2019年8月8日 星期四

[新知] ISO/IEC 27701:2019 - 第一個隱私保護和個資管理的ISO標準誕生

有鑑於國際上愈來愈多對於隱私保護和法令法規的要求,以及幾乎所有的組織都會有處理個人資料 (PII) 的情況,保護個人資訊和隱私已然成為民眾普遍的期望。

目前,ISO/IEC 27001已是國際上公認為資訊安全管理系統的首要標準,不過,在隱私保護方面除了所需的資安控制措施之外,如何因應法令法規對於個資和隱私保護的要求,以及從PII的控制者和PII的處理者的不同角度來實現和滿足,這也讓ISO組織開始著手編寫ISO/IEC 27552 (ISO/IEC 27701的前身) 標準,希望在既有的資訊安全管理系統 (ISMS)上,也能延伸補充個資管理系統 (PIMS) 的要求和實施指引。

如今,「ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines」已在2019年8月正式發布,成為全球第一個隱私保護和個資管理的ISO標準。

ISO/IEC 27701的內容分為8個章節如下:
  1. Scope
  2. Normative references
  3. Terms, definitions and abbreviations
  4. General
  5. PIMS-specific requirements related to ISO/IEC 27001
  6. PIMS-specific guidance related to ISO/IEC 27002
  7. Additional ISO/IEC 27002 guidance for PII controllers
  8. Additional ISO/IEC 27002 guidance for PII processors
第一到第三章,主要是適用範圍、參考標準和名詞定義的說明,ISO/IEC 27701適用於任何類型的組織,包括公務機關、民營企業及非營利組織。

第四章則是整體性的說明,包括PIMS的要求如何對應到ISO/IEC 27001的4~10章管理體系,以及PIMS增項的指引如何對應到ISO/IEC 27002的5~18章的控制措施。

第五章和第六章的內容,則是進一步敘述在第四章提到的PIMS對應ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。

至於第七章和第八章,則分別從PII控制者和PII處理者的角度,說明包括蒐集和處理個資的情況和條件、應遵循的個資保護原則、設計和預設的隱私考量,以及個資的分享、傳輸和揭露的增項要求。

最後,在標準的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言是很清楚的參考資訊。