|
|
|
|
|
|
來源: 發(fā)布日期:2020.04.10 點擊量:
上周我們介紹了ISO27701的翻譯稿,并且將ISO27701與其他信息安全/隱私保護的標準進行了對比。
完整版翻譯稿只要通過安言咨詢微信公眾號回復“ISO27701”就能獲取。
本周為大家介紹在實施ISO27701建設過程中的一個重要的環(huán)節(jié)-隱私影響評估介紹。
信息安全風險評估和隱私影響評估的關系
信息安全風險評估:是對信息和信息處理設施面臨的威脅、受到的影響、存在的弱點以及威脅發(fā)生的可能性的評估。
隱私影響評估(PIA):是一種評估流程,是評估信息系統,程序,軟件模塊,設備或其他處理個人身份信息(PII)的活動對隱私的潛在影響的工具,并與利益相關方協商,為治理隱私風險采取必要的行動。
信息安全風險評估側重于信息資產/流程/風險源等,而隱私影響評估更像是信息安全風險評估在隱私層面的細化要求,從實施角度兩者實施的方法論相同,均可以基于ISO31000的風險管理模式實施,但需要在信息安全風險評估的基礎上細化隱私的風險源開展實施。
隱私影響評估在ISO27701中的標準原文要求
當計劃進行PII的新處理或對PII的現有處理進行更改時,組織應評估是否需要并實施適當的隱私影響評估。
PII處理會對PII主體產生風險。這些風險應通過隱私影響評估進行評估。有些司法管轄區(qū)規(guī)定了必須進行隱私影響評估的情況。標準可以包括對PII主體產生法律效力的自動決策、大規(guī)模處理特殊類別的PII(如與健康有關的信息、種族或人種、政治觀點、宗教或哲學信仰、工會成員、遺傳數據或生物數據),或對公共可訪問區(qū)域的大規(guī)模系統監(jiān)視。
組織應確定完成隱私影響評估所必需的要素。其中可以包括處理的PII類型、PII的存儲位置和傳輸位置的列表。
隱私影響評估的方法介紹
核心實施流程分解
第一階段:確定PIA必要性確認
在新產品/服務的立項階段、開發(fā)實施階段、上線階段,企業(yè)需要開展PIA活動;
在國家隱私相關法律法規(guī)新增、變更或刪除時可酌情開展PIA活動。
第二階段:PIA準備階段
1、成立PIA評估小組:此評估小組的建立及成員的設置是PIA成功開展及PIA的準確性,在實施過程中確保領導的支持,具體的實施建議由IT部門及業(yè)務部門共同完成,從業(yè)務角度和信息技術保護兩個維度進行確認,同時可增加風險管理部門等支持部門進行配合完成。
2、描述評估內容:此階段需要對個人隱私處理過程進行全面的調研,即何種隱私信息被使用,其使用的用途是什么,隱私信息有誰可以訪問等,此階段是PIA的關鍵部分,只有明確了隱私信息的使用過程才能開展全方位的評估工作。
第三階段:PIA執(zhí)行階段
1、 評估隱私風險
隱私風險評估模型
2、 隱私風險處理
根據風險接受準則對不可接受風險制定處置策略并推動相關部門實施處置。
常見的隱私風險處置策略包含:人員意識教育;對隱私信息進行匿名化保護等。
第四階段:PIA跟進階段
1、 更改跟進及審計
在制定完成處置措施后,根據處置的完成時間對各個部門的整改進行驗證,同時審計部門可對PIA的實施過程、結果及整改完成情況開展審計工作,以確保PIA風險評估的真實性。
更多相關業(yè)務與內容,請持續(xù)關注我們。
詳情請咨詢:
電話:021-62101209-811
郵件:mkt@aryasec.com
相關新聞:
