互聯(lián)網(wǎng)時代��,大數(shù)據(jù)逐漸深入到各行各業(yè)��,醫(yī)療行業(yè)的信息也逐漸數(shù)字化��,數(shù)字化醫(yī)療在帶來了極大的便利的同時�,也出現(xiàn)了個人隱私安全�����、數(shù)據(jù)竊取等問題�����。一項對1000名近期就醫(yī)患者的電子病歷與IT安全調(diào)查的結(jié)果顯示:49%的患者認(rèn)為電子病歷系統(tǒng)的建立對于個人醫(yī)療信息保護(hù)存在不良影響。86%的受訪者認(rèn)為醫(yī)療機(jī)構(gòu)有義務(wù)保護(hù)患者的財務(wù)信息�����,94%的認(rèn)為個人識別信息及與患者家屬相關(guān)的任何信息需要嚴(yán)格保護(hù)���。
醫(yī)療行業(yè)的隱私信息安全�,是社會治理層面不得不面對的議題�,ISO27701標(biāo)準(zhǔn)的發(fā)布為各行業(yè)提供了一個指導(dǎo)隱私信息管理實踐的依據(jù)����。
關(guān)于ISO27701
ISO27701的前身為ISO/IEC27552,由ISO/IEC技術(shù)委員會ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作組開發(fā)����,該工作組由來自世界各地的數(shù)據(jù)保護(hù)機(jī)構(gòu)、安全機(jī)構(gòu)�、學(xué)術(shù)界和工業(yè)界的專家組成��。該標(biāo)準(zhǔn)建立在ISO/IEC27001要求的基礎(chǔ)之上�,在隱私方面提供了必要的額外要求。規(guī)定了建立��、實施、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的信息安全管理體系的要求��。換句話說�����,就是保護(hù)個人信息的管理體系(簡稱PIMS)����,從而促進(jìn)公司����、政府等組織對個人信息(PII)的保護(hù)。
ISO27701認(rèn)證
作為一個剛誕生不久的新標(biāo)準(zhǔn)���,ISO27701對組織的必要性:
1) 通過明確對PII控制者和處理者的隱私保護(hù)要求��,可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo)��,減輕組織合規(guī)負(fù)擔(dān)的同時降低組織合規(guī)風(fēng)險�����,ISO27701標(biāo)準(zhǔn)附錄D中明確表示����,單個隱私控制點可以滿足GDPR中的多項要求。
2) 實現(xiàn)持續(xù)的個人隱私安全合規(guī)對于任何組織都是一個安全治理的課題���,ISO27701通過建立PIMS,可以確保組織高級管理層�����、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護(hù)要求�����,從而使組織實現(xiàn)長期�����、有效的個人隱私安全合規(guī)�����。
3) PIMS認(rèn)證可以向客戶或合作伙伴傳達(dá)隱私合規(guī)價值�。PII控制者通常會要求PII處理者提供相關(guān)證據(jù),從而證明PII處理者的隱私管理體系符合適用的隱私管理要求����。通過得到授權(quán)的第三方機(jī)構(gòu)對PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核,可以極大地降低合規(guī)溝通成本��,這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要�����,同時PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度��。
ISO27701的應(yīng)用與實施
ISO27701沿用并優(yōu)化了以往的ISO29151�����、ISO27018等標(biāo)準(zhǔn)的條款���,又不完全覆蓋任何一部已有的標(biāo)準(zhǔn),ISO/IEC27018����、ISO/IEC29151作為隱私管理方面指南性標(biāo)準(zhǔn),各有側(cè)重�����,在某些條款上,與ISO/IEC27701標(biāo)準(zhǔn)的指南部分形成了互補(bǔ)����。針對提供公有云業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)仍可以繼續(xù)參照ISO/IEC27018進(jìn)行體系實施,而另一些期望獲得更多實施指南的企業(yè)則可以繼續(xù)參照ISO/IEC29151進(jìn)行體系實施����。
ISO27701是一部兼顧不同國家地區(qū)法規(guī)要求的標(biāo)準(zhǔn),能使用一個體系來管理來自多個司法管轄區(qū)的多項隱私法規(guī)和政策的合規(guī)性����,例如歐盟的通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)等�。
ISO27701的應(yīng)用范圍十分廣泛,適用于需要對個人身份信息進(jìn)行管理的任何組織��,如銀行���、保險公司��、電信公司��、航空公司��、 數(shù)據(jù)中心�����、代理商��、非政府組織����、醫(yī)院和學(xué)校等����。
未來將對大數(shù)據(jù)隱私的來源����、保護(hù)等話題會更加敏感,ISO27701將會助越來越多的企業(yè)與組織走出隱私保護(hù)困境��,開啟隱私安全合規(guī)的新時代���!
