ISO 27701是什么?
是ISO 27001和 ISO 27002的扩展内容,对建立、实施、维护和持续改进隐私信息管理系统(PIMS)的各项要求做出了规定,是首部针对隐私信息管理的国际标准。该标准概述了适用于个人可识别信息控制者和处理者的框架,以降低侵犯个人隐私权的各种风险。
先看一下风险评估,ISO27001 要求风险评估,则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括:风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法,也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法,有兴趣可查看。
再看隐私影响评估,隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险,还包括处理PII处理过程中存在的合规风险( PII主体合法权益是否遭到损害的各种风险)。
隐私影响评估与信息安全风险评估可以同时开展或分别进行。
可参考的标准:《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》
可以使用工具进行辅助,据小伙伴分享,目前已经有部分厂商提供相应检测产品以及服务,有需要的可以采购起来;产品原型可能是基于:《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南 》、《移动互联网应用程序(App)系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准
我司也已经开源了一版DPIA系统,基于GDPR要求,识别隐私风险的过程工具,势在把技术、流程、人有效整合,详见本公众号《猎豹移动DPIA系统开源》,目前结合ISO27701要求,第二版本在研发优化中,敬请等待。
最后介绍下我司此次隐私影响评估的具体做法,因工具在开发中,主要靠表格工具实施,分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度,梳理识别各应用中各功能(包括不限于基本功能、附加功能)分别收集的PII信息以及获取权限的合规与安全情况,包括收集信息是否公开透明,目的是否合理明确、收集是否经过授权同意、最少够用等,存储、使用、传输是否具有相应安全措施,是否符合相应地区的法律要求及合同要求等等。
