新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO( 二 )


其次 , 统一的信息安全认识实现信息安全管理的全覆盖 。 我们可以看到 , 无论什么样的管理措施 , 关键的落脚点还是在人 。 针对不同层次、不同信息安全要求 , 银行需积极开展信息安全培训教育 , 提升全行信息安全意识及专业技能 , 达到针对信息安全工作认识与分工的高度统一 。 如:针对管理层 , 重点加强信息安全理念、形势、共识方面的教育培训 , 确保领导层面对信息安全的持续重视与关注;针对所有的开发人员和应用运维人员 , 开展应用系统渗透测试 , 发现问题并组织专题培训 , 以提高开发人员安全意识和安全技能;针对网点客服人员 , 开展信息安全敏感性及制度落实培训 。
结语
银行最核心的资产不是金融资本 , 而是金融消费者对于金融机构的信赖和信任 。 在当前的市场应用中 , 个人信息塑造了个人的虚拟形象 , 更有着显著的财产和资源属性 , 在个人隐私、财产利益、信息安全、经济发展等方面都产生了深刻影响 , 信息化发展越严重 , 对隐私安全的保护要求就会越高 。 大数据、云计算、人工智能等新技术不断涌现的时代 , 充分利用新技术 , 提高银行业生产效率 , 既关系到客户的切身利益和安全 , 也关系到银行业的未来发展 , 而个人信息的有效保护和管理是所有前提 。
新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO
文章图片
ISO/IEC27701隐私信息管理体系
ISO/IEC27701最初开发为ISO/IEC27552 , 它为建立 , 实施 , 维护和持续改进隐私信息安全管理体系(PIMS)提供了特定要求和指导 , 作为对ISO/IEC27001中定义的灵活信息安全管理体系(ISMS)的扩展 。 除了信息安全之外 , 还应考虑到处理PII所需的隐私保护 。 像ISO/IEC27001认证标准一样 , ISO/IEC27701认证并不希望组织在所有情况下都采用每种控件 。 相反 , 它要求组织了解处理PII的特定上下文 , 并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现 。
简而言之 , ISO/IEC27701认证是ISO/IEC27001认证的增强扩展 。 该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准 。 为了有效地管理隐私 , 它包含用于个人身份信息(PII)处理器和控制器的结构 。 实施ISO/IEC27701将创建一个隐私信息安全管理体系 , 简称PIMS 。
ISO/IEC27701隐私信息管理体系的作用:
尽管符合ISO27701/IEC的PIMS对于具有数据保护义务的任何组织都可能是有价值的 , 但对于在国际上运营 , 与其他司法管辖区的客户合作或在国际供应链中运营的组织而言 , 它可能特别有意义 。 这些组织通常需要遵守各种隐私法规和法律 , 而ISO/IEC27701的方法可以使这一挑战更容易解决 。
该框架可以帮助组织适当地解决其信息安全和隐私风险 , 并可以减少花在客户要求的和合同要求的审核上的时间 。
用ISO/IEC27701扩展符合ISO/IEC27001的ISMS可以提供证据 , 表明该组织已采取措施实施“适当的技术和组织措施” , 以降低风险并保护个人数据 , 这是全球范围内越来越多的隐私法所要求的 。
通过将PIMS实施为现有的符合ISO/IEC27001的ISMS的扩展 , 组织可以系统地收集和处理数据(包括个人数据) , 管理与信息的机密性 , 完整性和可用性有关的风险 , 并应对不断发展的变化对该数据及其隐私的威胁和风险 。
【新世纪认证|27701隐私信息的必要性,从账户被泄事件,看ISO】隐私信息管理系统还允许组织通过不断适应环境和组织内部的变化来降低与隐私和信息安全相关的成本 , 从而显着提高其抵御网络攻击的能力 。


推荐阅读