江苏龙网

  1. 首页 > 资讯 > 科技 > >

信息|从账户被泄事件,看ISO 27701隐私信息的必要性( 二 )


首先 , 我们都知道银行由于其特殊性在信息安全方面的技术手段应该是最严、最高精尖的 。 这也是公众对此次个人信息泄露表露强烈不满的关键所在 , 强烈的反差反而突显了个人信息安全保护漏洞的严重性 。 信息安全保护的技术性手段主要应用场景还是在外部攻击 , 反而在内部管理上显示出了脆弱性 , 因此 , 强大的内部管理机制才是解决这也是隐私泄露问题频发的关键所在 。 信息安全管理体系是国际通用的信息安全管理手段 , 管理体系持续改进的管理方法能够在问题发生的初次就进行有效的系统性修复 , 对制度本身进行升级和优化 , 有效规避风险的再次发生 。
其次 , 统一的信息安全认识实现信息安全管理的全覆盖 。 我们可以看到 , 无论什么样的管理措施 , 关键的落脚点还是在人 。 针对不同层次、不同信息安全要求 , 银行需积极开展信息安全培训教育 , 提升全行信息安全意识及专业技能 , 达到针对信息安全工作认识与分工的高度统一 。 如:针对管理层 , 重点加强信息安全理念、形势、共识方面的教育培训 , 确保领导层面对信息安全的持续重视与关注;针对所有的开发人员和应用运维人员 , 开展应用系统渗透测试 , 发现问题并组织专题培训 , 以提高开发人员安全意识和安全技能;针对网点客服人员 , 开展信息安全敏感性及制度落实培训 。
结语
银行最核心的资产不是金融资本 , 而是金融消费者对于金融机构的信赖和信任 。 在当前的市场应用中 , 个人信息塑造了个人的虚拟形象 , 更有着显著的财产和资源属性 , 在个人隐私、财产利益、信息安全、经济发展等方面都产生了深刻影响 , 信息化发展越严重 , 对隐私安全的保护要求就会越高 。 大数据、云计算、人工智能等新技术不断涌现的时代 , 充分利用新技术 , 提高银行业生产效率 , 既关系到客户的切身利益和安全 , 也关系到银行业的未来发展 , 而个人信息的有效保护和管理是所有前提 。
信息|从账户被泄事件,看ISO 27701隐私信息的必要性
本文插图

ISO/IEC 27701隐私信息管理体系
ISO/IEC 27701最初开发为ISO/IEC 27552 , 它为建立 , 实施 , 维护和持续改进隐私信息安全管理体系(PIMS)提供了特定要求和指导 , 作为对ISO/IEC 27001中定义的灵活信息安全管理体系(ISMS)的扩展 。 除了信息安全之外 , 还应考虑到处理PII所需的隐私保护 。 像ISO/IEC 27001认证标准一样 , ISO/IEC 27701认证并不希望组织在所有情况下都采用每种控件 。 相反 , 它要求组织了解处理PII的特定上下文 , 并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现 。
简而言之 , ISO/IEC 27701认证是ISO/IEC 27001认证的增强扩展 。 该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准 。 为了有效地管理隐私 , 它包含用于个人身份信息(PII)处理器和控制器的结构 。 实施ISO/IEC 27701将创建一个隐私信息安全管理体系 , 简称PIMS 。
ISO/IEC 27701 隐私信息管理体系的作用:
尽管符合ISO27701/IEC 的PIMS对于具有数据保护义务的任何组织都可能是有价值的 , 但对于在国际上运营 , 与其他司法管辖区的客户合作或在国际供应链中运营的组织而言 , 它可能特别有意义 。 这些组织通常需要遵守各种隐私法规和法律 , 而ISO/IEC 27701的方法可以使这一挑战更容易解决 。
该框架可以帮助组织适当地解决其信息安全和隐私风险 , 并可以减少花在客户要求的和合同要求的审核上的时间 。
用ISO/IEC 27701扩展符合ISO/IEC 27001的ISMS可以提供证据 , 表明该组织已采取措施实施“适当的技术和组织措施” , 以降低风险并保护个人数据 , 这是全球范围内越来越多的隐私法所要求的 。
通过将PIMS实施为现有的符合ISO/IEC 27001的ISMS的扩展 , 组织可以系统地收集和处理数据(包括个人数据) , 管理与信息的机密性 , 完整性和可用性有关的风险 , 并应对不断发展的变化对该数据及其隐私的威胁和风险 。


推荐阅读


上一篇:分众传媒|分众传媒回应深交所问询:不存在配合瑞幸咖啡虚增广告费用

下一篇:vivo|5月份即将结束!盘点6月份将发布的3款最美国产全面屏手机