳達組織的可信度。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
