互聯(lián)網(wǎng)時代，大數(shù)據(jù)逐漸深入到各行各業(yè)，醫(yī)療行業(yè)的信息也逐漸數(shù)字化，數(shù)字化醫(yī)療在帶來了極大的便利的同時，也出現(xiàn)了個人隱私安全、數(shù)據(jù)竊取等問題。一項對1000名近期就醫(yī)患者的電子病歷與IT安全調(diào)查的結(jié)果顯示：49%的患者認為電子病歷系統(tǒng)的建立對于個人醫(yī)療信息保護存在不良影響。86%的受訪者認為醫(yī)療機構(gòu)有義務(wù)保護患者的財務(wù)信息，94%的認為個人識別信息及與患者家屬相關(guān)的任何信息需要嚴格保護。

醫(yī)療行業(yè)的隱私信息安全，是社會治理層面不得不面對的議題，ISO27701標準的發(fā)布為各行業(yè)提供了一個指導隱私信息管理實踐的依據(jù)。

關(guān)于ISO27701

ISO27701的前身為ISO/IEC27552，由ISO/IEC技術(shù)委員會ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作組開發(fā)，該工作組由來自世界各地的數(shù)據(jù)保護機構(gòu)、安全機構(gòu)、學術(shù)界和工業(yè)界的專家組成。該標準建立在ISO/IEC27001要求的基礎(chǔ)之上，在隱私方面提供了必要的額外要求。規(guī)定了建立、實施、維護和持續(xù)改進隱私相關(guān)所特定的信息安全管理體系的要求。換句話說，就是保護個人信息的管理體系（簡稱PIMS），從而促進公司、政府等組織對個人信息（PII）的保護。

ISO27701認證

作為一個剛誕生不久的新標準，ISO27701對組織的必要性：

1) 通過明確對PII控制者和處理者的隱私保護要求，可以使組織明確隱私保護管理合規(guī)目標，減輕組織合規(guī)負擔的同時降低組織合規(guī)風險，ISO27701標準附錄D中明確表示，單個隱私控制點可以滿足GDPR中的多項要求。

2) 實現(xiàn)持續(xù)的個人隱私安全合規(guī)對于任何組織都是一個安全治理的課題，ISO27701通過建立PIMS，可以確保組織高級管理層、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護要求，從而使組織實現(xiàn)長期、有效的個人隱私安全合規(guī)。

3) PIMS認證可以向客戶或合作伙伴傳達隱私合規(guī)價值。PII控制者通常會要求PII處理者提供相關(guān)證據(jù)，從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過得到授權(quán)的第三方機構(gòu)對PII處理者進行基于國際標準的審核，可以極大地降低合規(guī)溝通成本，這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時PIMS認證也有助于向公眾傳達組織的可信度。

ISO27701的應(yīng)用與實施

ISO27701沿用并優(yōu)化了以往的ISO29151、ISO27018等標準的條款，又不完全覆蓋任何一部已有的標準，ISO/IEC27018、ISO/IEC29151作為隱私管理方面指南性標準，各有側(cè)重，在某些條款上，與ISO/IEC27701標準的指南部分形成了互補。針對提供公有云業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)仍可以繼續(xù)參照ISO/IEC27018進行體系實施，而另一些期望獲得更多實施指南的企業(yè)則可以繼續(xù)參照ISO/IEC29151進行體系實施。

ISO27701是一部兼顧不同國家地區(qū)法規(guī)要求的標準，能使用一個體系來管理來自多個司法管轄區(qū)的多項隱私法規(guī)和政策的合規(guī)性，例如歐盟的通用數(shù)據(jù)保護法規(guī)（GDPR)等。

ISO27701的應(yīng)用范圍十分廣泛，適用于需要對個人身份信息進行管理的任何組織，如銀行、保險公司、電信公司、航空公司、 數(shù)據(jù)中心、代理商、非政府組織、醫(yī)院和學校等。

未來將對大數(shù)據(jù)隱私的來源、保護等話題會更加敏感，ISO27701將會助越來越多的企業(yè)與組織走出隱私保護困境，開啟隱私安全合規(guī)的新時代！