從賬戶被泄事件,看ISO27701隱私信息體系建立的必要性
導(dǎo)讀
從池子銀行賬戶被泄事件看個人信息保護(hù)。
池子,原名王越池,因參加《吐槽大會》而成名。在今年5月初,池子稱其與上海笑果文化傳媒有限公司產(chǎn)生合約糾紛,雙方均提出了仲裁,在笑果文化寄給王越池的案件材料里面,竟然發(fā)現(xiàn)了他在銀行的個人賬戶交易明細(xì)。
1、銀行面臨高額懲罰
此次事件,銀行已經(jīng)致歉并將該支行行長撤職,并稱是“個別員工未嚴(yán)格按照制度操作”,與此同時銀保監(jiān)會已經(jīng)提出立案調(diào)查。但是,業(yè)內(nèi)人士表示,銀行將面臨頂格處罰,并且公司高管及相關(guān)責(zé)任人將面臨法律風(fēng)險。
但是我想這并不是銀行高層想要看到的。
2、很難說是“個別員工”造就的意外
客戶不分大小,隱私權(quán)都是絕對平等的。
《商業(yè)銀行法》第29條就明確規(guī)定,“對個人儲蓄存款,商業(yè)銀行有權(quán)拒絕任何單位或者個人查詢、凍結(jié)、扣劃”。
除了公安機關(guān)、法院等經(jīng)過法定程序的調(diào)取外,銀行沒有任何權(quán)利將交易記錄泄露給第三方。而且值得一提的是,這并不是銀行第一次陷入隱私泄露風(fēng)波。
前幾年,因下屬分行工作人員涉嫌泄露倒賣個人征信信息,銀行就曾被央行點名通報。
根據(jù)公開數(shù)據(jù),央行2017年到2019年間針對征信違規(guī)的193期處罰里關(guān)于內(nèi)部人員越權(quán)查詢個人或企業(yè)征信的處罰就有88起。
因此,這次風(fēng)波很難說是“個別員工”造就的意外。
3、銀行個人信息管理中到底有哪些問題
首先,我們從各路媒體的公開報道中可以知道,銀行支行員工是在支行行長的授權(quán)下將池子的銀行流水打印出來提交給的。在這段信息里,我們可以提煉下有用的信息:池子的個人信息不屬于高級別權(quán)限,誰都能看。換言之,這個行長是有授權(quán)權(quán)限的。
眾所周知,銀行也是要賺錢的,各大支行的業(yè)績壓力那是一點都不小,那么不可避免的,一家支行會對一家公司客戶存在多少依賴,那么與分支業(yè)績相關(guān)的行長很難不受到大客戶裹挾。這里隱藏的信息是:與第三方利益相關(guān)的人在參與授權(quán),這其實是制度缺陷。
另外,不論是該支行具體操作員工還是支行行長對個人信息安全保護(hù)的意識顯然是不足的。
這暴露出,銀行雖然有制度,但是依然存在很大的執(zhí)行缺陷和管理漏洞。針對此點,國際上有個標(biāo)準(zhǔn)(ISO/IEC 27701:2019隱私信息管理體系)就能夠有效進(jìn)行規(guī)避。該標(biāo)準(zhǔn)對 PII (個人可識別身份信息)提出專門的要求(例如:要求組織需要根據(jù)自身角色配置響應(yīng)的PII管理專職人員;分別對PII控制者和處理者的評估增加了額外指導(dǎo),包括收集和處理PII的條件等控制域)。
4、如何通過標(biāo)準(zhǔn)化管理避免個人隱私管理違規(guī)
去年以來,監(jiān)管部門密集出臺關(guān)于數(shù)據(jù)安全管理辦法、APP 違規(guī)收集使用個人信息行為認(rèn)定方法等多項征求意見稿及草案??梢钥吹?,國家層面對個人信息數(shù)據(jù)管理的系統(tǒng)性整治規(guī)范是大勢所趨。眼下該股份行事件暴露出的流程漏洞,勢必將加速監(jiān)管方面對金融機構(gòu)個人信息安全的排查監(jiān)管。各家銀行如何有效將鍋補上,規(guī)避未來發(fā)生此類事件的風(fēng)險將成為今年銀行工作的重中之重。之前我們提到的ISO/IEC 27701隱私信息管理體系或許能夠給各方一點啟發(fā)。
首先,我們都知道銀行由于其特殊性在信息安全方面的技術(shù)手段應(yīng)該是最嚴(yán)、最高精尖的。這也是公眾對此次個人信息泄露表露強烈不滿的關(guān)鍵所在,強烈的反差反而突顯了個人信息安全保護(hù)漏洞的嚴(yán)重性。信息安全保護(hù)的技術(shù)性手段主要應(yīng)用場景還是在外部攻擊,反而在內(nèi)部管理上顯示出了脆弱性,因此,強大的內(nèi)部管理機制才是解決這也是隱私泄露問題頻發(fā)的關(guān)鍵所在。信息安全管理體系是國際通用的信息安全管理手段,管理體系持續(xù)改進(jìn)的管理方法能夠在問題發(fā)生的初次就進(jìn)行有效的系統(tǒng)性修復(fù),對制度本身進(jìn)行升級和優(yōu)化,有效規(guī)避風(fēng)險的再次發(fā)生。
其次,統(tǒng)一的信息安全認(rèn)識實現(xiàn)信息安全管理的全覆蓋。我們可以看到,無論什么樣的管理措施,關(guān)鍵的落腳點還是在人。針對不同層次、不同信息安全要求,銀行需積極開展信息安全培訓(xùn)教育,提升全行信息安全意識及專業(yè)技能,達(dá)到針對信息安全工作認(rèn)識與分工的高度統(tǒng)一。
如:針對管理層,重點加強信息安全理念、形勢、共識方面的教育培訓(xùn),確保領(lǐng)導(dǎo)層面對信息安全的持續(xù)重視與關(guān)注;針對所有的開發(fā)人員和應(yīng)用運維人員,開展應(yīng)用系統(tǒng)滲透測試,發(fā)現(xiàn)問題并組織專題培訓(xùn),以提高開發(fā)人員安全意識和安全技能;針對網(wǎng)點客服人員,開展信息安全敏感性及制度落實培訓(xùn)。
結(jié)語
銀行最核心的資產(chǎn)不是金融資本,而是金融消費者對于金融機構(gòu)的信賴和信任。在當(dāng)前的市場應(yīng)用中,個人信息塑造了個人的虛擬形象,更有著顯著的財產(chǎn)和資源屬性,在個人隱私、財產(chǎn)利益、信息安全、經(jīng)濟發(fā)展等方面都產(chǎn)生了深刻影響,信息化發(fā)展越嚴(yán)重,對隱私安全的保護(hù)要求就會越高。大數(shù)據(jù)、云計算、人工智能等新技術(shù)不斷涌現(xiàn)的時代,充分利用新技術(shù),提高銀行業(yè)生產(chǎn)效率,既關(guān)系到客戶的切身利益和安全,也關(guān)系到銀行業(yè)的未來發(fā)展,而個人信息的有效保護(hù)和管理是所有前提。
ISO/IEC 27701隱私信息管理體系
ISO/IEC 27701最初開發(fā)為ISO/IEC 27552,它為建立,實施,維護(hù)和持續(xù)改進(jìn)隱私信息安全管理體系(PIMS)提供了特定要求和指導(dǎo),作為對ISO/IEC 27001中定義的靈活信息安全管理體系(ISMS)的擴展。除了信息安全之外,還應(yīng)考慮到處理PII所需的隱私保護(hù)。像ISO/IEC 27001認(rèn)證標(biāo)準(zhǔn)一樣,ISO/IEC 27701認(rèn)證并不希望組織在所有情況下都采用每種控件。相反,它要求組織了解處理PII的特定上下文,并以適合其處理活動的方式調(diào)整特定的控件集以及這些控件的相關(guān)實現(xiàn)。
簡而言之,ISO/IEC 27701認(rèn)證是ISO/IEC 27001認(rèn)證的增強擴展。該標(biāo)準(zhǔn)可以提供通用數(shù)據(jù)保護(hù)法規(guī)(GDPR)要求的數(shù)據(jù)隱私和信息安全標(biāo)準(zhǔn)。為了有效地管理隱私,它包含用于個人身份信息(PII)處理器和控制器的結(jié)構(gòu)。實施ISO/IEC 27701將創(chuàng)建一個隱私信息安全管理體系,簡稱PIMS。
ISO/IEC 27701 隱私信息管理體系的作用:
盡管符合ISO27701/IEC 的PIMS對于具有數(shù)據(jù)保護(hù)義務(wù)的任何組織都可能是有價值的,但對于在國際上運營,與其他司法管轄區(qū)的客戶合作或在國際供應(yīng)鏈中運營的組織而言,它可能特別有意義。這些組織通常需要遵守各種隱私法規(guī)和法律,而ISO/IEC 27701的方法可以使這一挑戰(zhàn)更容易解決。
該框架可以幫助組織適當(dāng)?shù)亟鉀Q其信息安全和隱私風(fēng)險,并可以減少花在客戶要求的和合同要求的審核上的時間。
用ISO/IEC 27701擴展符合ISO/IEC 27001的ISMS可以提供證據(jù),表明該組織已采取措施實施“適當(dāng)?shù)募夹g(shù)和組織措施”,以降低風(fēng)險并保護(hù)個人數(shù)據(jù),這是全球范圍內(nèi)越來越多的隱私法所要求的。
通過將PIMS實施為現(xiàn)有的符合ISO/IEC 27001的ISMS的擴展,組織可以系統(tǒng)地收集和處理數(shù)據(jù)(包括個人數(shù)據(jù)),管理與信息的機密性,完整性和可用性有關(guān)的風(fēng)險,并應(yīng)對不斷發(fā)展的變化對該數(shù)據(jù)及其隱私的威脅和風(fēng)險。
隱私信息管理系統(tǒng)還允許組織通過不斷適應(yīng)環(huán)境和組織內(nèi)部的變化來降低與隱私和信息安全相關(guān)的成本,從而顯著提高其抵御網(wǎng)絡(luò)攻擊的能力。
電話:400-016-9000
郵箱:post@bcc.com.cn
聯(lián)系地址:北京市東城區(qū)廣渠門內(nèi)大街45號D座5層