论文部分内容阅读
摘要:分析ISO/IEC 27701:2019及其相关标准,探讨PIMS与信息安全管理体系(ISMS)如何从管理体系层次进行整合以及在安全控制层次进行结合。
关键词:隐私信息管理体系 信息安全管理体系 ISO/IEC 27701
1 引言
ISO/IEC 27701:2019《安全技术 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南》(Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)由ISO/IEC JTC 1/SC 27的WG 51)开发,于2019年8月6日正式发布。美国OneTrust公司在2019年8月19日获得了全球第一张ISO/IEC 27701:2019认证。
ISO/IEC 27701开发的初衷在引言0.1中被描述为:几乎每个组织都处理个人可识别信息(personally identifiable information,PII)。此外,PII处理的数量和类型正在增加,组织需要与其他组织合作处理PII的情况也在增加。在PII处理情境中的隐私保护是一种社会需求,也是全世界专门立法和/或监管的主题。
2 相关标准的组合应用
ISO/IEC 27701:2019并不是一个可以独立应用的标准,在规范性引用文件中就已经指明,其部署的基础至少要包括ISO/IEC 27001、ISO/IEC 27002以及ISO/IEC 29100。与其他ISO/IEC 27000标准族之间的关系虽然没有如此紧密,但是也多有引用。
在ISO/IEC 29151:2017 《信息技术 安全技术 个人可识别信息保护实用规则》(Information technology—Security techniques—Code of practice for personally identifiable information protection)的“引言”部分对其中几个标准给出了梳理,限于标准发布的时间先后顺序,所列标准不够全面,图1标识了ISO/IEC 27701:2019及其相关标准之间的关系。
可以认为,ISO/IEC 27701:2019是ISO/IEC 27001:2013和ISO/IEC 27002:2013的扩展版本,但是并没有明确的标识依据ISO/IEC 27009,在这点上与ISO/
IEC 27151:2017还是不同的。因此,如上文所述,ISO/IEC 27701:2019既包括了要求,也包括了指南(实际是控制)。在基于ISO/IEC 27701:2019的PIMS部署过程中,并不能单独应用,而是建立在已有的ISMS(基于ISO/IEC 27001)基础上整合应用。
就控制集而言,ISO/IEC 27701:2019和ISO/IEC 27151:
2017主要存在以下区别:
(1)ISO/IEC 27701:2019针对隐私保护的控制,按照PII控制者和PII处理者的不同的角色分开,分别对应第7章和第8章,同时对应至附录A和附录B。ISO/IEC 27151:2017并没有试图分开这两种角色,而是直接在附录A中给出了针对PII保护的附加控制。
(2)ISO/IEC 27151:2017中的控制按照ISO/
IEC 29100:2011的11项原则分类,ISO/IEC 27701:2019虽然也以此为基础,但是重新进行了分类,一共有4项,分别为:收集和处理的条件、对PII主体的义务、设计隐私和默认隐私、PII分享、转移与披露。这样分类的好处是更有利于部署。
ISO/IEC 27701:2019在建立过程中用到的风险管理,主要是基于ISO/IEC 29134:2017《信息技术 安全技术 隐私影响评估指南》( Information technology—Security techniques—Guidelines for privacy impact assessment)。
ISO/IEC 29134:2017描述了一个隐私影响评估(privacy impact assessment,PIA)的过程,其中主要步骤和ISO/IEC 27005等标准一样,与ISO 31000均保持了一致性。但所谓的PIA实际包括了风险评估及风险处置的过程,可以认为是隐私风险管理。
3 管理体系层面的整合
PIMS在ISO/IEC 27701:2019的3.2中定义为“解决可能受PII处理影响的隐私保护问题的信息安全管理体系”。也即是说,PIMS是ISMS的一种,主要致力于解决隐私保护问题。虽然在之前,“管理体系”已经成了一类标准,例如,质量管理体系
(ISO 9001)、IT服务管理体系(ISO/IEC 20000-1)和环境管理体系(ISO 14001)等,但是相互之间都是强调體系整合,并没有相互之间包含的关系。
ISO/IEC 27701:2019第5章规定了与ISO/IEC 27001相关的PIMS具体要求,其中主要描述了建立管理体系的过程,由于管理体系标准一般都要遵循《ISO/IEC导则》第1部分附录SL中所定义的结构,因此所有的该类标准在架构上都是一致的,只是细节略有区别。大致如图2 所示。
在实践中,ISO/IEC 27001:2013中使用“信息安全”词汇的地方,则相应的修改为“信息安全和隐私”。
在图2中的步骤中,PIMS与ISMS相比较,区别最大的是“组织环境”和“计划”,而“领导”和“支持”基本是一致的,“运行”就是运行、绩效评价和改进,由于“绩效评价”和“改进”也不太涉及具体的控制,因此在描述上几乎一致,但是在实际操作中可能还是存在区别。 部署PIMS过程中,组织环境需要考虑PII的利益相关者,且更注重法律和/或法规的要求。在ISMS情境中,组织是事件的受害者,同时也是信息安全的行动者。但是在PIMS中,组织是行动者,无论是作为“控制者”还是“处理者”,但是一旦发生隐私事件,受害者却是“隐私主体”。其作为责任者,往往是因为行政当局的监管。
区别最大的是“计划”阶段,期间主要是进行风险评估,然后在风险处置过程中选择附录A和附录B中的“控制”。在本章节中,并没有指出可以参考ISO/IEC 29134,而是在7.2.5中将PIA作为一个具体的控制提供,并给出了该标准的索引。
4 安全控制层面的结合
在ISO/IEC 27701:2019中,第6章给出了与ISO/IEC 27002相关的PIMS具体指南,第7章和第8章,分别对PII控制者和PII处理者规定了附加的ISO/IEC 27002指南。
本文中不再讨论具体某项控制的结合,一般而言,信息安全控制与业务流程的结合[1]途径有三种:校准(align)、整合(integrate)以及嵌入(embed)。隐私控制与信息安全控制的结合也不外乎上述途径。
校准是指隐私控制也以流程的形式呈现,且无法通过其他途径精简,需要与其最相关的信息安全流程进行校准,以确保该流程尽量少影响或不会影响已有流程的运转。整合也是指隐私控制以流程的形式呈现,这个流程与已有的信息安全流程各有重点,但是存在程序上或逻辑上的共同之处,可以考虑将两者或者更多整合成一个流程,从而减少了流程的总体数量,同时降低了执行者的负担。实际上,更多的信息安全控制和隐私控制都是以控制点的形式呈现,并不能作为单独的流程。嵌入主要针对隐私控制点,是将这些控制点嵌入到现有的信息安全流程上。
无论是流程的校准、整合还是嵌入,最主要的目的之一是要降低对已有流程的干扰,以更节约的方式促进隐私保护制度的落地。
5 小结
基于ISO/IEC 27701的隐私信息管理体系是关注个人可识别信息(PII)保护的信息安全管理体系,其本身并不倾向于单獨部署,而是建议在已有的管理体系基础上重新整合。因此,本文从管理体系层次探讨了整合问题,在安全控制层次探讨了流程结合问题。
参考文献
[1] 赵秀堃, 谢宗晓. 信息安全与组织业务流程结合探讨[J]. 中
国标准导报, 2016(7):36-38.
关键词:隐私信息管理体系 信息安全管理体系 ISO/IEC 27701
1 引言
ISO/IEC 27701:2019《安全技术 ISO/IEC 27001与ISO/IEC 27002在隐私信息管理的扩展 要求与指南》(Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines)由ISO/IEC JTC 1/SC 27的WG 51)开发,于2019年8月6日正式发布。美国OneTrust公司在2019年8月19日获得了全球第一张ISO/IEC 27701:2019认证。
ISO/IEC 27701开发的初衷在引言0.1中被描述为:几乎每个组织都处理个人可识别信息(personally identifiable information,PII)。此外,PII处理的数量和类型正在增加,组织需要与其他组织合作处理PII的情况也在增加。在PII处理情境中的隐私保护是一种社会需求,也是全世界专门立法和/或监管的主题。
2 相关标准的组合应用
ISO/IEC 27701:2019并不是一个可以独立应用的标准,在规范性引用文件中就已经指明,其部署的基础至少要包括ISO/IEC 27001、ISO/IEC 27002以及ISO/IEC 29100。与其他ISO/IEC 27000标准族之间的关系虽然没有如此紧密,但是也多有引用。
在ISO/IEC 29151:2017 《信息技术 安全技术 个人可识别信息保护实用规则》(Information technology—Security techniques—Code of practice for personally identifiable information protection)的“引言”部分对其中几个标准给出了梳理,限于标准发布的时间先后顺序,所列标准不够全面,图1标识了ISO/IEC 27701:2019及其相关标准之间的关系。
可以认为,ISO/IEC 27701:2019是ISO/IEC 27001:2013和ISO/IEC 27002:2013的扩展版本,但是并没有明确的标识依据ISO/IEC 27009,在这点上与ISO/
IEC 27151:2017还是不同的。因此,如上文所述,ISO/IEC 27701:2019既包括了要求,也包括了指南(实际是控制)。在基于ISO/IEC 27701:2019的PIMS部署过程中,并不能单独应用,而是建立在已有的ISMS(基于ISO/IEC 27001)基础上整合应用。
就控制集而言,ISO/IEC 27701:2019和ISO/IEC 27151:
2017主要存在以下区别:
(1)ISO/IEC 27701:2019针对隐私保护的控制,按照PII控制者和PII处理者的不同的角色分开,分别对应第7章和第8章,同时对应至附录A和附录B。ISO/IEC 27151:2017并没有试图分开这两种角色,而是直接在附录A中给出了针对PII保护的附加控制。
(2)ISO/IEC 27151:2017中的控制按照ISO/
IEC 29100:2011的11项原则分类,ISO/IEC 27701:2019虽然也以此为基础,但是重新进行了分类,一共有4项,分别为:收集和处理的条件、对PII主体的义务、设计隐私和默认隐私、PII分享、转移与披露。这样分类的好处是更有利于部署。
ISO/IEC 27701:2019在建立过程中用到的风险管理,主要是基于ISO/IEC 29134:2017《信息技术 安全技术 隐私影响评估指南》( Information technology—Security techniques—Guidelines for privacy impact assessment)。
ISO/IEC 29134:2017描述了一个隐私影响评估(privacy impact assessment,PIA)的过程,其中主要步骤和ISO/IEC 27005等标准一样,与ISO 31000均保持了一致性。但所谓的PIA实际包括了风险评估及风险处置的过程,可以认为是隐私风险管理。
3 管理体系层面的整合
PIMS在ISO/IEC 27701:2019的3.2中定义为“解决可能受PII处理影响的隐私保护问题的信息安全管理体系”。也即是说,PIMS是ISMS的一种,主要致力于解决隐私保护问题。虽然在之前,“管理体系”已经成了一类标准,例如,质量管理体系
(ISO 9001)、IT服务管理体系(ISO/IEC 20000-1)和环境管理体系(ISO 14001)等,但是相互之间都是强调體系整合,并没有相互之间包含的关系。
ISO/IEC 27701:2019第5章规定了与ISO/IEC 27001相关的PIMS具体要求,其中主要描述了建立管理体系的过程,由于管理体系标准一般都要遵循《ISO/IEC导则》第1部分附录SL中所定义的结构,因此所有的该类标准在架构上都是一致的,只是细节略有区别。大致如图2 所示。
在实践中,ISO/IEC 27001:2013中使用“信息安全”词汇的地方,则相应的修改为“信息安全和隐私”。
在图2中的步骤中,PIMS与ISMS相比较,区别最大的是“组织环境”和“计划”,而“领导”和“支持”基本是一致的,“运行”就是运行、绩效评价和改进,由于“绩效评价”和“改进”也不太涉及具体的控制,因此在描述上几乎一致,但是在实际操作中可能还是存在区别。 部署PIMS过程中,组织环境需要考虑PII的利益相关者,且更注重法律和/或法规的要求。在ISMS情境中,组织是事件的受害者,同时也是信息安全的行动者。但是在PIMS中,组织是行动者,无论是作为“控制者”还是“处理者”,但是一旦发生隐私事件,受害者却是“隐私主体”。其作为责任者,往往是因为行政当局的监管。
区别最大的是“计划”阶段,期间主要是进行风险评估,然后在风险处置过程中选择附录A和附录B中的“控制”。在本章节中,并没有指出可以参考ISO/IEC 29134,而是在7.2.5中将PIA作为一个具体的控制提供,并给出了该标准的索引。
4 安全控制层面的结合
在ISO/IEC 27701:2019中,第6章给出了与ISO/IEC 27002相关的PIMS具体指南,第7章和第8章,分别对PII控制者和PII处理者规定了附加的ISO/IEC 27002指南。
本文中不再讨论具体某项控制的结合,一般而言,信息安全控制与业务流程的结合[1]途径有三种:校准(align)、整合(integrate)以及嵌入(embed)。隐私控制与信息安全控制的结合也不外乎上述途径。
校准是指隐私控制也以流程的形式呈现,且无法通过其他途径精简,需要与其最相关的信息安全流程进行校准,以确保该流程尽量少影响或不会影响已有流程的运转。整合也是指隐私控制以流程的形式呈现,这个流程与已有的信息安全流程各有重点,但是存在程序上或逻辑上的共同之处,可以考虑将两者或者更多整合成一个流程,从而减少了流程的总体数量,同时降低了执行者的负担。实际上,更多的信息安全控制和隐私控制都是以控制点的形式呈现,并不能作为单独的流程。嵌入主要针对隐私控制点,是将这些控制点嵌入到现有的信息安全流程上。
无论是流程的校准、整合还是嵌入,最主要的目的之一是要降低对已有流程的干扰,以更节约的方式促进隐私保护制度的落地。
5 小结
基于ISO/IEC 27701的隐私信息管理体系是关注个人可识别信息(PII)保护的信息安全管理体系,其本身并不倾向于单獨部署,而是建议在已有的管理体系基础上重新整合。因此,本文从管理体系层次探讨了整合问题,在安全控制层次探讨了流程结合问题。
参考文献
[1] 赵秀堃, 谢宗晓. 信息安全与组织业务流程结合探讨[J]. 中
国标准导报, 2016(7):36-38.