|
對身處資訊科技突飛猛進的現代人而言,臉書、IG、推特、line、youtube以及部落格等各種社群媒體使人與人之間的聯繫更加緊密,在數位的世界裡充滿了驚喜和歡樂,但也同時帶來了風險,使用者個資外洩的問題更是時有所聞。因此,如何減少資安風險並保護大眾在網路上的隱私安全,實為刻不容緩之課題。有鑑於此,國際標準化組織(ISO)於2019年8月公布了ISO/IEC
27701「安全技術-擴展ISO/IEC
27001和ISO/IEC 27002的隱私資訊管理-要求和指導原則(Security techniques — Extension
to ISO/IEC 27001 and ISO/IEC 27002 for privacy information
management — Requirements and
guidelines)」,為世界上第一個用以幫助組織管理隱私資訊並滿足相關法規要求的國際標準。
根據IBM於2019年發表的全球資料外洩成本研究報告(2019 Cost of a Data Breach
Report),報告內容重點為面談了超過500家曾經在2018到2019年遭遇資料外洩的全球企業。研究報告中指出,資料外洩所帶來的企業成本逐年偏高,每年被外洩的消費者資料數量也越來越多,平均每次資料外洩事件會對企業造成392萬美金的成本損失,企業從找出資料外洩的根本原因到將外洩問題獲得妥善控制平均需要花上279天,而其中醫療產業資料外洩平均成本高達645萬美金。
由上述報告可知,保護大眾的隱私資訊是一項極重要的事務,相關法律義務也越來越嚴格,世界各國的政府都在積極導入各種隱私法規,例如歐盟於2017年發布各會員國必須遵守的「歐盟一般資料保護規則(the
European Union's General Data Protection Regulation ,
GDPR)」就是影響歐盟甚至全世界至為深遠的法規,而新公告的ISO/IEC 27701:2019標準將能幫助各組織滿足這些要求。
ISO/IEC
27701:2019為ISO/IEC
27001(資訊安全管理系統)和ISO/IEC
27002(資訊安全控制措施)的擴展,為保護個人隱私資訊的作法提供指引,藉由補充額外的管控要求,以建立、實施、維護和持續改善在資訊安全管理系統(Information
security management systems, ISMS)範圍內的隱私資訊管理(Privacy Information
Management, PIM),妥適處理個人可識別身份資訊(personally identifiable
information, PII),以降低隱私資訊所面臨的風險。簡而言之,就是一種用於保護個人資料的管理系統。
ISO/IEC
27701:2019標準主要的內容分為8個節次,以下分述4點簡單說明之:
一、第1節至第3節,主要是說明適用範圍、引用標準、用語定義,ISO/IEC
27701適用於任何類型的組織。第4節是針對標準的整體性說明,包括隱私資訊管理系統(Privacy Information
Management System, PIMS)的要求如何對應到ISO/IEC
27001的第4至10節管理系統,以及PIMS的增項指引如何對應到ISO/IEC 27002的第5至18節的控制措施。
二、第5節至第6節進一步敘述在第4節提到的PIMS對應ISO/IEC 27001管理系統要求和ISO/IEC
27002控制措施實施指引,其內容方面,第5節結合了ISO/IEC 27001管理系統中PDCA(Plan, Do, Check,
Action)的精神;第6節則結合了ISO/IEC 27002的14個控制領域和114個控制措施,並且從中額外補充強化了32個控制措施。
三、第7節和第8節則分別從PII控制者和PII處理者的角度,分別針對「蒐集和處理個人資料的條件」、「對PII當事人的責任」、「隱私設計和隱私預設」以及「PII分享、傳輸和揭露」等四個領域,作出相關的要求。
四、最後,在標準的附錄A~F中,還補充了PII控制者和PII處理者可參考的控制目標和控制措施,以及對應到ISO/IEC
29100(註1)、GDPR、ISO/IEC 27018(註2)和ISO/IEC
29151(註3)的章節編號,並且加上如何應用此標準的說明,對於想要整合多項標準和遵循GDPR的組織而言,該部分是非常清楚的參考資訊。
此外,在國內標準方面,經濟部標準檢驗局(以下簡稱本局)目前亦已參考ISO國際標準制定CNS
27001(對應ISO/IEC
27001)、CNS
27002(對應ISO/IEC
27002)等多種資訊安全相關國家標準,期與國際接軌,其中與隱私資訊相關的標準如:CNS
29100(對應ISO/IEC
29100)、CNS
29134(對應ISO/IEC
29134(註4))等,對參與設計或實作專案者,包括操作處理PII之資料處理系統及服務的各方實屬重要之規範。
上述相關國家標準資訊(料)皆置放於本局「國家標準(CNS)網路服務系統」,歡迎各界上網查詢閱覽;ISO國際標準相關資訊可參考ISO官網。此外,本局已和ISO國際標準化組織簽訂授權銷售合約,民眾只需支付權利金,即可合法取得最即時的標準資料,歡迎各界多加利用。如需查詢本局外國標準館藏狀況、價格及購買方式,請至本局「標準資料查詢系統」查詢或撥打服務專線02-23431980洽詢。
|
註1: |
ISO/IEC 29100「資訊技術-安全技術-隱私權框架(Information technology —
Security techniques — Privacy framework)」 |
|
註2: |
ISO/IEC 27018「資訊技術-安全技術-公用雲PII
處理者保護個人可識別資訊(PII)之作業規範(Information technology — Security
techniques — Code of practice for protection of personally
identifiable information (PII) in public clouds acting as
PII processors)」 |
|
註3: |
ISO/IEC 29151:2017「資訊技術-安全技術-個人可識別資訊保護之作業規範(Information
technology — Security techniques — Code of practice for
personally identifiable information protection)」 |
|
註4: |
ISO/IEC 29134:2017「資訊技術-安全技術-隱私衝擊評鑑之指導綱要(Information
technology — Security techniques — Guidelines for privacy
impact assessment)」 |
參考資料來源: ISO
News、IBM
2019年資料外洩成本報告、ISO/IEC
27701:2019、
BSI文章、CNS國家標準
|
小安心
