商铺名称:深圳市肯达信企业管理顾问有限公司
联系人:陈小姐(小姐)
联系手机:
固定电话:
企业邮箱:2851160899@qq.com
联系地址:
邮编:
联系我时,请说是在智能安防网上看到的,谢谢!
商品详情
为什么选择ISO27701认证?
首先,其适用于所有规模和类型的企业,能够系统的指导企业建立起隐私管理体系,符合其作为数据控制者或处理者处理隐私信息的合规要求;其次,通过此认证可以展现出对隐私保护的可信度与承诺,利于用户的选择与支持;最后,ISO27701与国内海外陆续出台的隐私标准相辅相成,提供了与BS10012,ISO27018、ISO29100这些标准的条款对应关系以及如何应用的说明。且ISO27701是最新发布,目前来看也是比较权威的隐私保护标准,已成为各企业的。
其他隐私标准的简单介绍:
BS10012 :第一个隐私管理国际标准,是GDPR的一个落地指导。
ISO/IEC 29100:隐私框架
ISO/IEC 29151:是隐私保护的实践指南,未深入研究,查阅资料有反馈较于ISO27701侧重隐私管理,其侧重于隐私技术。
ISO/IEC 27018 :又称"云隐保护认证",针对保护云中个人数据安全的行为准则。
ISO27701体系建设过程描述
因为ISO27701是ISO27001和ISO27002关于隐私管理内容的扩展与补充,所以建立隐私管理体系,首先需要根据ISO27001、ISO27002 建立信息安全管理体系,也就是说想要获取ISO27701认证,必要在同时或已获得ISO27001认证的基础上。所以在这里建议,如果企业还没有开展ISO27001信息安全管理体系建设,建议同时进行。这样有利于资源协调,以及体系的“普法”。否则整个体系建立过程中你可能在不断的花精力解释ISO27001和ISO27701有什么不同,配合的工作有何不同。
体系建立的过程包括:调研、风险评估与差距分析、制度体系建立、技术措施整改以及日常运行维护与改进。这里不会一一介绍,会强调部分认为需要注意的重点内容,包括:
1.明确业务范围、物理范围、组织范围及角色
这是十分重要的,因为通过这些内容不但能够确定标准的适用范围,调研风评充分开展的范围,还会决定是否需要考虑其他合规要求,包括是否输入一些海外地区特殊的法律法规要求,国内外的行业标准,以及合作方的合同要求。这决定了隐私项目实施成功与否。
可以从以下几点考虑:
涉及哪些业务,是否涉及海外业务,属于什么行业
隐私信息存储以及业务运营团队所在地在哪
各业务中是否存在联合运营的业务,分别担负的角色是什么?PII控制者还是PII处理者?
PII控制者指:有权决定个人信息处理目的、方式等的组织或个人。
PII处理者:按照PII控制者的要求处理个人身份信息等的组织或个人
2.隐私影响评估
先看一下风险评估,ISO27001 要求风险评估,则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括:风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法,也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法,有兴趣可查看。
再看隐私影响评估,隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险,还包括处理PII处理过程中存在的合规风险( PII主体合法权益是否遭到损害的各种风险)。
隐私影响评估与信息安全风险评估可以同时开展或分别进行。
可参考的标准:《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》
可以使用工具进行辅助,据小伙伴分享,目前已经有部分厂商提供相应检测产品以及服务,有需要的可以采购起来;产品原型可能是基于:《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南 》、《移动互联网应用程序(App)系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准
我司也已经开源了一版DPIA系统,基于GDPR要求,识别隐私风险的过程工具,势在把技术、流程、人有效整合,详见本公众号《猎豹移动DPIA系统开源》,目前结合ISO27701要求,第二版本在研发优化中,敬请等待。
最后介绍下我司此次隐私影响评估的具体做法,因工具在开发中,主要靠表格工具实施,分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度,梳理识别各应用中各功能(包括不限于基本功能、附加功能)分别收集的PII信息以及获取权限的合规与安全情况,包括收集信息是否公开透明,目的是否合理明确、收集是否经过授权同意、最少够用等,存储、使用、传输是否具有相应安全措施,是否符合相应地区的法律要求及合同要求等等。
3.建立组织
这里特别想强调一下体系融合,因为不管信息安全管理体系、隐私管理体系、体系等都要求建立一个相应组织与责任人,随着企业安全建设发展,大部分企业都已建立起相应的体系,构建起相应的组织,所以,开展新的体系时将新职责对应的岗位角色进行相应补充、调整融合即可,这样可以减少组织建设过于复杂以及有利于日常实际作用,具体组织架构也可参考本公众号《信息安全管理体系建设思路》。
4.PII分级
PII分级是落实,调整安全控制措施的重要前提与依据 。根据PII级别分别实施差异化防护策略,落实不同强度的管理及技术措施,实现资源配置效益化,管理张弛有度,防止缺少足够重视或过于保护造成的损失或浪费。
企业分类分级一般都会参考GDPR和《信息安全技术个人信息安全规范》,但,值得注意的是,有些特殊类型的个人数据一定是数据,例如个人基因,生物特征等数据,但有些个人数据需根据具体场景来判断。例如个人上网记录中的“收藏列表”,如果教条的查看35273的附录A和B,很有可能直接判定为非个人信息,但值得注意的是具体场景下分析,如果其反映或可以直接被利用分析出个人主体的隐私,那他的性就值得再商榷了。另外不同PII信息的组合,程度不同,企业可根据具体需要分为多个等级进行管理。
PII分级结果也是隐私影响评估的重要输入,所以在隐私影响评估的业务信息及数据流梳理时就要进行分析并标识。
5.制度建立
根据隐私影响评估以及PII分级情况,依据ISO27701 的标准要求,建立隐私制度管理体系,在已建立的信息安全管理体系中补充完善隐私保护相关内容,如用户主体权利响应的流程要求、个人信息对外提供管理要求,以及应用研发应遵守的隐私保护默认设计要求等。需要注意的是作为PII控制者和PII处理者需要建立的制度要求不同,应根据企业的角色分别进行补充。
其他一些比较容易出错的地方:
谁来提供隐私政策说明?如假设B采购使用了A企业的产品,同时A企业为B提供PII处理的服务,或者B租用A企业产品提供服务,A企业产品已经具有隐私政策说明,此时隐私政策应署名为谁。
这种情况,首先需根据场景分清楚谁决定数据的处理目的,谁是PII控制者,隐私政策应署名PII控制者。如果双方为联合控制者,则应在隐私政策中说明,并通过合同或协议等约束共同处理PII的角色和责任。
如何确保隐私影响评估有效性?可能造成PII识别没有达到完全穷尽或相互独立的原因:
隐私政策评估和PII处理生命周期过程的合规评估各做各的,这也多出现在已经运营维护的业务中,导致PII处理生命周期过程的合规评估中识别的应用功能及涉及信息与权限不能与隐私政策中相对应。
“隐藏”功能容易忽略,例如某应用的密码修改功能只识别到此功能,而关联的短信网关、邮件却被忽略。或与企业的关联公司的业务关系往往容易被忽略,未在对外传输的情况中识别出来。
如何在保护PII的同时保护企业自己?
通过隐私政策公开透明说明PII收集的情况并获取授权的同时,通过技术手段记录PII主体的授权操作,使授权过程有迹可寻,避免隐私保护道路上不必要的扯皮。
公共区域人工智能设备的隐私授权问题?
因唤醒类人工智能设备很难先获取用户明确的授权,所以能够在智能终端本地完成相应操作的,不要将个人信息传输到服务器。若需要传输到服务器才能进行相应功能,应最短时间内删除产生的临时数据并确保不可恢复。
首先,其适用于所有规模和类型的企业,能够系统的指导企业建立起隐私管理体系,符合其作为数据控制者或处理者处理隐私信息的合规要求;其次,通过此认证可以展现出对隐私保护的可信度与承诺,利于用户的选择与支持;最后,ISO27701与国内海外陆续出台的隐私标准相辅相成,提供了与BS10012,ISO27018、ISO29100这些标准的条款对应关系以及如何应用的说明。且ISO27701是最新发布,目前来看也是比较权威的隐私保护标准,已成为各企业的。
其他隐私标准的简单介绍:
BS10012 :第一个隐私管理国际标准,是GDPR的一个落地指导。
ISO/IEC 29100:隐私框架
ISO/IEC 29151:是隐私保护的实践指南,未深入研究,查阅资料有反馈较于ISO27701侧重隐私管理,其侧重于隐私技术。
ISO/IEC 27018 :又称"云隐保护认证",针对保护云中个人数据安全的行为准则。
ISO27701体系建设过程描述
因为ISO27701是ISO27001和ISO27002关于隐私管理内容的扩展与补充,所以建立隐私管理体系,首先需要根据ISO27001、ISO27002 建立信息安全管理体系,也就是说想要获取ISO27701认证,必要在同时或已获得ISO27001认证的基础上。所以在这里建议,如果企业还没有开展ISO27001信息安全管理体系建设,建议同时进行。这样有利于资源协调,以及体系的“普法”。否则整个体系建立过程中你可能在不断的花精力解释ISO27001和ISO27701有什么不同,配合的工作有何不同。
体系建立的过程包括:调研、风险评估与差距分析、制度体系建立、技术措施整改以及日常运行维护与改进。这里不会一一介绍,会强调部分认为需要注意的重点内容,包括:
1.明确业务范围、物理范围、组织范围及角色
这是十分重要的,因为通过这些内容不但能够确定标准的适用范围,调研风评充分开展的范围,还会决定是否需要考虑其他合规要求,包括是否输入一些海外地区特殊的法律法规要求,国内外的行业标准,以及合作方的合同要求。这决定了隐私项目实施成功与否。
可以从以下几点考虑:
涉及哪些业务,是否涉及海外业务,属于什么行业
隐私信息存储以及业务运营团队所在地在哪
各业务中是否存在联合运营的业务,分别担负的角色是什么?PII控制者还是PII处理者?
PII控制者指:有权决定个人信息处理目的、方式等的组织或个人。
PII处理者:按照PII控制者的要求处理个人身份信息等的组织或个人
2.隐私影响评估
先看一下风险评估,ISO27001 要求风险评估,则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括:风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法,也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法,有兴趣可查看。
再看隐私影响评估,隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险,还包括处理PII处理过程中存在的合规风险( PII主体合法权益是否遭到损害的各种风险)。
隐私影响评估与信息安全风险评估可以同时开展或分别进行。
可参考的标准:《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》
可以使用工具进行辅助,据小伙伴分享,目前已经有部分厂商提供相应检测产品以及服务,有需要的可以采购起来;产品原型可能是基于:《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南 》、《移动互联网应用程序(App)系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准
我司也已经开源了一版DPIA系统,基于GDPR要求,识别隐私风险的过程工具,势在把技术、流程、人有效整合,详见本公众号《猎豹移动DPIA系统开源》,目前结合ISO27701要求,第二版本在研发优化中,敬请等待。
最后介绍下我司此次隐私影响评估的具体做法,因工具在开发中,主要靠表格工具实施,分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度,梳理识别各应用中各功能(包括不限于基本功能、附加功能)分别收集的PII信息以及获取权限的合规与安全情况,包括收集信息是否公开透明,目的是否合理明确、收集是否经过授权同意、最少够用等,存储、使用、传输是否具有相应安全措施,是否符合相应地区的法律要求及合同要求等等。
3.建立组织
这里特别想强调一下体系融合,因为不管信息安全管理体系、隐私管理体系、体系等都要求建立一个相应组织与责任人,随着企业安全建设发展,大部分企业都已建立起相应的体系,构建起相应的组织,所以,开展新的体系时将新职责对应的岗位角色进行相应补充、调整融合即可,这样可以减少组织建设过于复杂以及有利于日常实际作用,具体组织架构也可参考本公众号《信息安全管理体系建设思路》。
4.PII分级
PII分级是落实,调整安全控制措施的重要前提与依据 。根据PII级别分别实施差异化防护策略,落实不同强度的管理及技术措施,实现资源配置效益化,管理张弛有度,防止缺少足够重视或过于保护造成的损失或浪费。
企业分类分级一般都会参考GDPR和《信息安全技术个人信息安全规范》,但,值得注意的是,有些特殊类型的个人数据一定是数据,例如个人基因,生物特征等数据,但有些个人数据需根据具体场景来判断。例如个人上网记录中的“收藏列表”,如果教条的查看35273的附录A和B,很有可能直接判定为非个人信息,但值得注意的是具体场景下分析,如果其反映或可以直接被利用分析出个人主体的隐私,那他的性就值得再商榷了。另外不同PII信息的组合,程度不同,企业可根据具体需要分为多个等级进行管理。
PII分级结果也是隐私影响评估的重要输入,所以在隐私影响评估的业务信息及数据流梳理时就要进行分析并标识。
5.制度建立
根据隐私影响评估以及PII分级情况,依据ISO27701 的标准要求,建立隐私制度管理体系,在已建立的信息安全管理体系中补充完善隐私保护相关内容,如用户主体权利响应的流程要求、个人信息对外提供管理要求,以及应用研发应遵守的隐私保护默认设计要求等。需要注意的是作为PII控制者和PII处理者需要建立的制度要求不同,应根据企业的角色分别进行补充。
其他一些比较容易出错的地方:
谁来提供隐私政策说明?如假设B采购使用了A企业的产品,同时A企业为B提供PII处理的服务,或者B租用A企业产品提供服务,A企业产品已经具有隐私政策说明,此时隐私政策应署名为谁。
这种情况,首先需根据场景分清楚谁决定数据的处理目的,谁是PII控制者,隐私政策应署名PII控制者。如果双方为联合控制者,则应在隐私政策中说明,并通过合同或协议等约束共同处理PII的角色和责任。
如何确保隐私影响评估有效性?可能造成PII识别没有达到完全穷尽或相互独立的原因:
隐私政策评估和PII处理生命周期过程的合规评估各做各的,这也多出现在已经运营维护的业务中,导致PII处理生命周期过程的合规评估中识别的应用功能及涉及信息与权限不能与隐私政策中相对应。
“隐藏”功能容易忽略,例如某应用的密码修改功能只识别到此功能,而关联的短信网关、邮件却被忽略。或与企业的关联公司的业务关系往往容易被忽略,未在对外传输的情况中识别出来。
如何在保护PII的同时保护企业自己?
通过隐私政策公开透明说明PII收集的情况并获取授权的同时,通过技术手段记录PII主体的授权操作,使授权过程有迹可寻,避免隐私保护道路上不必要的扯皮。
公共区域人工智能设备的隐私授权问题?
因唤醒类人工智能设备很难先获取用户明确的授权,所以能够在智能终端本地完成相应操作的,不要将个人信息传输到服务器。若需要传输到服务器才能进行相应功能,应最短时间内删除产生的临时数据并确保不可恢复。
在线询盘/留言
