实施ISO27701认证有哪些好处
2022-03-14
802
近两年315晚会所曝光的行业都会涉及个人隐私问题,进一步说明了数据安全的重要性。即便如此,还是会有违反《中华人民共和国个人信息保护法》的企业被“锤”!为何个人信息泄露事件频繁出现呢?
现在很多APP下载要求获取用户位置、通讯录、调用摄像头、短信读取、启用录音等权限,在用户注册的过程,要求进行身份证上传、人脸认证、个人工作单位、家庭住址信息收集的APP也不在少数,最重要的一条就是要求同意隐私授权,否则无法注册、无法使用。用户信息过度透明,也催生了“大数据杀熟”、“个人身份信息倒卖”、“网络诈骗”等诸多问题。信息化时代,大数据就是财富、是资源,数据的泄露,不仅对公民生命财产安全造成威胁,更重要的是也影响了国家网络安全。根据《中国互联网络发展状况统计报告》数据显示,有超过20%的网民遭遇过个人信息泄露。此外,根据最高检发布的消息显示,2021年共办理个人信息保护领域公益诉讼案件2000余件,同比上升近3倍。
为从法律层面更好保护个人隐私,2021年11月1日,《中华人民共和国个人信息保护法》施行对个人信息作出了明确界定,明确了个人在个人信息处理活动中的权利,以及个人信息处理者的义务,还有履行个人信息保护职责的部门,如何依法推进个人信息保护工作。但同时,该部法律的出台,也对企业个人信息数据安全合规提出了新的考验。那么,相关企业如何防范个人隐私泄露?如何加强数据安全能力,做到合法合规呢?
ISO27701隐私信息管理正是基于此需求而开发的一项国际管理体系标准,它是对ISO27001信息安全管理和ISO27002安全控制在隐私信息管理方面的扩展,为企业保护个人隐私信息方面提供指导。ISO27701标准的发布,填补了隐私信息管理体系的空白,将隐私保护的原则、理念和方法,融入到信息安全保护体系中,并且对PII控制者和PII处理者进行了较为详细且落地性的规定,对组织在隐私保护和信息安全方面给出了指导建议。那么实施ISO27701认证有哪些好处呢?
1.合规。通过明确对PII处理者的隐私保护要求,可以明确隐私保护管理合规目标,减轻组织合规负担的同时降低了组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求,而GDPR是众多隐私保护法规中最为严格的,也就意味着满足了即将颁布的《隐私保护法》的系列要求。
2.完善自身数据安全能力和风险管理。实现持续完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
3.可以传递信任。客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常为要求PII处理者提供相关证据(如PIA分析报告),从而证明PII处理者的产品能符合使用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大的降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。
擎标提醒,随着信息化的快速发展,再加上资本助力,网络运营者的数据规模急速增加,“数据安全”、“个人信息保护”和“国家层面的数据保护” 这三个方面的责任也在急剧增加,让数据在使用过程中保证安全,是每个网络运营者不可推卸的责任。当然,越来越多的企业为了满足合规要求,顺利开展业务,正当合理使用、存储用户个人数据,减少隐私信息外泄的事件发生,开始正规的、系统的开展隐私管理工作,ISO27701逐步进入越来越多企业的视野。上海擎标信息技术服务有限公司于2019年10月为上海医药临床研究中心获得全球第二张ISO27701隐私信息管理体系认证证书,更有众多大型企业案例,是企业实施隐私信息安全管理的不二之选。