详细解读ISO27001和ISO27701,为何ISO27701对个人和企业如此重要?
一个普通得不能再普通的日子里,你打开手机里的购物APP,想为自己的新家挑选一些家具。于是,你在搜索框输入了“沙发”两个字,一瞬间上百个结果出现在你眼前,你好不容易挑中一个还不错的,但思索再三后决定先放着,便退出了APP。
时间就这样过去了1个小时,此时的你正在专心工作,突然一个陌生的电话响起,那头的人问到“您好,我是XXXX,请问您最近在考虑装修房子吗?”。
类似这样的事,屏幕前的你肯定不会陌生,可惜你想破脑袋也没有想出来,自己啥时候咨询过这家公司……
其实,这家公司很可能是通过一些非正规的方式获取了你的个人信息,比如不合规的第三方交易,或者网络攻击….
这就是网上常说的“个人隐私泄露”。如今的数字化世界,个人隐私和数据保护几乎成为了重中之重。各个国家都相继出台过各种各样的隐私法规,比较知名的如欧盟《通用数据保护条例》(GDPR),国内21年出台的《个人信息保护法》…
但正如罗翔所说的,“法律是对人最低的道德要求”,在法规之上,还可以有更高的标准来要求企业管理好保护用户信息相关的风险。
这正是国际标准化组织(ISO)在做的事情,在信息安全和隐私管理方面,ISO就制定过很多的标准,其中比较著名的就是ISO27001和ISO27701。
什么是ISO27001/ISO27701
ISO 27001 是 2005 年发布的,中间经历了2次改版(分别是2013年和2022年),其中列出了有关于信息安全管理系统(information security management system, ISMS) 的架构、实施、维护,以及持续改善上的要求,本质上是为了帮助企业保管,让它们保管的信息资产更加安全。
ISO27001主要涉及机密性、完整性、可用性三大要素,是目前国际上使用最广泛也最完整的ISMS信息管理系统标准。
如果你对上面的这些词听着很迷糊,就记住:拥有ISO27001认证的企业,能够给你的信息更好的保护,防止你存在上面的信息泄露。
ISO27701 是2019年发布的,它是ISO27001的延伸,概述了建立、实施、维护和持续改进组织隐私信息管理系统 (PIMS) 的要求。
这样,企业就可以知道如何更好的管理个人信息,从而遵守《通用数据保护条例》(GDPR)这类国际隐私法规。
同样划重点:ISO 27701 是首个为企业提供认证的国际隐私标准,以证明企业已采取的隐私控制措施。当然,前提是这家企业通过了ISO27701的认证。
不夸张的说,ISO27701是目前个人数据保护和隐私领域最有力的公信力标志
在这里,有必要先说明一下“安全和隐私”的区别。
安全和隐私的区别
安全是指保护数据的流程或系统,而隐私是指个人控制其个人数据访问的能力。
因此,隐私权是取决于安全性的。
这就意味着,要通过ISO27701必须先通过ISO27001认证,它是无法独立获得的。
反过来说,在ISO27001基础上又获得ISO27701认证的企业,其信息安全管理能力要强得多,可以确保个人数据的安全处理,从而最大限度地降低隐私风险。
当然ISO27701的认证难度也要比ISO27001高很多。
这就是为什么,你在很多企业的宣传上都可以看到ISO27001的认证,但拥有ISO27701认证的企业则非常少。
关于ISO27701和GDPR
看了前面这么多的内容,你可能会个疑问,经常提到的GDPR对比ISO27701来说,究竟哪个更重要?
答案是“都重要”,但GDPR主要针对的是欧洲,就像国内必须遵守的是《个人信息保护法》,并非一定要遵守GDPR。
ISO27701则并非单独针对GDPR,而是涵盖了全球范围内的隐私立法,其适用范围要大于GDPR或个人信息保护法。
所以才说,ISO27701是目前个人数据保护和隐私领域最有力的公信力标志。
对个人的启示
最后,ISO27701认证是企业需要做的,关个人什么事儿呢?
答案就是,个人可以选择“具备ISO27701认证的企业所提供的服务”,尤其是非常涉及数据安全和隐私方面的服务时。
比如,用户需要存储私人/家庭的照片或者非常机密的公司文件信息时,选择具备ISO27701认证的云存储服务就要比一般的服务可靠、私密、安全得多。
对企业来说也是同样,企业尤其是小微企业往往也会需要采购其他公司提供的云服务,不管是用于协同办公还是传输存储,考虑到企业的私密重要文件远比个人要多,价值也更高(财务数据、客户信息、招投标文件、产品方案等等),同样也应该选择具备IOS27701认证的云服务。
这就是“密盒”
密盒是少数同时通过ISO27001和ISO27701认证的消费者级私有云产品,etsme通过技术和法律两个层面确保了用户数据的安全和隐私性,保证了未经用户许可,etsme厂商无法触碰到用户的数据。
只需要将密盒放在家里/办公室,通上电即可使用密盒提供的云服务,数据完全存储在本地归个人/企业所有。.
最后补充一句,ISO27701的认证周期通常是3年,你在挑选服务的时候,务必检查一下对方提供的认证是否过期了。
etsme是采用云计算原生技术打造的个人私有云/小型私有云产品,即刻入手etsme,探索更多贴心功能,掌控自己的数字世界。