取消
清空記錄
曆史記錄
清空記錄
曆史記錄
1. 近年(nián)是裡暗兵來,随着網絡的(de)發展,信息化的(de)普及,竊取他人隐私,**他人隐私的(de請的工綠)法規現象時有發生,那什麽是隐私風險?隐私風險是指個人遇到的(de)與見匠美他其個人數據處理(lǐ)相關問題的(de)可(kě中機刀話)能性,以及這些問題一(yī)旦發生所帶來的(de)影響。隐私風險包括但不限于缺乏适當的(de)技見技了裡術性保障措施、社交媒體攻擊、移動惡意軟件、第水做吧對三方非授權訪問、由于不當配置造成的(de)疏忽、未按時更新的舞高厭遠(de)安全軟件等。本文借鑒了一(yī)些文身會答算章(zhāng)和(hé)參考了一(yī)些資料資年玩到,筆(bǐ)者将分幾個層面對隐私風險管理(lǐ)進行闡述,本文先回顧下家朋算來全球隐私保護立法趨勢,再讨論隐私風險管理(lǐ)的(de)必要性,我們将淺析 ISO277靜費國他01隐私風險管理(lǐ)标準。
2. 回顧下全球隐私保護立法趨勢
當今社會數據濫用、數據竊取、隐私洩露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下,全球區地去請各個國家紛紛頒布相關法律法規,對數據安全與隐私保護相關問題進行嚴格的(de)規範與引導。比較唱新外低重點的(de)幾個隐私法律,如(rú):
3、 隐私風險管理(lǐ)的(de)必要多男年煙性
一(yī)般情況下,導緻隐私保護不合規的(de)原因主要表現在幾方面:
隐私保護不合規造成的(de)後果:
所以這就體現了隐私風險管理(lǐ)的(de)價值:
4. 隐私風險管理(lǐ)标準參考-淺析ISO27701
聊到隐私就不得不提及一(yī)個很重要的(de)标準:ISO27701,那什公高拿務麽是ISO27701?
ISO 27701 源自(zì) ISO/IEC 27552,你影美什為(wèi)建立、實現、維護和(hé)持續改進隐私信息管理(lǐ)系統 們窗西窗(PIMS) 提供具體要求和(hé)指南,令 PIMS件議廠妹 作為(wèi) ISO 27001 中定義的(de)靈活信息安全管理(l舊作信他ǐ)系統 (ISMS) 的(de)擴展,在信息安全的(de)基礎上将處理(lǐ跳也校樹) PII 所需的(de)隐私保護納入考慮。與 ISO 27001 标準類似, ISO 2小也會跳7701 不期望組織機構在所有情況下采納每一(yī)條控制。相反,該标準要求組喝靜是有織機構理(lǐ)解自(zì)身 PII 處理(lǐ)的(de)具體上下文,以适合其處理(lǐ)活動和間女廠的(de)方式調整特定控制集和(hé)與之相關的(de)實現。
PII:個人可(kě)識别身份信息,指 任何可(k店爸司火ě)以識别PII主體的(de)信息或直接或間接與PII主體相關的(de)信息
PIMS:隐私信息管理(lǐ)體系
PII控制者的(de)customer:中業個睡與PII控制者有合約關系的(de)組織,可(kě)以是共同控制者
PII處理(lǐ)者的(de)customer:與PII處理(lǐ)者有合煙說從校約關系的(de)PII處理(lǐ)者控制者和(hé)處理(lǐ)者。這兩個術語在很多隐私法律什物吃跳和(hé)規定中都能見到,包括 GDPR。通常,“控制者” 是指示為子工動媽(wèi)什麽要收集和(hé)處理(lǐ) PII 的(de)實體,“處理(lǐ)者” 是不輛下時**該控制者負責處理(lǐ)此數據的(de)另一(yī)個法律實錢煙的靜體(非員工)。
新發布的(de)标準适用于 PII 控制者(及聯合控制者)和(hé)銀件厭動處理(lǐ)者(包括下級處理(lǐ)者),無論其運營的(de)行化好場匠業和(hé)司法轄區,也包括到 GDPR 和(hé) SO/IEC 29100、ISO/呢從看理IEC 27018 及 ISO/IEC 窗會兒間29151 安全框架的(de)映射。預計 I費呢行信SO 27701 要求還将映射到其他隐私法律,如(r又麗學紅ú)《2018 加州消費者隐私法案》(CCPA)志林林服、《金融服務現代化法案》(GLBA) 和(hé)《健康理個票章保險流通與責任法案》(HIPAA) 等,通過提供通用的(d鐘刀地志e)合規标準幫助組織機構更好地(dì)符合這些監管要求。
下面我們就就來看看适用于控制者和(hé)處理(lǐ)者的(de)關鍵 IS來哥錢明O 27701 要求。
适用于控制者和(hé)處理(lǐ)者的(d筆刀紅近e)要求
保密性:經授權訪問 PII 的(de)個人必須履行保密協議。
分析風險:必須進行隐私風險評估以識别 PII 處理(lǐ)風險。
監管:組織機構必須指定負責開發、實現、維護和(hé)監視(要冷習那shì)其治理(lǐ)及隐私項目的(de)個人。
培訓:可(kě)以訪問 PII 的(de)人員需經過隐私意識培訓。
內(nèi)部過程:組織機構必須為(wèi)應對 PII 洩露房司錢也事件而采納各種策略和(hé)規程,比如(rú)事件響應國時知答計劃。
記錄保存:ISO 27701 要求組織機構保留火老拿購所有 PII 處理(lǐ)活動的(de)記錄,包括 PII 在司法轄區間轉移和(hé下話爸了)向第三方披露等。
特定于控制者的(de)要求
隐私通告:組織機構必須提供包含 PII 收集、使用和(hé)處理(lǐ)相關在風房好具體信息的(de)隐私政策。
處理(lǐ)者合同要求:組織機構必須與其處理(lǐ)者簽訂書面合同家上玩亮,約定具體事項,比如(rú)保護 PII、限制處理(l工呢愛時ǐ)操作*可(kě)在 PII 特定用途範圍內(nè跳快動費i),以及提供 PII 洩露通報。
個**益:ISO 27701 要求組織機構實現各種機制,賦予鐵資放身個人訪問、修改和(hé)删除其 PII,以及反對或限制 PII 處理(lǐ)等權益。
設計隐私與默認隐私:組織機構必須采取措施哥個術花實現設計隐私和(hé)默認隐私原則。
特定于處理(lǐ)者的(de)要求
處理(lǐ)限制:組織機構必須*按控制者或處理(lǐ)者(取術錢作相決于客戶的(de)角色)的(de)說明處理(lǐ) PII。
輔助個**益:ISO 27701 要求處理(lǐ)者實鄉店議水現幫助客戶遵從個**益的(de)種種措施。
轉移與披露:處理(lǐ)者必須于 PII 在司法轄區間轉和懂那會移或任何預期變化發生前通告客戶。
分包商:ISO 27701 要求處理(lǐ)者*可(kě)雇傭一(yī)家分包商按照客戶微亮花們合同的(de)條款處理(lǐ) PII。ISO 27701的(de)目标是通過對于隐私保護的(de)控制實現對ISMS進行補充,使個快間老企業建立PIMS,實現有效的(de)隐私管理(lǐ),從而使企業獲益下路中購。
ISO 27701與各标準之間的(de)工聽如我關系
a) ISO 27701是ISO 27001和(hé)ISO 27002在隐私方面的(de拿煙黃又)擴展。
b) ISO 27002為(wèi)ISO 2要討遠市7001提供風險處置具體的(de)控制目标和(hé)控制措施。
c) ISO 29100、ISO 27018、ISO 29151均為也舊房就(wèi)隐私方面的(de)标準,有不同的(去愛麗可de)側重點,與ISO 27701互為(wèi)補充。
d) ISO 27001幫助企業建立ISMS,通過有效的(de)風險管理(lǐ)來保護和(hé工機妹員)管理(lǐ)組織的(de)所有信息,從數據安全方面滿足GDPR的(de)部分要求。
e) ISO 27701加入了隐私保護的(de)額外要求,更**地(dì)覆蓋了G熱離林機DPR的(de)要求。
無論組織機構的(de)規模大小,不管身為(wèi) 市雨兒黃PII 控制者還是處理(lǐ)者,公司企業都應考慮獲取 ISO 27門體商店701 認證,要麽是自(zì)身,要麽要求供應商獲得。對處理(lǐ)敏感或大量綠開作小 PII 的(de)處理(lǐ)者、下級處理(l小白問作ǐ)者和(hé)聯合控制者而言尤其如(rú)此。
無論組織機構的(de)規模大小,不管身為(wè我從熱輛i) PII 控制者還是處理(lǐ)者,公司企業都應考慮獲取 ISO 27701 認證,要麽是自(zì)身,要麽要求供應商獲得。對處理(lǐ)敏感或大量 PII 的(de)處理(lǐ)者、下級處理(lǐ)者和(hé)聯合控制者而言尤其如(rú)此。請熱你嗎
相關新聞