網(wǎng)絡(luò)時代數(shù)字化不僅給我們的生活帶來了便捷，同時對個人信息安全也帶來了隱患。隱私保護(hù)問題已然成為了當(dāng)前社會的焦點(diǎn)，這意味著組織現(xiàn)在面臨著來自客戶、最終用戶、投資者和監(jiān)管機(jī)構(gòu)的多重壓力。

在全球多個國家和地區(qū)，紛紛相繼出臺了一系列個人信息保護(hù)的法律法規(guī)，例如歐盟的GDPR，中國的網(wǎng)絡(luò)安全法，以及即將出臺的個人信息保護(hù)法等，面對越來越嚴(yán)格的監(jiān)管趨勢和眾多且復(fù)雜的法律法規(guī)，企業(yè)如何有效的管理和保護(hù)客戶及用戶的信息安全？
 

個人可識別信息保護(hù)管理體系（ISO/IEC 29151:2017）

ISO/IEC 29151是國際標(biāo)準(zhǔn)化組織和國際電工委員會共同發(fā)布的關(guān)于處理個人可識別信息（Personally Identifiable Information，PII）的控制措施和指南，以滿足與保護(hù) PII 有關(guān)的風(fēng)險評估和隱私影響評估所確定的要求。

ISO/IEC 29151基于 ISO/IEC 27002 信息技術(shù)-安全技術(shù)-信息安全控制實(shí)踐規(guī)則以及 ISO 相關(guān)安全標(biāo)準(zhǔn)規(guī)范，提供一系列信息安全和 PII 保護(hù)控制的指南，并指導(dǎo)組織根據(jù)風(fēng)險分析的結(jié)果來選擇與 PII 特定處理匹配的控制措施，以制定全面、一致的控制系統(tǒng)，減少隱私泄露風(fēng)險并減少違規(guī)。
 

一、ISO/IEC 27701與ISO/IEC 29151的異同關(guān)系

ISO/IEC 27701:2019安全技術(shù)-擴(kuò)展的ISO/IEC 27001和ISO/IEC27002-隱私信息管理要求和指南》和《ISO/IEC 29151:2017個人可識別信息保護(hù)實(shí)踐指南》同是ISO標(biāo)準(zhǔn)委員會頒布的指導(dǎo)組織實(shí)現(xiàn)隱私安全的國際標(biāo)準(zhǔn)。兩者之間的聯(lián)系包括：

區(qū)別一：結(jié)構(gòu)不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002在隱私方面的擴(kuò)展，并為隱私保護(hù)提供了除ISO/IEC 27001和ISO/IEC 27002之外的額外指導(dǎo)。標(biāo)準(zhǔn)通過第5章和第6章將ISO/IEC 27002與附加的PIMS控制項(xiàng)通過ISO/IEC 27001中PDCA的方式導(dǎo)入體系，形成完整的信息安全和隱私管理體系。第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對PII控制者和處理者的控制要求。

ISO/IEC 29151:2017描述了可被普遍接受的個人可識別身份信息（PII）安全控制措施和風(fēng)險處理指南，該標(biāo)準(zhǔn)基于ISO/IEC 27002的基本結(jié)構(gòu)，將ISO/IEC 29100中的隱私原則予以對應(yīng)，形成實(shí)用且針對性強(qiáng)的PII保護(hù)措施供組織使用。

區(qū)別二：側(cè)重點(diǎn)不同

ISO/IEC 27701是ISO/IEC 27001和ISO/IEC 27002的延伸，側(cè)重于隱私信息安全管理。ISO/IEC 27701分別對個人可識別信息控制者和個人可識別信息處理者進(jìn)行規(guī)范和指導(dǎo)并基于ISO/IEC 27001和ISO/IEC 27002的各個領(lǐng)域，從管理體系的角度并遵循PDCA的理念。

ISO/IEC 29151:2017是個人信息保護(hù)的行為準(zhǔn)則、是個人身份信息保護(hù)的實(shí)踐指南，側(cè)重于隱私技術(shù)。它主要是基于ISO/IEC 27002的各個域中加入了PI的實(shí)施指南，并引入了ISO/IEC 29100的隱私保護(hù)原則。

區(qū)別三：企業(yè)如何選擇

ISO/IEC 27701是基于ISO/IEC 27001信息安全管理體系標(biāo)準(zhǔn)族，適用于所有類型和規(guī)模的組織，包括公共和私營公司、政府機(jī)構(gòu)和非盈利組織，他們是在ISMS中處理PII的控制者或處理者。ISO/IEC 29151:2017是基于ISO/IEC 29100信息技術(shù)-安全技術(shù)-保密框架標(biāo)準(zhǔn)族，適用于所有類型和規(guī)模的作為PII控制者的組織，包括處理PII的公共和私營公司、政府機(jī)構(gòu)和非盈利組織。

兩者存在的差異使得ISO/IEC 27701認(rèn)證和ISO/IEC 29151認(rèn)證不可相互替代，企業(yè)可根據(jù)實(shí)際情況進(jìn)行選擇。


二、企業(yè)獲得ISO/IEC 29151:2017認(rèn)證的益處

1、獲取客戶關(guān)于組織對個人可識別信息保護(hù)管理方面的信任，以獲得潛在業(yè)務(wù)；

2、證實(shí)組織對其產(chǎn)品和服務(wù)目標(biāo)市場所在地隱私法規(guī)的遵從，獲得所在地的市場準(zhǔn)入；

3、組織自身為證實(shí)其在個人可識別信息保護(hù)管理方面的能力和符合性；

4、向相關(guān)方證實(shí)其在個人可識別信息保護(hù)管理方面的能力和符合性。
 

企業(yè)有效的信息安全管控及個人可識別信息保護(hù)處理，是為客戶及用戶帶來信任和提升品牌價值的方法和策略。通過 ISO/IEC 29151認(rèn)證意味著企業(yè)已經(jīng)具備適當(dāng)?shù)陌踩刂企w系為您在云端的 PII 提供了高標(biāo)準(zhǔn)的隱私保護(hù)控制。

作為國內(nèi)權(quán)威的信息安全領(lǐng)域認(rèn)證機(jī)構(gòu)，BCC持續(xù)關(guān)注個人可識別信息保護(hù)管理在社會中的影響，持續(xù)在相關(guān)領(lǐng)域進(jìn)行研發(fā)投入，擁有完善的服務(wù)制度和豐富的服務(wù)經(jīng)驗(yàn)。在實(shí)踐中BCC幫助企業(yè)識別相關(guān)風(fēng)險和審核數(shù)據(jù)安全執(zhí)行方案有效性，為他們提供更多建議，幫助企業(yè)提升品牌信譽(yù)，增強(qiáng)企業(yè)核心競爭力。