理论教育 新兴信息技术条件下的个人信息安全保护体系研究

新兴信息技术条件下的个人信息安全保护体系研究

时间:2023-11-21 理论教育 版权反馈
【摘要】:为加速推进信息安全管理标准的制定工作,国际标准化组织的五个工作组中有两个工作组的任务均与信息安全管理标准有关,其中WG1的工作任务为专门开发信息安全管理体系的标准与指南。英国标准协会,在2009年正式发布全名为《数据保护—个人信息管理系统的具体要求》的标准BS10012。NIST SP 800系列已经出版了一百多本同信息安全相关的正式文件,并形成了从规划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。

新兴信息技术条件下的个人信息安全保护体系研究

为加速推进信息安全管理标准的制定工作,国际标准化组织的五个工作组中有两个工作组的任务均与信息安全管理标准有关,其中WG1的工作任务为专门开发信息安全管理体系的标准与指南。到目前为止,WG1围绕信息安全管理系统的国际标准编制已颁布了ISO/IEC 27000《信息安全管理体系概述和术语》、ISO/IEC 27001《信息安全管理体系-要求》和ISO/IEC 27005《信息安全风险管理》等8个系列标准,其中ISO/IEC 27001是国际上具有代表性的信息安全管理体系标准,是以风险管理为基础建立信息安全管理体系的一套规范,可有效帮助组织降低信息安全事件所造成的伤害并事前预防组织面对的潜在危害。目前ISO/IEC 27001的最新版本是2013年经过国际标准化组织修订后发布的版本,不过ISO/IEC 27001:2013较少关注个人信息安全保护,仅有A.15.1.4一个条目是针对个人信息与隐私保护的,且将个人信息保护的焦点仅仅停留在个人信息处理阶段,因此可见ISO/IEC 27001:2013对个人信息安全保护存在着较多不足之处[37]。但确保个人信息的跨境传输都能符合一定的法律要求是大势所趋,国家标准化组织中主要研究和制定身份管理和个人信息保护相关标准的ISO/IEC JTCI SC27(信息安全分技术委员会)制定和发布了一份国际间通用的个人信息安全管理标准——ISO/IEC 29100隐私框架标准(Privacy Framework)。该隐私框架标准的基本元素包括参与者和角色、个人可识别信息、风险、隐私优先、隐私保护要求和隐私保护原则。该框架标准定义了隐私保护的要求、通用的隐私术语、规范处理个人身份信息的隐私原则,对隐私保护功能进行了分类,形成一个可行的隐私标准化的基础框架,包括技术性的参考架构、隐私技术的使用、整体隐私管理、外包数据处理隐私保证、隐私性评估以及工程规范等。ISO/IEC 29100隐私框架标准从流程概念分析个人信息生命周期,依据个人信息的主要活动,提供相关隐私防护控制的方向[38]

英国标准协会(British Standard Institution,BSI),在2009年正式发布全名为《数据保护—个人信息管理系统的具体要求》(Data protection-Specification for a personal information management system)的标准BS10012。该标准的内容主要通过规划(Plan)、实施(Do)、监督审查(Check)与改善(Act)的流程方法39,对个人信息管理系统的各项数据保护要求进行具体说明,并让组织机构能维持与改善对国家法律法规的遵守,这是参考OECD对个人信息保护的八大原则并能与国际标准化组织的标准顺利接轨的产物。BS 10012的第0—2章为标准简介、适用范围与名词定义,第3—6章则为个人信息管理制度的PDCA架构。

为了强化组织机构保护个人信息安全的能力,使日本成为欧盟《数据保护指令》所倡导的具备充足数据保护机制的国家,日本在2005年全面实施《个人数据保护法》,日本信息处理开发协会(Japan Information Processing Development Corporation,JIPDEC)也根据《个人数据保护法》以及根据该法第7条制定的《个人数据保护法基本方针》,在2006年对原有的日本个人信息安全管理标准JIS Q 15001标准从个人信息收集、处理与利用等方面应该遵守的事项和承担的义务进行了修订,因此本文所讨论的是修订后的JIS Q 15001:2006。JIS Q 15001:2006是一套个人信息安全管理制度,包括适用范围、用语及定义和具体要求事项等三个部分,也主要是通过规划(Plan)、实施(Do)、监督与审查(Check)与改善(Act)的流程方法,建立系统化的管理制度,以达成个人信息安全保护的目的,并在组织机构内持续改善管理绩效,提升组织机构的个人信息安全的保护水平[40]。(www.daowen.com)

美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)发布了包括《保护个人可识别信息机密性的指南》(Guide to Protecting the Confidentiality of Personally Identifiable Information)SP 800-122在内的一系列支撑美国联邦机构信息安全管理的重要标准和指南。NIST SP 800系列已经出版了一百多本同信息安全相关的正式文件,并形成了从规划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。虽然NIST SP 800系列并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界广泛认可的事实标准和权威指南[41]。SP 800-122标准是在2010年4月发布的,主要涉及个人可识别信息(personal identifiable information,PII)机密性方面的保护标准,是一个以风险评估和管理为方法论,针对个人可识别信息处理过程采取管理、技术、物理等综合措施对其保护和有效控制,为安全管理者、安全服务提供商、安全技术开发人员、系统实施人员和系统评估者提供妥善保护个人可识别信息机密性的建议。本标准主要考虑个人可识别信息的机密性影响,其目标是保证个人可识别信息不能被非授权访问和泄露。保护个人隐私与信息资产的方法、策略与控制措施,则包括管理措施、隐私措施与安全措施[42][43]

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈