- 2025年4月 | 272期
- 2025年3月 | 271期
- 2025年2月 | 270期
- 2025年1月 | 269期
- 2024年12月 | 268期
- 2024年11月 | 267期
- 2024年10月 | 266期
- 2024年9月 | 265期
- 2024年8月 | 264期
- 2024年7月 | 263期
- 2024年6月 | 262期
- 2024年5月 | 261期
- 2024年4月 | 260期
- 2024年3月 | 259期
- 2024年2月 | 258期
- 2024年1月 | 257期
- 2023年12月 | 256期
- 2023年11月 | 255期
- 2023年10月 | 254期
- 2023年9月 | 253期
- 2023年8月 | 252期
- 2023年7月 | 251期
- 2023年6月 | 250期
- 2023年5月 | 249期
- 2023年4月 | 248期
- 2023年3月 | 247期
- 2023年2月 | 246期
- 2023年1月 | 245期
- 2022年12月 | 244期
- 2022年11月 | 243期
- 2022年10月 | 242期
- 2022年9月 | 241期
- 2022年8月 | 240期
- 2022年7月 | 239期
- 2022年6月 | 238期
- 2022年5月 | 237期
- 2022年4月 | 236期
- 2022年3月 | 235期
- 2022年2月 | 234期
- 2022年1月 | 233期
- 2021年12月 | 232期
- 2021年11月 | 231期
- 2021年10月 | 230期
- 2021年9月 | 229期
- 2021年8月 | 228期
- 2021年7月 | 227期
- 2021年6月 | 226期
- 2021年5月 | 225期
- 2021年4月 | 224期
- 2021年3月 | 223期
- 2021年2月 | 222期
- 2021年1月 | 221期
- 2020年12月 | 220期
- 2020年11月 | 219期
- 2020年10月 | 218期
- 2020年9月 | 217期
- 2020年8月 | 216期
- 2020年7月 | 215期
- 2020年6月 | 214期
- 2020年5月 | 213期
- 2020年4月 | 212期
- 2020年3月 | 211期
- 2020年2月 | 210期
- 2020年1月 | 209期
- 2019年12月 | 208期
- 2019年11月 | 207期
- 2019年10月 | 206期
- 2019年9月 | 205期
- 2019年8月 | 204期
- 2019年7月 | 203期
- 2019年6月 | 202期
源起-個人資訊洩漏的影響
每天都有數百萬人暴露了自己的個人資訊而渾然不覺,從接受信用卡交易網站、智慧型手機、到密碼容易被破解的個人電腦,人人都很輕易就能傳送、接收和竊取資訊而不自知。據 IBM 稱,資料洩露的平均成本為 360 萬美元,因此保護我們的資訊隱私顯然是一項相當重要的課題。
劍橋分析公司(Cambridge Analytica)去年三月爆發「侵犯隱私」風波,因不當取得全球 8,700 萬個臉書帳戶的個人資訊,藉此製造假新聞操弄大眾對政治競選的態度。後來因侵犯隱私爭議,宣告破產。紀錄片《個資風暴:劍橋分析事件》(The Great Hack)中提及:「資訊也正式超越了石油,成為了全世界最有價值的資產,甚至遭到武器化。」,整起事件揭露了個人資訊洩漏對眾人產生的影響層面有多大,全球民眾都可能被捲進這場捍衛隱私的戰爭。
有鑑於此,世界各國政府相繼推出各種隱私保護的法規要求,如歐盟的一般資料保護條例(General Data Protection Regulation, GDPR)、美國加州消費者隱私法(California Consumer Privacy Act, CCPA)、美國健康保險可攜與責任法(The Health Insurance Portability & Accountability Act, HIPAA)及台灣的個人資料保護法,為此 ISO 組織也在數年前開始著手編寫 ISO/IEC 27552 (ISO/IEC 27701 的前身)標準,希望在既有的資訊安全管理系統(ISMS)上,也能延伸補充隱私權資訊管理系統(PIMS)的要求和實施指引。
ISO/IEC 27701 的發展歷程
早在 2011 年 ISO 就已發展出 ISO 29100 隱私權框架(如圖一),並陸續於 2014 年公布「ISO/IEC 27018 雲端個人可識別資訊保護實務」,於 2017 年發展出全球首個適用於一般組織的隱私衝擊評鑑之國際標準「ISO 29134:隱私衝擊評鑑指引」,以及適用於各類組織的個人資訊保護控制措施的國際標準「ISO 29151:個人可識別資訊保護實務」,前述標準均可進行特定領域的延伸驗證。
然而,ISO/IEC 27018 及 ISO/IEC 29151 等標準的頒行皆在 GDPR(歐盟 2016 年通過)制定之前,因此就整體法規的適用性而言,部份內容由於無法涵蓋所有的利害關係人,而使得部份產業無法達到 GDPR 標準。例如 ISO/IEC 27018 僅針對雲端服務業的 PII(Personally Identifying Information, 個人識別資訊)處理者,而缺少了針對雲端服務業的 PII 控制者、非雲端服務業的 PII 控制者的指引及要求。因此,ISO 標準組織為了再強化 ISO/IEC 27001 標準與 GDPR 的一致性以及加強隱私保護的完整性,遂著手起草 ISO/IEC 27552(ISO/IEC 27701 的前身),於 2018 年年底公告其國際標準草案版(DIS)。
2019 年 8 月,ISO 組織正式發佈了 ISO/IEC 27701:2019,內容除了延伸 ISO/IEC 27001 及 ISO/IEC 27002 的內容外,還附加或微調個人資訊管理的要求與實作指引。ISO/IEC 27701 由 ISO/IEC 技術委員會 ISO/IEC JTC 1/SC 27 資訊安全、網路安全及隱私保護的第 5 個工作小組開發,歐盟 GDPR 主管單位 EDPB 也參與制定,是目前唯一由 EDPB 支持的 PIMS 驗證的國際標準,因此受到歐盟及國際間各國的認可。
ISO/IEC 27701 之目的與適用範圍
ISO/IEC 27701 旨在通過更高的要求來增強現有資訊安全管理系統,以便建立、實施、維護並不斷改進 PIMS。適用所有類型和規模的組織,包括公營和私營公司、政府實體和非營利組織,如數據中心、電信公司、航空公司、銀行、保險公司、非政府組織、醫院與學校。
ISO/IEC 27701 標準條文之重點
ISO/IEC 27701 標準的正文由八個章節的條款所組成,其中:第一到第三章是適用範圍、參考標準和名詞定義的說明,第四章則是整體性的說明,包括 PIMS 的要求如何對應到 ISO/IEC 27001 資訊安全管理系統的 4~10 章,以及 PIMS 增項的指引如何對應到 ISO/IEC 27002 的 5~18 章的控制措施;第五章和第六章的內容,則是進一步敘述在第四章提到的 PIMS 對應 ISO/IEC 27001 管理系統要求和 ISO/IEC 27002 控制措施實施指引;第七章和第八章,則分別從 PII 控制者和 PII 處理者的角度,說明包括蒐集和處理個人資訊的情況和條件、應遵循的個人資訊保護原則、設計與預設的隱私考量,以及個人資訊的分享、傳輸和揭露的增項要求。最後,在標準的附錄 A~F 中還補充了 PII 控制者和 PII 處理者可參考的控制目標和控制措施,以及對應到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號,並且加上如何應用此標準的說明。
獲得隱私權資訊管理系統驗證的好處
◆ 有效保護個人資訊,降低企業風險
◆ 透過外部第三方的查核,證明企業的個人資訊保護的有效性
◆ 有助企業專注於產品與服務品質的提升
◆ 展現隱私合規,獲取客戶、合作夥伴、員工及大眾的信賴
◆ 當發生洩漏爭議時,可作為隱私法規盡職管理的證據
參考來源:
◆ https://news.agentm.tw/65476/netflix-個人資訊風暴-劍橋分析事件-預告/
◆ https://home.gamer.com.tw/creationDetail.php?sn=1894921
◆ https://www.iso.org/news/ref2419.html
◆ https://money.udn.com/money/story/5635/3984756
◆ https://jackforsec.blogspot.com/
◆ https://secbuzzer.co/post/49
◆ 政府機關資訊通報第 352 期,2018年4月。
HOT 熱門文章
-
如何準備歐盟碳邊境機制的申報?(下)
【零碳快訊】2024-02-06
-
環境部新版溫室氣體盤查規範解析(上)
【國際標準新知】2024-12-05
-
環境部新版溫室氣體盤查規範解析(下)
【國際標準新知】2024-09-02
-
ISO 37001 反貪管理系統的推行心法(上)
【反貪腐專欄】2024-05-06
-
食品營養標示眉角多,不可不知關鍵技巧!(下)
【專欄文章】2022-09-19