互聯(lián)網(wǎng)時(shí)代,大數(shù)據(jù)逐漸深入到各行各業(yè)����,醫(yī)療行業(yè)的信息也逐漸數(shù)字化��,數(shù)字化醫(yī)療在帶來(lái)了極大的便利的同時(shí)�����,也出現(xiàn)了個(gè)人隱私安全、數(shù)據(jù)竊取等問(wèn)題�����。一項(xiàng)對(duì)1000名近期就醫(yī)患者的電子病歷與IT安全調(diào)查的結(jié)果顯示:49%的患者認(rèn)為電子病歷系統(tǒng)的建立對(duì)于個(gè)人醫(yī)療信息保護(hù)存在不良影響�����。86%的受訪者認(rèn)為醫(yī)療機(jī)構(gòu)有義務(wù)保護(hù)患者的財(cái)務(wù)信息,94%的認(rèn)為個(gè)人識(shí)別信息及與患者家屬相關(guān)的任何信息需要嚴(yán)格保護(hù)���。
醫(yī)療行業(yè)的隱私信息安全�,是社會(huì)治理層面不得不面對(duì)的議題�,ISO27701標(biāo)準(zhǔn)的發(fā)布為各行業(yè)提供了一個(gè)指導(dǎo)隱私信息管理實(shí)踐的依據(jù)����。
關(guān)于ISO27701
ISO27701的前身為ISO/IEC27552,由ISO/IEC技術(shù)委員會(huì)ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作組開發(fā)�,該工作組由來(lái)自世界各地的數(shù)據(jù)保護(hù)機(jī)構(gòu)、安全機(jī)構(gòu)����、學(xué)術(shù)界和工業(yè)界的專家組成��。該標(biāo)準(zhǔn)建立在ISO/IEC27001要求的基礎(chǔ)之上����,在隱私方面提供了必要的額外要求����。規(guī)定了建立、實(shí)施�、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的信息安全管理體系的要求�����。換句話說(shuō),就是保護(hù)個(gè)人信息的管理體系(簡(jiǎn)稱PIMS)�,從而促進(jìn)公司、政府等組織對(duì)個(gè)人信息(PII)的保護(hù)��。
ISO27701認(rèn)證
作為一個(gè)剛誕生不久的新標(biāo)準(zhǔn),ISO27701對(duì)組織的必要性:
1) 通過(guò)明確對(duì)PII控制者和處理者的隱私保護(hù)要求���,可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo),減輕組織合規(guī)負(fù)擔(dān)的同時(shí)降低組織合規(guī)風(fēng)險(xiǎn)����,ISO27701標(biāo)準(zhǔn)附錄D中明確表示���,單個(gè)隱私控制點(diǎn)可以滿足GDPR中的多項(xiàng)要求���。
2) 實(shí)現(xiàn)持續(xù)的個(gè)人隱私安全合規(guī)對(duì)于任何組織都是一個(gè)安全治理的課題,ISO27701通過(guò)建立PIMS�,可以確保組織高級(jí)管理層���、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護(hù)要求�����,從而使組織實(shí)現(xiàn)長(zhǎng)期���、有效的個(gè)人隱私安全合規(guī)�。
3) PIMS認(rèn)證可以向客戶或合作伙伴傳達(dá)隱私合規(guī)價(jià)值����。PII控制者通常會(huì)要求PII處理者提供相關(guān)證據(jù),從而證明PII處理者的隱私管理體系符合適用的隱私管理要求���。通過(guò)得到授權(quán)的第三方機(jī)構(gòu)對(duì)PII處理者進(jìn)行基于國(guó)際標(biāo)準(zhǔn)的審核�,可以極大地降低合規(guī)溝通成本��,這種合規(guī)透明度的提高對(duì)于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要,同時(shí)PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度�����。
ISO27701的應(yīng)用與實(shí)施
ISO27701沿用并優(yōu)化了以往的ISO29151����、ISO27018等標(biāo)準(zhǔn)的條款�����,又不完全覆蓋任何一部已有的標(biāo)準(zhǔn),ISO/IEC27018�����、ISO/IEC29151作為隱私管理方面指南性標(biāo)準(zhǔn)�,各有側(cè)重,在某些條款上���,與ISO/IEC27701標(biāo)準(zhǔn)的指南部分形成了互補(bǔ)�����。針對(duì)提供公有云業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)仍可以繼續(xù)參照ISO/IEC27018進(jìn)行體系實(shí)施��,而另一些期望獲得更多實(shí)施指南的企業(yè)則可以繼續(xù)參照ISO/IEC29151進(jìn)行體系實(shí)施�。
ISO27701是一部兼顧不同國(guó)家地區(qū)法規(guī)要求的標(biāo)準(zhǔn)���,能使用一個(gè)體系來(lái)管理來(lái)自多個(gè)司法管轄區(qū)的多項(xiàng)隱私法規(guī)和政策的合規(guī)性��,例如歐盟的通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)等�����。
ISO27701的應(yīng)用范圍十分廣泛�,適用于需要對(duì)個(gè)人身份信息進(jìn)行管理的任何組織,如銀行���、保險(xiǎn)公司���、電信公司�����、航空公司�����、 數(shù)據(jù)中心、代理商�、非政府組織��、醫(yī)院和學(xué)校等����。
未來(lái)將對(duì)大數(shù)據(jù)隱私的來(lái)源�����、保護(hù)等話題會(huì)更加敏感,ISO27701將會(huì)助越來(lái)越多的企業(yè)與組織走出隱私保護(hù)困境��,開啟隱私安全合規(guī)的新時(shí)代����!
