2019 年 8 月 6 日,国际标准化组织 ISO 和国际电工委员会 IEC 正式对外发布 ISO/IEC 27701 隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护,在国际间法律与法规的合规展现有了一致性的标准。
- ISO/IEC 27701 以 ISO/IEC 27001 和 ISO/IEC 27002 认证为基础,结合组织环境和风险管理选择涵盖法律法规、符合性、文件管理、风险管理、设备安全、人力资源、信息安全、运行管理、发布管理、连续性、安全架构等 16 个控制区域及 133 个控制措施,结合符合性进行结果评价。
- ISO/IEC 27701 目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。ISO/IEC 27701 是国际公认的权威的隐私信息管理体系建设指导标准,被视为目前全球隐私保护领域最权威的认证之一。
- 完善隐私安全合规能力:ISO/IEC 27701 是首个真正意义上构建出具有 PDCA 完整运行闭环的隐私信息管理体系标准。其详细规定了建立、实施、维护和不断改进隐私信息管理系统的各项要求,在信息安全保护的基础上将处理个人可识别信息 (PII)所需的隐私保护措施纳入考量。
通过明确对 PII 处理者的隐私保护要求,可以明确隐私保护管理合规目标,进一步完善隐私安全合规能力,并降低合规的风险,ISO/IEC 27701 标准对隐私保护的严格要求,也更全面地覆盖了 GDPR 的要求。
- 完善数据安全能力和风险管理:实现持续的完善产品的非功能性要求,进而展示出产品在处理个人隐私安全、安全治理的绩效,通过流程分析,在流程的输入、输出、控制过程中,识别、分析、验证隐私保护需求、传递隐私保护价值,减少甚至消除隐私泄露的风险,如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。
- 为客户带来更坚实的信息安全保障:客户或合作伙伴,尤其是政府组织、金融机构作为承担隐私风险的机构,通常会要求 PII 处理者提供相关证据,从而证明 PII 处理者的产品能符合适用的隐私管理体系要求。获得第三方权威机构颁发的 ISO/IEC 27701 认证证书,一方面可以为客户带来更坚实的信息安全保障,另一方面也可以极大地降低合规沟通成本,提升客户与公众对声网隐私安全合规的可信度。
随着欧盟的 GDPR 和更多类似隐私数据保护法律法规的发布,全球范围内对隐私要求的合规需求正在增加。这对于很多出海企业而言将面临更严格的隐私合规挑战,当地监管会严格审核企业本身的安全性以及所使用的云服务商是否合规等,所以云服务商是否具备安全合规的保障,成为了当下出海企业选择的重要考量因素,尤其是拥有客观、独立的第三方安全认证资质的。
声网此次获得 ISO/IEC 27701 认证是建立、完善隐私信息管理体系(PIMS)的关键成果,ISO/IEC 27701 加入了隐私保护的额外要求,基本满足了 GDPR 的要求,而 GDPR 目前在众多隐私保护法规中最为严格。对于很多出海企业而言,满足 GDPR 的要求,也意味着大幅降低了企业隐私安全合规的风险,在海外展开业务无后顾之忧。
目前声网已经通过 ISO/IEC 27001、ISO/IEC ISO27017、ISO/IEC 27018、ISO/IEC 27701 体系认证,并获得了 SOC2 Type 2 服务鉴证报告,进一步完善了自身的隐私保护和安全能力。声网也与 Trustwave、Ernst & Young 等信息安全机构、会计师事务所保持长期合作,以保障平台产品遵从包括欧盟《通用数据保护条例》(GDPR);美国《加州消费者隐私法》(CCPA)、《健康保险携带和责任法案》(HIPAA)、《儿童在线隐私保护法》(COPPA)等国外的法律法规要求,为企业出海提供更全面的安全合规保障。
声网Agora 官网现已上线安全合规的专题页面,如果您想进一步了解声网在安全合规方面的信息,可查看官网页面https://www.agora.io/cn/compliance
来源:声网Agora
来源:声网Agora
