ISO/IEC 27701 隱私資訊管理

ISO/IEC 27701 隱私資訊管理

個人資訊保護的當責與信任

個人資訊保護的當責與信任

Red Overlay
Red Overlay

關於 ISO/IEC 27701 隱私資訊管理

ISO/IEC 27701 為 ISO/IEC 27001 資訊安全管理系統 和 ISO/IEC 27002 資訊安全控制措施的擴展,是 ISO 國際標準組織於 2019 年發布之 PIMS 國際標準。

ISO/IEC 27701 為保護個人隱私資訊提供指引,藉由補充額外的管控要求,以建立、實施、維護和持續改善在 ISMS 範圍內的隱私資訊管理(Privacy Information Management),降低隱私資訊所面臨的風險。


ISO/IEC 27701 的益處

  • 為個人資訊管理建立信任
  • 為利害關係者之間提供透明度
  • 促成有效的商業協議
  • 更明確的角色管理和職責
  • 在 ISO/IEC 27001 範圍內實施隱私保護

誰適用 ISO/IEC 27701

  • PII 控制者(包括 PII 的協同控制者)
  • PII 處理者(包括使用外包商的 PII 處理者)
  • 在隱私保護範圍內已實施完整 ISMS

國際標準與時俱進的發展歷程

全球網路安全相關法令法規正在迅速增加及實施,如何減少不可預期之風險並保護個人資訊或隱私?

管理是一個過程,是世界進步的指针,瞭解標準之演進,內化標準之精神,是組織因應適法性要求並保護聲譽的有效途徑。

ISMS 與 PIMS 國際標準與時俱進的發展歷程

點擊看大圖


標準相輔相成,從 ISMS 資訊安全到 PIMS 個資保護

為維護組織及個人使用者資訊安全,國內外皆陸續制修訂一系列資訊安全或個資保護相關標準,如:國際標準 ISO/IEC 27000 系列標準、BS 10012、ISO 29100...等,這些標準之間相輔相成,其關聯如下,從中參考各項標準要點,進而建立適合組織情況的 PIMS 個資管理系統。

    版本年份   主要目的   特色
             

ISO/IEC 27001

 
  • 前身為 1995 年發布之 BS 7799 

  • 2005 首次發布

  • 2013 改版 ( 現行版本 )
 
  • 全球第一個資訊安全管理國際標準

  • 建置符合組織需求的資訊安全控制措施,達成一定水準的資安防護能力
 
  • 全球第一個資訊安全管理國際標準

  • 建置符合組織需求的資訊安全控制措施,達成一定水準的資安防護能力
             

ISO/IEC 27701

 
  • 2019 首次發布
 
  • 擴充 ISO/IEC 27001 與 ISO/IEC 27002 下的隱私保護要求和控制措施

  • 透過增項要求強化 ISO/IEC 27001,以利建置、實施、維護與持續改善 PIMS
 
  • 著重隱私保護的控制措施 • 定義管理流程並提供持續發展的基礎上保護PII (個人識別資訊) 的實務指南

  • 同時整合ISO 27001、ISO 27002、ISO 29100之實務作法

  • 是目前相關標準中最新公布的版本,亦與趨勢議題有高度接軌
             

BS 10012

 
  • 2009 首次發布

  • 2017 改版 ( 與 GDPR 接軌,現行版本 )
 
  • 全球第一個個人資訊管理國際標準

  • 2017 年版修訂目的是調和歐盟於 2016 年公布「GDPR 一般資料保護規範」,BS 10012:2017 率先成為全球最佳 PIMS 實務參考
 
  • 採用 PDCA 結構,為現行國際間運行最為成熟的 PIMS 實務管理框架之一

  • 已有多數國內組織採用且運行多年,實務上亦與台灣個資法、歐盟 GDPR 進行調和,作法相對成熟穩健

  • 與我國個資法同為基於 OECD、APEC 及多國資料保護法最佳實務所制定
             

ISO 29100

 
  • 2011 首次發布

  • 2018 小幅改版 ( 與GDPR 接軌,同時與 ISO 29134:2017 隱私衝擊評估標準定義整合 )
 
  • 協助組織定義、辨識並保護其資通訊系統中的個人資訊隱私安全
 
  • 具體說明在資訊科技運用上如何建立管理控制要求,以符合個人資料保護法的相關規範,讓組織能設計必要的控制點以符合個人資料保護法律及產業優良實務的遵循