應對隱私信息管理正當時：第一項國際標準發布

譯/徐璐璐

數字世界令我們比以往任何時候都聯系得更加緊密，在享受其帶給我們愉悅的同時，也面臨著風險。在過去幾年里，企業遭受的網絡安全攻擊幾乎翻了一番1）世界經濟論壇全球風險2018 。，這對維護全球穩定所構成的威脅也越來越大，因此人們對網絡安全的關注與日俱增。

毋庸置疑，我們會迅速制定法律法規來降低這些風險并保護隱私。那么，各組織該如何在遵守這些要求的同時保護好自己呢？世界上第一項致力于幫助組織管理隱私信息和遵守監管要求的國際標準剛剛發布了。

保護我們的數字隱私是一項重要的業務問題。據IBM稱2）2017年數據泄露成本研究。，數據泄露的平均成本為360萬美元，同時對遵守法律義務的要求越來越嚴格。隨著人們的聯系越來越緊密，世界各國政府推出的各種隱私法規[例如歐盟的《一般數據保護法規》（GDPR）]是組織必須遵守的法規。新的ISO標準將幫助企業滿足要求，無論他們處于哪個司法管轄區。

ISO/IEC 27701《安全技術 用于隱私信息管理的ISO/IEC 27001和ISO/IEC 27002的擴展 要求和指南》，規定了建立、實施、維護和持續改進隱私專用信息安全管理體系的要求。換言之，為用于保護個人數據（PIMS）的管理體系。

ISO/IEC 27701的前身為ISO / IEC 27552，它是基于 ISO / IEC 27001《信息技術 安全技術 信息安全管理體系 要求》制定的，在隱私方面增加了必要的額外要求。

Andreas Wolf博士是負責制定該標準的ISO / IEC技術委員會主席，他表示，幾乎每個組織都需要處理個人身份信息（PII），保護此類信息不僅是法律要求，更是社會需求。

“ISO / IEC 27701定義了流程并提供了在持續不斷發展的基礎上保護PII的指南。因為它是一個管理體系，定義了持續改進數據保護的流程，對于技術發展從未停滯的世界尤為重要。”

微軟公司是該委員會的積極參與者。

微軟公司副總裁兼隱私和監管事務副總法律顧問Julie Brill說：“我們贊賞ISO / IEC技術委員會制定這一突破性的隱私標準，以便各種規模、司法管轄區和行業的組織能夠有效地保護和控制他們處理的個人數據。微軟承諾將歐盟通用數據保護法規中提供的權利擴展到全球客戶，下一步，Microsoft Azure和Office 365將實施PIMS標準，并將協助我們的客戶和合作伙伴采用這種可互操作的模式。”

ISO / IEC 27701由ISO / IEC信息安全技術委員會網絡安全和隱私保護分技術委員會（ISO / IEC JTC1 / SC 27）*下屬的第五工作組負責制定，該工作組由來自世界各地的數據保護機構、安全機構、學術界和工業界的專家組成。

法國的國家信息與自由委員會（Commission Nationale de l'Informatique et des Libertés）是個人信息保護的獨立監督機構，來自該委員會的Matthieu Grall是SC 27的積極參與者，也是制定該標準的貢獻者。他認為隨著越來越嚴格的數據保護要求和法律的出臺，制定這項標準勢在必行。

“盡管不遵守法規是存在風險的，但我們知道許多組織根本沒有做好準備并需要指導。隨著與隱私和數據保護相關的投訴和罰款數量的增加，現在對此標準的需求顯而易見。此外，組織需要贏得官方、合作伙伴、客戶和雇主的信任。這項標準將對獲得信任做出巨大貢獻。”