基于ISO/IEC 27701的隱私信息管理體系（PIMS） 實(shí)施探討

摘要：分析ISO/IEC 27701：2019及其相關(guān)標(biāo)準(zhǔn)，探討PIMS與信息安全管理體系（ISMS）如何從管理體系層次進(jìn)行整合以及在安全控制層次進(jìn)行結(jié)合。

關(guān)鍵詞：隱私信息管理體系 信息安全管理體系 ISO/IEC 27701

1 引言

ISO/IEC 27701：2019《安全技術(shù) ISO/IEC 27001與ISO/IEC 27002在隱私信息管理的擴(kuò)展 要求與指南》（Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines）由ISO/IEC JTC 1/SC 27的WG 51）開發(fā)，于2019年8月6日正式發(fā)布。美國OneTrust公司在2019年8月19日獲得了全球第一張ISO/IEC 27701：2019認(rèn)證。

ISO/IEC 27701開發(fā)的初衷在引言0.1中被描述為：幾乎每個(gè)組織都處理個(gè)人可識(shí)別信息（personally identifiable information，PII）。此外，PII處理的數(shù)量和類型正在增加，組織需要與其他組織合作處理PII的情況也在增加。在PII處理情境中的隱私保護(hù)是一種社會(huì)需求，也是全世界專門立法和/或監(jiān)管的主題。

2 相關(guān)標(biāo)準(zhǔn)的組合應(yīng)用

ISO/IEC 27701：2019并不是一個(gè)可以獨(dú)立應(yīng)用的標(biāo)準(zhǔn)，在規(guī)范性引用文件中就已經(jīng)指明，其部署的基礎(chǔ)至少要包括ISO/IEC 27001、ISO/IEC 27002以及ISO/IEC 29100。與其他ISO/IEC 27000標(biāo)準(zhǔn)族之間的關(guān)系雖然沒有如此緊密，但是也多有引用。

在ISO/IEC 29151：2017 《信息技術(shù) 安全技術(shù) 個(gè)人可識(shí)別信息保護(hù)實(shí)用規(guī)則》（Information technology—Security techniques—Code of practice for personally identifiable information protection）的“引言”部分對(duì)其中幾個(gè)標(biāo)準(zhǔn)給出了梳理，限于標(biāo)準(zhǔn)發(fā)布的時(shí)間先后順序，所列標(biāo)準(zhǔn)不夠全面，圖1標(biāo)識(shí)了ISO/IEC 27701：2019及其相關(guān)標(biāo)準(zhǔn)之間的關(guān)系。

可以認(rèn)為，ISO/IEC 27701：2019是ISO/IEC 27001：2013和ISO/IEC 27002：2013的擴(kuò)展版本，但是并沒有明確的標(biāo)識(shí)依據(jù)ISO/IEC 27009，在這點(diǎn)上與ISO/

IEC 27151：2017還是不同的。因此，如上文所述，ISO/IEC 27701：2019既包括了要求，也包括了指南（實(shí)際是控制）。在基于ISO/IEC 27701：2019的PIMS部署過程中，并不能單獨(dú)應(yīng)用，而是建立在已有的ISMS（基于ISO/IEC 27001）基礎(chǔ)上整合應(yīng)用。

就控制集而言，ISO/IEC 27701：2019和ISO/IEC 27151：

2017主要存在以下區(qū)別：

（1）ISO/IEC 27701：2019針對(duì)隱私保護(hù)的控制，按照PII控制者和PII處理者的不同的角色分開，分別對(duì)應(yīng)第7章和第8章，同時(shí)對(duì)應(yīng)至附錄A和附錄B。ISO/IEC 27151：2017并沒有試圖分開這兩種角色，而是直接在附錄A中給出了針對(duì)PII保護(hù)的附加控制。

（2）ISO/IEC 27151：2017中的控制按照ISO/

IEC 29100：2011的11項(xiàng)原則分類，ISO/IEC 27701：2019雖然也以此為基礎(chǔ)，但是重新進(jìn)行了分類，一共有4項(xiàng)，分別為：收集和處理的條件、對(duì)PII主體的義務(wù)、設(shè)計(jì)隱私和默認(rèn)隱私、PII分享、轉(zhuǎn)移與披露。這樣分類的好處是更有利于部署。

ISO/IEC 27701：2019在建立過程中用到的風(fēng)險(xiǎn)管理，主要是基于ISO/IEC 29134：2017《信息技術(shù) 安全技術(shù) 隱私影響評(píng)估指南》（ Information technology—Security techniques—Guidelines for privacy impact assessment）。

ISO/IEC 29134：2017描述了一個(gè)隱私影響評(píng)估（privacy impact assessment，PIA）的過程，其中主要步驟和ISO/IEC 27005等標(biāo)準(zhǔn)一樣，與ISO 31000均保持了一致性。但所謂的PIA實(shí)際包括了風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)處置的過程，可以認(rèn)為是隱私風(fēng)險(xiǎn)管理。

3 管理體系層面的整合

PIMS在ISO/IEC 27701：2019的3.2中定義為“解決可能受PII處理影響的隱私保護(hù)問題的信息安全管理體系”。也即是說，PIMS是ISMS的一種，主要致力于解決隱私保護(hù)問題。雖然在之前，“管理體系”已經(jīng)成了一類標(biāo)準(zhǔn)，例如，質(zhì)量管理體系

（ISO 9001）、IT服務(wù)管理體系（ISO/IEC 20000-1）和環(huán)境管理體系（ISO 14001）等，但是相互之間都是強(qiáng)調(diào)體系整合，并沒有相互之間包含的關(guān)系。

ISO/IEC 27701：2019第5章規(guī)定了與ISO/IEC 27001相關(guān)的PIMS具體要求，其中主要描述了建立管理體系的過程，由于管理體系標(biāo)準(zhǔn)一般都要遵循《ISO/IEC導(dǎo)則》第1部分附錄SL中所定義的結(jié)構(gòu)，因此所有的該類標(biāo)準(zhǔn)在架構(gòu)上都是一致的，只是細(xì)節(jié)略有區(qū)別。大致如圖2 所示。

在實(shí)踐中，ISO/IEC 27001：2013中使用“信息安全”詞匯的地方，則相應(yīng)的修改為“信息安全和隱私”。

在圖2中的步驟中，PIMS與ISMS相比較，區(qū)別最大的是“組織環(huán)境”和“計(jì)劃”，而“領(lǐng)導(dǎo)”和“支持”基本是一致的，“運(yùn)行”就是運(yùn)行、績效評(píng)價(jià)和改進(jìn)，由于“績效評(píng)價(jià)”和“改進(jìn)”也不太涉及具體的控制，因此在描述上幾乎一致，但是在實(shí)際操作中可能還是存在區(qū)別。

部署PIMS過程中，組織環(huán)境需要考慮PII的利益相關(guān)者，且更注重法律和/或法規(guī)的要求。在ISMS情境中，組織是事件的受害者，同時(shí)也是信息安全的行動(dòng)者。但是在PIMS中，組織是行動(dòng)者，無論是作為“控制者”還是“處理者”，但是一旦發(fā)生隱私事件，受害者卻是“隱私主體”。其作為責(zé)任者，往往是因?yàn)樾姓?dāng)局的監(jiān)管。

區(qū)別最大的是“計(jì)劃”階段，期間主要是進(jìn)行風(fēng)險(xiǎn)評(píng)估，然后在風(fēng)險(xiǎn)處置過程中選擇附錄A和附錄B中的“控制”。在本章節(jié)中，并沒有指出可以參考ISO/IEC 29134，而是在7.2.5中將PIA作為一個(gè)具體的控制提供，并給出了該標(biāo)準(zhǔn)的索引。

4 安全控制層面的結(jié)合

在ISO/IEC 27701：2019中，第6章給出了與ISO/IEC 27002相關(guān)的PIMS具體指南，第7章和第8章，分別對(duì)PII控制者和PII處理者規(guī)定了附加的ISO/IEC 27002指南。

本文中不再討論具體某項(xiàng)控制的結(jié)合，一般而言，信息安全控制與業(yè)務(wù)流程的結(jié)合[1]途徑有三種：校準(zhǔn)（align）、整合（integrate）以及嵌入（embed）。隱私控制與信息安全控制的結(jié)合也不外乎上述途徑。

校準(zhǔn)是指隱私控制也以流程的形式呈現(xiàn)，且無法通過其他途徑精簡(jiǎn)，需要與其最相關(guān)的信息安全流程進(jìn)行校準(zhǔn)，以確保該流程盡量少影響或不會(huì)影響已有流程的運(yùn)轉(zhuǎn)。整合也是指隱私控制以流程的形式呈現(xiàn)，這個(gè)流程與已有的信息安全流程各有重點(diǎn)，但是存在程序上或邏輯上的共同之處，可以考慮將兩者或者更多整合成一個(gè)流程，從而減少了流程的總體數(shù)量，同時(shí)降低了執(zhí)行者的負(fù)擔(dān)。實(shí)際上，更多的信息安全控制和隱私控制都是以控制點(diǎn)的形式呈現(xiàn)，并不能作為單獨(dú)的流程。嵌入主要針對(duì)隱私控制點(diǎn)，是將這些控制點(diǎn)嵌入到現(xiàn)有的信息安全流程上。

無論是流程的校準(zhǔn)、整合還是嵌入，最主要的目的之一是要降低對(duì)已有流程的干擾，以更節(jié)約的方式促進(jìn)隱私保護(hù)制度的落地。

5 小結(jié)

基于ISO/IEC 27701的隱私信息管理體系是關(guān)注個(gè)人可識(shí)別信息（PII）保護(hù)的信息安全管理體系，其本身并不傾向于單獨(dú)部署，而是建議在已有的管理體系基礎(chǔ)上重新整合。因此，本文從管理體系層次探討了整合問題，在安全控制層次探討了流程結(jié)合問題。

參考文獻(xiàn)

[1] 趙秀堃， 謝宗曉. 信息安全與組織業(yè)務(wù)流程結(jié)合探討[J]. 中

國標(biāo)準(zhǔn)導(dǎo)報(bào)， 2016（7）：36-38.