ISO27701:2019隱私資訊管理系統

ISO27701:2019隱私資訊管理系統 輔導費用及申請取證流程

ISO27701 2019個人資料隱私資訊管理系統介紹

系統發展趨勢

個人資料隱私資訊管理系統 (Privacy Information Management System,PIMS)。

在全球科技網路數位的時代,大致國家政府機關,小至個人,無一不開始關心許多網路相關安全問題,因此也促進相關法令法規的擬定、頒布與實施,為了就是要保護政府、事業單位、金融、教育機構、企業及非營利組織個人資料,來避免或減少的資安外洩帶來的衝擊。

其中值得注意的是,許多的隱私法規,都是在歐盟一般資料保護規範 (General Data Protection Regulation,GDPR)推出以後陸續頒布,也使得全球隱私權法規來到了一個新的世代,加上也同時面臨快速的數位化轉型,數據資料的收集、處理都爆發式的成長,所以各機關單位組織應與時俱進,以確保符合持續不斷增加的隱私權法規。

新的國際標準 ISO 27701 隱私權資訊管理系統 (PIMS),可協助組織調和隱私權法規需求。 標準概述全面性的操作控制集合,可以對應至各種法規,包括 GDPR。 一旦對應,PIMS 操作控制會由隱私權專業人員實作,並且由內部或第三方稽核員進行稽核,達成認證及全面性合格證明。

而 ISO 27701個人資料隱私資訊管理系統 (Privacy Information Management System, PIMS) ,建構在資訊安全管理當中採用最廣泛的國際標準基礎之上,為保護個人隱私資訊提供指引,藉由額外的管控要求,使ISMS 範圍內的隱私資訊管理能有效降低所面臨的風險。

國際最新發布時間

國際標準組織(International Organization for Standardization,ISO),於2019年正式發布ISO/IEC 27701個人資料隱私資訊管理系統 ( Privacy Information Management System, PIMS)。

ISO/IEC 27701個人資料隱私資訊管理系統 ( Privacy Information Management System, PIMS)是全球第一個整合資訊安全與隱私保護的管理系統,意即同時將資訊安全管理與個資管理結合,主要提供政府、事業單位、金融、教育機構、企業及非營利組織個人資料蒐集、處理及利用個人資料的管理與保護依據,協助穩固相關單位、組織、企業、組織與個人資訊安全。

為因應所有產業文化、工作流程與需求的複雜與多元性,加上個人資料在網際網路通訊上幾乎暢行無阻的傳輸,已成為普及化的資料,因此國際標準的要求,也逐漸成為執行的準則,倘若能多加防護,預防個資外洩問題,即能有效提升數位化時代的信賴度並降低衝擊到日常營運的風險。

系統名稱由來

ISO/IEC 27701個人資料隱私資訊管理系統 ( Privacy Information Management System,PIMS)

  • SO:國際標準化組織(International Organization for Standardization,ISO),是負責建立國際通用的標準機構,並減少技術性障礙。
  • ISO27701中文意義:為隱私信息管理體系下的個人資料隱私資訊管理系統,是建構在ISO/IEC 27001資訊安全管理系統和ISO/IEC 27002安全控制在隱私信息管理之上的擴展,為在保護個人隱私信息提供指標。
  • ISO27701英文意義:Privacy Information Management System
  • 2013:代表系統公佈新版條文的年份為2019年。

需要導入ISO27701 2019隱私資訊管理系統的原因為何?

  • 整合資訊安全管理系統

    整合資訊安全管理ISO 27001與個資管理的系統ISO 27701

    將組織的ISO27001與ISO27701系統整合後,將協助彌補在隱私權與安全性之間的缺口。

  • 作業流程

    作業流程中的敏感個資受到保護

    當組織處理敏感性資料或大量資料時,建立ISO27701來管理整個作業流程的個資資料後,能夠鑑別出配合的合作夥伴 (包括委外廠商或組織或共同控制者)、處理者以及子處理者 (例如支援會接觸個資的委外廠商),從整個內部到外部供應鏈的階層式處理個資開始建立系統控制,使資料能受到完整、嚴謹的制度規範與流程上的預防保護。

  • 符合國際法規的證據

    提供強化隱私符合國際法規的證據

    為與其他法規及隱私標準的合併執行依據,例如:美國的 CCPA、中國的網安法、數據管理辦法以及歐盟 GDPR...等,不僅能協助個人資訊處理符合我國甚至於國際法令法規的要求,進而完整保護個人資料的安全。

  • 提升企業公司品牌之形象

    提升企業公司品牌之形象

    ISO27701管理系統在個人資訊管理上提供了更有效的實施協作方法,不僅能建立顧客信任,也使利害關係雙方間保持透明度的同時,彰顯出企業個人資料安全管理的公信力,進而提供更有效的商業協議參考來促成商業協議、強化市場競爭優勢。

  • 精確的職責角色與明確的管理責任

    精確的職責角色與明確的管理責任

    在透過ISO27701管理系統的協助底下,個人資料隱私管理可以在管理過程合規要求與技術合規要求範圍及標準下,使組織內部得已善盡應盡每一個職責角色的管理責任。

需要導入ISO27701 2019隱私資訊管理系統的產業有哪些?

無論組織規模是大是小,為PII 控制者(包括 PII 的協同控制者)、PII 處理者(包括使用外包商的 PII 處理者)、個人可識別資訊(PII)中的控制者(Controller)以及處理者(Processor),都應為自己的組織尋求最有公信力與符合我國法規與國際標準的認證,亦或者依照組織業務要求,應向供應商索取該認證。尤為在處理敏感或擁有大量個人數據的組織裡都應審慎評估對於ISO27701的需求,以確定自身產品和服務是否有符合個人資料隱私保護認證。

  • 1.已導入 ISO/IEC 27001 資訊安全管理系統

    如組織內部已導入ISO/IEC 27001 資訊安全管理系統,因為已在隱私保護範圍內實施完整 ISMS,應該進而強化個資管理,以確保有蒐集、處理與利用個人資料的活動,得以擁有標準化、系統化、合格化的預防、保護、降低風險...等保障。組織應遵循法規並增強外部信賴的關鍵,有效因應最新管理議題,得以持續實踐永續經營。

  • 2.電信業者

    在民國 109 年 7 月 9 日 公布「電信事業資通安全管理辦法」其中 第五條電信事業資通安全維護計畫執行方式應載明下列事項: 八、執行前款執行方案所蒐集、儲存、處理及利用用戶之隱私與個人資料安全保護措施。

  • 3.保險業者

    在民國107年06月06日已發布修正「保險業辦理電子商務應注意事項」第五點、第六點、第七點及附件一,本次共修正3點,修正重點如下: 一、 按現行規定已明定保險業辦理電子商務業務應取得資訊安全管理系統(ISO 27001)認證,考量保險業辦理網路 投保業務及網路保險服務,擁有大量個人資料,為強化個人資料防護效能,增訂應取得個人資料管理系統(Personal Information Management System, PIMS)認證之相關規定,又為使辦理電子商務業務之保險業有適當期間予以調整,明定該個人資料管理系統(PIMS)之認證規定,自本次修正後一年生效。(修正條文第5點)

    引用:https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0&mcustomize=news_view.jsp&dataserno=202105060005&dtable=News

ISO27701 2019保護的範圍?

ISO 27701 所保護的範圍對象就是個人隱私資訊。從過往的識別個人資訊(姓名、性別、電話、住址、身分證字號、社會安全碼...等)中,更參照了 ISO 27001 和 ISO 27002 的特定 要求,因此歐盟一般資料保護規範 (General Data Protection Regulation,GDPR)將個人資料的範圍進行更近一步的解釋:只要可以直接、間接篩選、識別出特定對象資料相關類型,例如網路識別碼(網路瀏覽器 Cookies、網路 IP位址)或足夠判斷特定個人身分或性別之基因、 生物特徵或醫療資料等,都歸屬於PII的規範之中,因此也為 PII 控制者和 PII 處理者提供了額外的實施指引。

ISO27701 2019的標準條款架構內容

  • 條款一:適用範圍
  • 條款二:參考規範
  • 條款三:專業術語、名詞定義和縮寫
  • 條款四:一般要求、標準整體說明
  • 條款五:與ISO/IEC 27001相關的PIMS特定管理體系要求
  • 條款六:與ISO/IEC 27002相關的PIMS特定控制措施實施指引
  • 條款七:針對 PII 資料控制者的ISO/IEC 27002控制要求說明或額外指引
  • 條款八:針對 PII 資料處理者ISO/IEC 27002控制要求說明或額外指引

其他與ISO27701:2019相關的法令法規?

  • 歐盟「一般資料保護規定」(General Data Protection Regulation, GDPR)
  • 歐盟「電子隱私條例」(Regulation on Privacy and Electronic Communication, ePrivacy)
  • 美國加州「物聯網裝置資訊隱私法案」(SB-327 Information Privacy: Connected Devices)
  • 台灣「資通安全管理法」與相關子法

導入ISO27701 2019隱私資訊管理系統步驟為何?

橙言ISO顧問團隊將透過10大驟,讓組織順利通過ISO27701。

  1. Step1 確認組織背景及建置範圍
  2. Step2 成立資訊安全組織
  3. Step3 擬定資安政策與目標
  4. Step4 資訊資產鑑別
  5. Step5 風險評鑑與風險處理
  6. Step6 選擇控制目標與因應措施
  7. Step7 建立程序文件
  8. Step8 系統實施、運作與監控
  9. Step9 稽核、管理審查與持續改善
  10. Step10 ISMS驗證

導入ISO22000食品安全管理系統的階段為何?

  • 第一階段:準備與訓練

    1. 輔導初期準備
    2. 執行現況分析
    3. 規劃教育訓練

  • 第二階段:建立制度

    1. 執行風險評鑑作業
    2. 制度文件討論修訂
    3. 完成制度文件發行

  • 第三階段:實施與改善

    1. 完成教育訓練
    2. 記錄填寫與修正度
    3. 內部稽核與招開館審會議

  • 第四階段:接受驗證

    1. 外部稽核驗證前準備
    2. 辦理正式驗證稽核
    3. 持續改善與技術轉移

常見問題

於 2019年發佈的ISO/IEC 27701個人資料隱私資訊管理系統 ( Privacy Information Management System,PIMS),具體考量 GDPR之相關要求及 ISO 29100等國際標準所制定的隱私保護規範,可更完整的涵蓋 GDPR要求。由於該標準延伸自 ISO/IEC 27001及 ISO/IEC 27002,是能同時兼顧國際標準架構的要求(requirements)與實作指引(guideline),在 ISO/IEC 27001之驗證範圍中完整納入對於隱私保護的相關管控措施。

  • Q1: 想要建立ISO 27701個人資料隱私資訊管理系統 (Privacy Information Management System, PIMS),預算大概是多少呢?

    橙言ISO顧問團隊會透過初訪來為組織立即規劃從輔導到驗證的費用,目前初步在30人以內的民營企業,同時導入ISO27001+ISO27701初次導入兩個輔導到驗證通過費用,可預估抓65~80萬來規劃(會有產業系統複雜度不同),細節橙言ISO顧問團隊會親自來報告,拜訪完畢後,會有更清楚的報價內容。

  • Q2: 倘若已經有ISO27001資訊安全管理系統(Information Security Management System,ISMS)還想要建立ISO 27701個人資料隱私資訊管理系統 (Privacy Information Management System, PIMS),預算大概是多少呢?

     

    若您已有ISO27001的系統架構下,加上導入ISO27701輔導通過費用,可預估抓30~50萬來規劃。(會有產業系統複雜度不同),以上的價格,因為各個產業的特性在個資流向完全不同,所受需要匡列管制影響的範圍也大不相同,因此建議由我們進行了解後,提供更精準的報價,讓公司順利導入大幅降低成本

  • Q3: 有什麼方式可以迅速取得或經濟實惠的取得ISO/IEC 27701?

     

    對於想建置、已導入或通過資訊管理系統之企業組織,透過再加入隱私管理系統,兼顧資訊安全與個人資訊的管理,並能以「延伸驗證的方式」快速且經濟地取得ISO/IEC 27701 的認證。如果您的組織已經熟悉ISO/IEC 27001,那麼將新的個人資料隱私管理整合到既有資訊安全管理系統將是合乎邏輯的、並且效率更高。這意味著兩者的實施和稽核將更便宜,且更容易實現。

  • Q4: ISO 27701個人資料隱私資訊管理系統 (Privacy Information Management System,PIMS)的特色為何?

     

    主要整合了ISO 27001資訊安全管理系統、ISO 27002資安管理標準系統、ISO 29100個人隱私保護管理系統的實務作法,是目前相關國際標準當中公布最新的版本,因此與趨勢議題高度接軌。主要著重隱私保護的控制措施、定義管理流程並提供持續發展的基礎上保護PII (個人識別資訊) 的實務指南。

  • Q5: ISO27001資訊安全管理系統(Information Security Management System,ISMS)與ISO 27701個人資料隱私資訊管理系統 (Privacy Information Management System, PIMS)的關係?

     

    ISO/IEC 27701是在 ISO/IEC 27001、ISO 27002資安管理標準系統、ISO 29100個人隱私保護管理系統的架構下進行隱私保護管控、增加對於隱私保護的規範,不論組織型態、規模都可以適用此個人資料隱私資訊管理系統(PIMS)。

  • Q6: 政府、事業單位、金融、教育機構、企業及非營利組織,應該要選擇哪些個個人資料隱私資訊管理系統(PIMS)標準?

     

    因各其所面臨的個人資訊資料管理弱點與衝擊不盡相同,這與其所處的產業、領域及業務內容有著緊密的相關聯性,應確實掌握國際標準間的要點並正確運用、落實的更加完善。各項 PIMS 國際標準,因應時勢承先啟後的頒布,個人資料隱私資訊管理系統 (Privacy Information Management System, PIMS)無論與本國個資法、歐盟 GDPR 、ISO/27001、BS 10012、ISO/IEC 29100、ISO/IEC 29151、ISO/IEC 27018 或國際間的各項個資管理規範或要求可相輔相成。

LINE@橙言ISO顧問諮詢 LINE諮詢ISO顧問