歡迎訪問:廣東晟尚集團(tuán)全國24小時咨詢熱線:4000-138-136,投標(biāo)必備,品牌提升,國際貿(mào)易通行證,政府獎勵,吸引投資,國內(nèi)外實地辦公地點,行業(yè)體系全覆蓋
當(dāng)前位置:認(rèn)證專題> ISO27001認(rèn)證>

ISO認(rèn)證,公司信息化系統(tǒng)ISO八大體系認(rèn)證簡介

發(fā)布日期:2023-03-02 瀏覽次數(shù):0

ISO認(rèn)證,公司信息化系統(tǒng)ISO八大體系認(rèn)證簡介(0)

ISO認(rèn)證,公司信息化系統(tǒng)ISO八大體系認(rèn)證簡介
以互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等現(xiàn)代信息技術(shù)構(gòu)成的數(shù)字化時代,技術(shù)進(jìn)步帶來便利的同時,其背后伴隨的安全問題也不容忽視。
面對手機(jī)APP條款繁復(fù)、晦澀難懂的隱私政策,還有一攬子授權(quán),必須要點同意?
郵箱、手機(jī),甚至身份證、家庭住址、社會關(guān)系、銀行卡號……
這些被拿去的個人信息會不會被泄露和濫用?
公眾該如何防護(hù)?
企業(yè)如何保護(hù)隱私的同時獲取益處?
又該如何保障用戶的信息安全?
近年來全球多個國家紛紛頒布相關(guān)法律法規(guī),對信息安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。如中國的網(wǎng)絡(luò)安全法、GB/T 35273個人信息保護(hù)條例;歐盟GDPR通用數(shù)據(jù)保護(hù)條例;美國加州CCPA隱私保護(hù)條例;美國內(nèi)華達(dá)州SB220數(shù)據(jù)隱私法;英國DPA2018數(shù)據(jù)保護(hù)法等。

ISO認(rèn)證,公司信息化系統(tǒng)ISO八大體系認(rèn)證簡介(9)

為了應(yīng)對越來越多信息泄露件及個人信息濫用的情況,國際標(biāo)準(zhǔn)化組織ISO也在信息安全、隱私安全、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國際標(biāo)準(zhǔn)。如:ISO/IEC27001:2013 信息安全管理體系,ISO/IEC27002:2013 信息安全控制實用規(guī)則,ISO/IEC27017:2015 云環(huán)境下的信息安全控制,ISO/IEC27018:2019 公有云個人隱私保護(hù),ISO/IEC27701:2019 隱私管理體系,ISO/IEC29100:2011 隱私框架,ISO/IEC29134:2017 隱私影響評估指南,ISO/IEC29151:2017 個人隱私保護(hù)標(biāo)準(zhǔn)領(lǐng)域ISO/IEC2實實施1是通用的個人隱私保護(hù)標(biāo)準(zhǔn)
一、ISO/IEC27001:2013 信息安全管理體系
ISO/IEC27001是信息安全領(lǐng)域的重要標(biāo)準(zhǔn),是建立信息安全管理體系的一套規(guī)范,標(biāo)準(zhǔn)詳細(xì)說明了建立、實施及維護(hù)信息安全管理體系的要求,指出實施組織應(yīng)該遵循風(fēng)險評估標(biāo)準(zhǔn),其最終目的在于幫助組織建立適合自身需要的信息安全管理體系。ISO/IEC27001共分成14個領(lǐng)域,35個控制目標(biāo),114個控制措施。
二、ISO/IEC27002:2013 信息安全控制實用規(guī)則
ISO/IEC27002標(biāo)準(zhǔn)為在組織內(nèi)啟動、實施、保持和改進(jìn)信息安全管理提供指南和通用的原則。ISO/IEC27002標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南。.ISO/IEC27002標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實施以滿足由風(fēng)險評估所識別的要求,ISO/IEC27002標(biāo)準(zhǔn)可以作為一個實踐指南服務(wù)于幵發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實踐,幫助構(gòu)建組織間活動的信心。實施規(guī)則中的控制和指導(dǎo)并不全都是適用的,可能需要 ISO/IEC27002標(biāo)準(zhǔn)中未包括的附加控制和指南:。
三、ISO/IEC27017:2015 云環(huán)境下的信息安全控制
ISO/IEC27017提供了ISO/IEC27002與云環(huán)境相關(guān)的控制措施實施指引,同時提供了針對云服務(wù)的額外安全控制措施。ISO/IEC27017標(biāo)準(zhǔn)適用于所有類型和規(guī)模大小的組織,無論是自建的云服務(wù)還是透過購買所獲得的云服務(wù),以及云服務(wù)提供商本身,皆可透過此標(biāo)準(zhǔn)的指引,強(qiáng)化所提供或者所使用的云服務(wù)的安全。ISO/IEC27017能在組織和服務(wù)商中清楚地定義云服務(wù)提供商和云服務(wù)客戶之間的責(zé)任,避免可能在服務(wù)過程總所產(chǎn)生的歧義,導(dǎo)致服務(wù)中斷。ISO/IEC27017標(biāo)準(zhǔn)除了引用37個來自于ISO/IEC27002的控制措施,同時還額外提供了7個專門針對云服務(wù)的安全控制措施。
四、ISO/IEC27018:2019 公有云個人隱私保護(hù)
ISO/IEC27018是公有云個人隱私保護(hù)的國際標(biāo)準(zhǔn),標(biāo)準(zhǔn)提供了一套用于公有云中個人信息處理者的個人信息保護(hù)實用規(guī)則。這些規(guī)則讓云服務(wù)供應(yīng)商的個人信息安全控制變得標(biāo)準(zhǔn)化和透明化,使得公有云服務(wù)提供商在扮演PII處理者時,有足夠能力去處理公有云服務(wù)中的信息安全問題,能夠在滿足客戶合約以及相應(yīng)法規(guī)前提下,有效應(yīng)對云服務(wù)中個人隱私保護(hù)的特定風(fēng)險。ISO/IEC27018標(biāo)準(zhǔn)參考了ISO/IEC27002的16項控制措施,以及根據(jù)ISO/IEC29100的11項隱私框架原則追加的25項控制措施。

ISO認(rèn)證,公司信息化系統(tǒng)ISO八大體系認(rèn)證簡介(18)

五、ISO/IEC27701:2019 隱私管理體系
ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標(biāo)準(zhǔn),其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立、實施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風(fēng)險。
六、ISO/IEC29100:2011 隱私框架
由于信息科技的普及,處理或利用個人信息的情況越來越普遍,但不同國家的相關(guān)法規(guī)均不一致,為了確??鐕g的個人信息傳輸都能符合一定的法律要求,國際標(biāo)準(zhǔn)化組織ISO于2011年12月發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC29100隱私框架。隱私保護(hù)框架內(nèi)容包括:識別PII、隱私防護(hù)的要求、隱私策略和隱私控制的確定。標(biāo)準(zhǔn)的附錄對于隱私的詞匯和ISO/IEC27000標(biāo)準(zhǔn)族的詞匯進(jìn)行了對應(yīng)。由于隱私保護(hù)和信息安全存在太多的交叉,因此在ISO/IEC29100:2011中,關(guān)于隱私控制并沒有展幵。但是第五章關(guān)于隱私原則的內(nèi)容對于后續(xù)開展隱私管理體系建設(shè)具有指導(dǎo)意義。
七、ISO/IEC29134:2017 隱私影響評估指南
隱私影響評估(PIA)是一種評估流程,是評估信息系統(tǒng),程序,軟件模塊,設(shè)備或其他處理個人身份信息(PII)的活動對隱私的潛在影響的工具,并與利益相關(guān)方協(xié)商,為治理隱私風(fēng)險采取必要的行動。最終產(chǎn)生的PIA報告可能涵蓋涉及風(fēng)險治理措施的標(biāo)準(zhǔn)文件內(nèi)容,包括因使用ISO/IEC27001標(biāo)準(zhǔn)中而產(chǎn)生的措施。ISO/IEC29134第六章列出了隱私影響評估的主要步驟,給出了是否需要做PIA(閾值分析)的六種情境,最后在標(biāo)準(zhǔn)的附錄中列舉了常規(guī)的隱私風(fēng)險庫。
八、ISO/IEC29151:2017 個人隱私保護(hù)標(biāo)準(zhǔn)領(lǐng)域ISO/IEC2實實施1是通用的個人隱私保護(hù)標(biāo)準(zhǔn)
基于ISO/IEC27002的各個域中加入了PII的事實指南,同時引入了ISO/IEC29100十一大隱私保護(hù)原則。標(biāo)準(zhǔn)涵蓋26個控制域,181條控制措施,充分控制個人身份信息(PII)相關(guān)的風(fēng)險和滿足影響評估所確定的要求。

湖南ISO27001認(rèn)證辦理多少錢,ISO27001體系認(rèn)證公司,ISO27701體系認(rèn)證機(jī)構(gòu),ISO27001認(rèn)證辦理機(jī)構(gòu),ISO29151認(rèn)證,信息安全管理體系,信息安全管理體系認(rèn)證,認(rèn)證機(jī)構(gòu),認(rèn)證咨詢