借助ISO27701认证标准有效保护个人信息,借助ISO9000标准要求,创建高效的管理系统

借助ISO27701认证标准有效保护个人信息

引言

从预约挂号到网上银行业务服务的数字化、全球化以及个性化导致个人信息比以往更多地被收集和处理。随着新的服务机会涌现以及新市场参与者的出现，这一趋势在持续不断的增长。

如今，多种多样的平台已成为人们日常生活不可或缺的一部分，个人信息在这些平台中也被广泛的收集。例如，移动应用、会员计划、设备互联位置广告。这代表着我们经常在未经深思熟虑的情况下提供我们的数据，从而导致与以往相比，有更多数据被随意传播。无论是约会网站、电信服务提供商还是公共服务组织，我们几乎每天都看到有关个人信息被泄露的新闻事件。这使得对个人信息滥用问题的关注不断增强，也代表着组织对此决不能掉以轻心。

对这些问题充分的认识，已经引发了个人和政府部门在对个人数据收集、使用和保护方式上越来越多的关注；为此，一些政府部门拟定或者实施了新的法规，旨在提供与个人数据处理相关的指南和要求。

在欧洲，《通用数据保护条例》(GDPR)的推出协调了各类数据隐私法律，充分反映了我们现在所生活的数字世界的现实状况。

许多其他国家/地区（例如，韩国、澳大利亚和中国）也在制定数据保护法规。由于预期监管环境将日益加强以及必须一套通用的概念来处理个人数据保护，国际标准化组织(ISO)和国际电工委员会(IEC)已经主动创建标准来提供此类指南。这些标准有助于提供框架，以协助组织在不断转变的监管态势下，证明对个人数据的保护以及对不同法规的遵从。对于组织增强其对隐私和相关义务的承诺的可信度，认证也是非常有用的方式。

管理个人信息

鉴于我们运营所处的环境在不断转变，针对组织应当怎样管理和处理数据，以减少个人信息风险的相关指南重大意义。因此，以新国际标准的形式提供的有关组织应当怎样管理个人信息，并协助其证明对全球最新隐私法规的遵从的指南具有非常强大的影响力。这是面向信息管理的ISO/IEC 27701应运而生的原因所在。

什么叫ISO/IEC 27701？

现已发布的这一新的国际标准正式名称为ISO/IEC27701（安全技术—对ISO/IEC27001和ISO/IEC27002的扩展以适用于隐私信息管理—要求与指南）。由于许多组织已经实施了基于ISO/IEC27001的信息安全管理体系(ISMS)，并且使用于自ISO/IEC27002的指南，在此基础之上，隐私保护指南的提供则非常顺理成章。

ISO/IEC27701是在隐私保护方面对ISO/IEC27001和ISO/IEC27002的扩展，针对保护可能受到个人信息收集和处理影响的隐私提供了更多相关指南。设计的目的在于借助更多的要求增强现有ISMS，以建立、实施、维 护和持续改进隐私信息管理体系(PIMS)。标准草案概述了适用于个人身份信息(PII)控制者和PII处理者的框架，以有效管理隐私控制，降低个人隐私权面临的风险（参见表一）。这些附加要求和指南的编写，对于任何规模和文化环境的组织都具有实用性和可用性。

ISO/IEC27701的发布计划

图一显示了以作为国际标准发布为目标的ISO/IEC 27701预期发展路线图。

标准的正式发布，目的在于使组织能够获得针对ISO/IEC27701的认证，以此作为ISO/IEC27001管理体系的扩展。换而言之，计划寻求通过ISO/IEC27701认证的组织还必须通过ISO/IEC27001认证，以对信息安全和隐私管理的承诺。

ISO/IEC 27701适用性

针对个人信息保护的要求和指南，因组织的环境以及适用国家法律和法规而异。ISO/IEC27001要求充分理解 并考虑这种环境因素。ISO/IEC27701则更加具体。它包含与下列内容的对应：

•ISO/IEC29100中定义的隐私框架和原则；以及

•侧重于PII的ISO/IEC27018和ISO/IEC29151。

不过，所有这些对应都必须考虑到本地法律和法规。此外值得注意的是，ISO/IEC27701适用于所有作为PII处理者、控制者或者二者兼备的组织；ISO/IEC27018专门适用于公有云服务提供商。

ISO/IEC27701可被PII控制者（包含那些PII联合控制者）和PII处理者（包含那些外包PII处理服务的处理者）使用。

遵循ISO/IEC27701要求的组织通常会输出一些书面的证据以证明其处理个人信息的方式。这些证据有助于组织证明其与商业伙伴签订的个人数据处理活动相关的协议的符合性。还可能有助于促进与其他利益相关方的关系。假如必须，将ISO/IEC27701与ISO/IEC27001一并使 用可提供对此证据的独立性的认证，尽管遵循这些标准 不能作为法律法规的合规性证据。

ISO/IEC 27701的优势

•在利益相关方之间提供透明度

•有助于增强信任

•提供更具协作性的方法

•更有效的业务协议

•更清晰的角色和职责

•通过与ISO/IEC 27001相结合减少复杂性

如需验证是否一致地实施了标准所规定的适当运营控制，并执行相关隐私法规的合规要求，必须采取措施：

1.建立相关监管要求与标准控制项之间的对应关系；

2.列举标准控制项尚未完全涉及的具体监管要求，以及 满足这些要求所必须的条件；

3.在审核周期中，将上述内容融入风险评估流程。

以ISO/IEC27701中的数据泄露管理的控制项和GDPR的泄露通知要求（条款33）为例，标准中的安全事件管理的控制项与GDPR的数据泄露要求直接对应。

不过，标准不包含GDPR中所规定的72小时通知要求。如组织需证明其已经实施并履行GDPR的要求，他们必须向审核员证明，组织有在数据泄露确认后72小时内通知数据主体和隐私监管机构的统一流程，也有流程明确泄露事件是否涉及欧洲公民或者泄露数据处理是否在欧 洲发生，且在上述情况下将在要求的时限内触发通知。

映射标准与法规的对应关系并识别特殊的监管要求以及适用条件，是控制者和处理者能够通过ISO/IEC 27701证明其符合众多隐私法规的必要机制。

数据隐私法律

随着组织数据安全和降低数据泄露风险所面临的挑战日益增多，隐私法律也要不断更新迭代以跟上持续转变的业务态势。值得注意的是，欧盟GDPR已经引起了广泛的关注。GDPR旨在维护个人有权保护与其相关的个人信息基本权利和自由。

在数据处理活动以及个人信息在欧盟成员国间自由流动方面，这些权利同样必须被维护。数据处理应当维护个人数据归属的自然人的利益。世界各地都有类似的法律来保护个人信息和公民权利，这也包含一些行业特定法规，例如，医疗健康、零售和银行业。

医疗健康行业

作为1个会收集最敏感个人信息的行业，医疗健康行业特定数据保护法律具有重大意义。例如，《法国公共卫生法》（条款L.1111-8）要求托管某些类型健康/医疗数据的服务提供商必须获得针对此类活动的认证。美国《健康保险携带和责任法案》(Health InsuranCE Portability and Accountability Act)规定了患者的敏感数据保护的标准，并且要求美国的健康计划、医疗健康结算机构和医疗健康提供商、或者作为可接触个人健康信息的供应商或分包商的任何组织和个人须遵守此标准。

欧洲数字单一市场政策也同样值得关注。这是2015年公布的一项政策，涵盖数字营销、电子商务和电信领域。其目的在于为个人和企业提供更多机会，打破现有壁垒。它有三大核心支柱：

•访问在线产品和服务

•为数字网络与服务的持续增长和繁荣提供条件

•欧洲数字经济的增长

该项政策为跨境数据处理和商务提供了便利。不过，欧盟成员国的数据隐私法律的差异被认为是欧洲数字单一市场成功的一大障碍。因此，GDPR的推出是非常积极的转变，它有助于协调整个欧盟在数据隐私保护方面的法律法规。

认证机制以协助证明数据保护法律的合规性

GDPR鼓励制定数据保护认证机制和数据保护标志与标识，来协助证明控制者和处理者遵守相关的数据处理操作法规（GDPR (EU) 2016/679，条款42）。除此之外，此类认证和标志还可用于证明组织已经采取正确的措施以符合GDPR的方式处理个人信息。

一致的认证机制能够将所有重要的“责任因素纳入考虑 范围，促进风险降低并改进个人信息的自由流动。这有助于组织提供有用的服务，同时，如图二所示，可增强流程透明度并向顾客证明在个人信息保护方面的诚信度。

它还凸显了数据处理对于供应链管理的重要性，由于控制者要在数据的整个生命周期对其完全负责。以由航空公司和银行联合推出的信用卡之类的产品为例，来自双方的顾客信息必须被交换，以识别什么顾客可能选择此类产品，顾客个人信息交换可能引发风险。

各方怎样验证另一方将充分保护顾客数据？随着更多的商业伙伴的加入，这种风险会不断加剧。例如，与营销公司签约来针对目标顾客进行营销，以及在社交媒体平台上购买广告。云服务也可能被营销公司用于存储和处理与这类营销活动相关的数据。认证可作为独立的验证结论，将证明组织用于评估在整个供应链中组织间交换个人信息的风险的流程和控制的有效性。

不过，如图二(a)所示，假如1个组织使用了一套认证机制，而另1个组织使用了另一套认证机制，这可能无法为业务合作伙伴提供必要的保障或者信任，以证明其顾客的个人信息被适当处理。鉴于业务全球化的性质，需 要一致和统一的认证机制来证明组织遵守了相关法规，有效保护个人信息并且为业务增长提供助力（如图二(b)所示）。在所有领域和行业之间采用一致的为GDPR所认同的认证机制对缓解风险，及打破商务合作伙伴之间的贸易壁垒十分必要。

近期，欧盟网络与信息安全局发布了针对GDPR认证的建议。ENISA指出认证、标志和标识对于使数据控制者实现并证明其处理操作符合GDPR要求起着重要作用。

ENISA建议在欧盟委员会(European Commission)和欧洲数据保护委员会(European Data Protection Board)指引和支持下的国家认证公司和监管机构应采用一致的方法以建立和应用GDPR认证机制 。他们还建议这种方法应当可扩展并且使用经实践验证和广泛采用的准则。整个欧洲对认证机制的一致性和兼容性性高度重视，可信度和透明度要作为认证机制的重 要特征。

ISO/IEC 27701是1个有潜力的认证机制

ISO/IEC 27701能够满足上述所有建议，并且预期可被用作认证机制的基础（如条款42规定）。假如采用了这种认证机制，组织能够提供其合法处理其顾客的个人信息的必要证据，这也包含了跨境数据转移的情况。ISO/IEC 27701适用于所有规模和不同企业文化的组织。它适用于对于员工和顾客PII的收集与处理。这套基于信息安全技术控制措施并拓展了隐私要求相关的技术措施，有助于证明组织对于数据隐私法律（例如，GDPR）的合规性。

因此，证明符合ISO/IEC27701所规定的控制措施，并生成其所要求的能够作为组织证明其处理PII方式的文档，能够：

•通过减少重复认证以降低认证工作量

•通过证明对数据隐私法律的合规性，增强组织和顾客 间的信任

•提供证据以使数据保护官能够为最高管理层和董事会 成员展现其在隐私法规符合性方面的成绩

•通过欧盟数字单一市场和跨境数据转移，创造业务机会

并且，ISO/IEC 27701的应用也将进1步强化组织现有ISMS，创建PIMS以在整个组织内实现有效隐私管理。通过现有的健全的ISO/IEC 27001（被公认为成功 的信息安全标准）认证审核员网络，ISO/IEC 27701能够被很好整合到现有审核过程中。

ISO/IEC 27701通过公认的共识驱动型流程进行开发；这是开发标准的关键任务之一。目前，标准已经引入了各个行业以及监管机构的意见和建议；这也包含由来自所有欧盟国家的数据保护机构(DPA)组成的欧洲数据保护委员（原条款29工作组）的参与和审查。DPA以认可机构将必须确保基于ISO/IEC 27701的认证机制， 能够充分协助所有行业以及所有规模的组织证明对隐私法规的符合性。除此之外，认证机制也必须关注控制者和处 理者的需求，ISO/IEC 27701中也包含了大量与其相关的控制措施。

利益相关方参与的重要性

如前所述，ISO/IEC 27701是 对ISO/IEC 27001的扩展，并且是在ISO管理体系通用标准框架（通常称为“AnnexSL）中制定的，容许组织更高效地实施多种管理体系。图三显示了各利益相关方的责任以及角色的重要性。

由于已熟悉了现有的ISO/IEC 27001 ISMS，一旦采用了ISO/IEC 27701，所有这些利益相关方也更容易掌握新标准。它们拥有共同的个人信息管理的目标，并且必须一种公认的方法来证明个人信息得以认真的对待，这就是ISO/IEC 27701的意义所在。

结论

总之，有效管理个人信息以顺应不断转变的监管态势是复杂的，可是又不容忽视。保护每个人的个人信息是基本人权之一。在与个人生活相关的业务和数据变得日益全球化的情况下，全球各地区都颁布相关法律以保护这些权利。

欧盟GDPR的颁布旨在确保以合法的方式收集和处理PII，它支持欧盟数字单一市场所必须的跨境数据转移。欧盟GDPR认为要增强对组织处理个人数据方式的信任，并通过提供组织间的保障创造业务机会。证明合规的认证机制仍然有较长的路要走，假如要在欧盟成员国以及欧洲之外的国家/地区间一致地实施认证以支持全球商务和业务，尤为如此。

ISO/IEC 27701的引入是对现有标准组合的必要补充。实施ISO/IEC 27701规定的控制措施使组织能够保留其处理个人信息的方式的证据。假如个人信息处理具有彼此关联性，此类证据可被用于促进与业务合作伙伴达成协议，而假如具有广泛认可的认证机制，此类证据能够协助证明其对数据保护法律（例如，GDPR）的符合。

借助ISO9000标准要求,创建高效的管理系统

借助ISO9000标准要求，创建高效的管理系统

对于1个企业来讲拥有一套行之有效的运作管理系统是十 分重要的。它是在当今激烈的市场竞争中，能够赢得市场,得以生存的1个重要的筹码。可是，当前的企业领导者们（特别是小微企业 的领导者们）面对激烈的市场竞争，在企业的生存压力不断增大情况下，往往把更多的精力投放在市场经营、技术创新等层面上。在 对企业的管理上投入的不多。这些企业的共同特点是内部的管理较为混乱，在技术设计、质量标准、甚至管理规范等方面都较为粗糙 ，甚者根本没有。尽管，一线作业人员的工作投入较大，但工作效能较低，产品质量也不稳定。这样，反过来企业的经营人员辛辛苦 苦打下的市场，技术人员殚尽竭力创造思维，都没有形成1个良好的回报，企业进入了1个高投入低产出的恶性循环之中，企业的生 存也变得更加艰难了。

面对这些问题，企业的管理者们往往希望在管理 上能够找到1个“一招制敌”的良方捷径，并通过这个方法把企业内部管理上存在的的问题通通的解决掉。可是，许久以 来，这些企业的领导者们，却怎么也找不到这样的1个捷径。为何呢？这是由于企业运作管理是1个系统的工程，必须建立在1个 科学的、行之有效的企业运作管理系统上，才有可能得以解决。

那么， 怎么样建立这个系统呢？现在面对这个问题更多的企业领导者们开始尝试着借鉴和采用目前在世界范围内十分盛行的ISO9000质量管理体系标准来建立这个样的1个系统，以提升企业自身的管理水平。

当前随着全球经济一体化的不断深入，国内市场与国际市场接轨已经不可逆转。顾客已在过去满足于产品使用性的基础上，对产品的耐用 性、可靠性、美观性和经济性提出了更高的要求。即从过去注重产品或服务的结果，以转变为现在更注重产品或服务的过程。而ISO9000标准恰恰是为以顾客为关注的焦点建立过程管理体系的1个通用的质量标准。正是由于ISO9000标准适应了企业对市场的必须，提高了企业的管理绩效，从而在思想和方法上拉近了企业与市场的距离。因此，贯彻ISO9000标准不仅更容易在世界范围内得到市场和顾客的认同，实际上也是企业对市 场可持续适应的1个重要的基础工作。

当然，任何事物的存在都有其特 定的环境，1个管理系统的建立也同样必须自己的环境要求。为此要建立这样的管理系统，必须首先要坚持以八大质量管理原则为基础，以满足并超越顾客的需求为出发点，树立正确的管理思想观念。这是由于1个新管理系统的建立之初，一定会对过去管理系统形成巨大的冲击，而新管理系统建立的最大阻碍，就是来自于管理者原有的管理思想和管理习惯。这就必然必须我们的管理者，特别是最高管理者在管理思想、管理观念及管理行为上要作出重大的转变。

其二、企业运作管理系统的建立一定要本着与企业的相关方共赢为原则。这不仅包含企业的所有者，也包含为企业服务的员工和企业的供应商。由于1个企业是否最终能够获得成功，取决于它是否能够使其所有的相关方都获得利益。任何一方的利益不能得到满足时，都会给企业的发展带来不同程度的影响，因此，企业在策划、建立、运行管理系统和改进其有效性时，要充分考虑到企业内外部各相关方的需求和期望，创建能主动地、并及时地识别、理解和满足企业内外部各相关方需求和期望的经营理念和经营机制。

第三，以企业实际的运作流程为导向，仔细的识别企业运作流向的各个过程之间的逻辑关系和相互作用的影响程度，并用ISO9000标准的要求去优化运作流程。也就是说用ISO9000标准的要求将企业每1个完整的任务或项目进行分解和展开，再根据ISO9000标准的要求和企业的具体情况对整个过程进行优化与组合；从而形成新的流程后再用标准化的文件对它进行制约和监控。

第四、因每个企业所处内外部环境的不同，这使每个企业对内外部信息的需求也不太一样。而目前企业在采用ISO9000标准时，往往偏重于对标准条款的套用，而忽略了企业自身流程的特点。因此，用ISO9000标准构建企业的管理系统时，应确保企业内部运作管理流程的顺畅和适用，重点应是企业运作管理过程的信息集成与优化。在实际工作中，可利用ERP等管理软件，来实现企业各种相关信息及记录最大限度地共享。

第五、培养员工养成1个高效的工作习惯，鼓励员工发挥创新的思维和全员参与的意识。可创造一些灵活的方式，如培训、座谈会等，使员工能充分地了解企业的运作管理流程，能明确的区分什么叫“做正确的事”和什么叫“正确的做事”。培养员工养成1个1步到位的高效做事习惯。以确保企业运作管理系统始终处于1个高效的运作状态，以实现企业的既定目标。

第六、随着企业内外部环境及顾客要求的转变，企业的管理系统也应适宜的随之转变，以满足企业各相关方的不断的转变和要求，并争不断的 取超越他们的期望。要清楚地知道，世界上没有永远满意的顾客，今日顾客满意并不等于顾客明天也会满意，因此，仅有持续不断的改进企业运作管理系统中的瓶颈，才能持续的营造顾客永远的满意。

第七、要确保高效的企业管理系统的创立，企业的最高管理者的作用不可忽视，企业的最高管理者不仅必须只是知晓这个事情，更应该参与进来。应亲自过问这个系统创立的每1个环节，不要认为“我已经将这个工作交给了下属经理们去办了，或是”我已经委托给了某某咨询师了“。即不仅要将下属经理或咨询师作为1个执行者，更要作为的是1个军师和智囊。在这里，企业的最高管理者应起到的是“领头雁”作用，亲自带领企业走向成功，而不是简单的处于1个“牧羊人”的角色，仅仅起到的是监督的作用。

最后，ISO9000标准是依据PDCA的管理模型将企业的运作流程加以标准化、程序化和文件化。它勾勒出影响企业管理运足及产品品质的诸多环节，是世界上诸多管理专家和质量管理实践者的经验和智慧的结晶。但同时，它也是1个技术性很强的工作。因此，借鉴和采用这样的1个标准来创建企业高效的运作管理系统，就它本身而言也不是什么捷径，仅有踏踏实实从企业的实际出发，才能正确地理解和运用ISO9000标准创建1个高效的企业运作管理系统，也才能最大限度地发挥管理----这个生产力的作用，使企业在激烈的市场竞争中不断的提高和发展，并得以良好的回报 。