當前位置: 網站首頁 > 總站 > ISO27001 >
一文了解ISO27001、ISO27701、ISO29151、 ISO27017、ISO27018之間的關系 發布時間: 2022-07-25 18:34 點擊:
一文了解ISO27001、ISO27701、ISO29151、 ISO27017、ISO27018之間的關系
以互聯網、大數據、人工智能等現代信息技術構成的數字化時代,技術進步帶來便利的同時,其背后伴隨的安全問題也不容忽視。
近年來全球多個國家紛紛頒布相關法律法規,對信息安全與隱私保護相關問題進行嚴格的規范與引導。如中國的網絡安全法、GB/T 35273個人信息保護條例;歐盟GDPR通用數據保護條例;美國加州CCPA隱私保護條例;美國內華達州SB220數據隱私法;英國DPA2018數據保護法等。
為了應對越來越多信息泄露件及個人信息濫用的情況,國際標準化組織ISO也在信息安全、隱私安全、云安全等相關領域發布了諸多ISO27001、ISO27701、ISO29151、 ISO27017、ISO27018國際標準。
 
一、ISO/IEC 27001:2013 信息安全管理體系
ISO/IEC 27001是信息安全領域的重要標準,是建立信息安全管理體系的一套規范,標準詳細說明了建立、實施及維護信息安全管理體系的要求,指出實施組織應該遵循風險評估標準,其最終目的在于幫助組織建立適合自身需要的信息安全管理體系。ISO/IEC 27001共分成14個領域,35個控制目標,114個控制措施。
二、ISO/IEC 27002:2013 信息安全控制實用規則
ISO/IEC 27002標準為在組織內啟動、實施、保持和改進信息安全管理提供指南和通用的原則。ISO/IEC 27002標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南。.ISO/IEC 27002標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求,ISO/IEC 27002標準可以作為一個實踐指南服務于幵發組織的安全標準和有效的安全管理實踐,幫助構建組織間活動的信心。實施規則中的控制和指導并不全都是適用的,可能需要 ISO/IEC 27002標準中未包括的附加控制和指南:。
三、ISO/IEC 27017:2015 云環境下的信息安全控制
ISO/IEC 27017提供了ISO/IEC 27002與云環境相關的控制措施實施指引,同時提供了針對云服務的額外安全控制措施。ISO/IEC 27017標準適用于所有類型和規模大小的組織,無論是自建的云服務還是透過購買所獲得的云服務,以及云服務提供商本身,皆可透過此標準的指引,強化所提供或者所使用的云服務的安全。ISO/IEC 27017能在組織和服務商中清楚地定義云服務提供商和云服務客戶之間的責任,避免可能在服務過程總所產生的歧義,導致服務中斷。ISO/IEC 27017標準除了引用37個來自于ISO/IEC 27002的控制措施,同時還額外提供了7個專門針對云服務的安全控制措施。
四、ISO/IEC 27018:2019 公有云個人隱私保護
ISO/IEC 27018是公有云個人隱私保護的國際標準,標準提供了一套用于公有云中個人信息處理者的個人信息保護實用規則。這些規則讓云服務供應商的個人信息安全控制變得標準化和透明化,使得公有云服務提供商在扮演PII處理者時,有足夠能力去處理公有云服務中的信息安全問題,能夠在滿足客戶合約以及相應法規前提下,有效應對云服務中個人隱私保護的特定風險。ISO/IEC 27018標準參考了ISO/IEC 27002的16項控制措施,以及根據ISO/IEC 29100的11項隱私框架原則追加的25項控制措施。
五、ISO/IEC 27701:2019 隱私管理體系
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
六、ISO/IEC 29100:2011 隱私框架
由于信息科技的普及,處理或利用個人信息的情況越來越普遍,但不同國家的相關法規均不一致,為了確?鐕g的個人信息傳輸都能符合一定的法律要求,國際標準化組織ISO于2011年12月發布了國際標準ISO/IEC 29100隱私框架。隱私保護框架內容包括:識別PII、隱私防護的要求、隱私策略和隱私控制的確定。標準的附錄對于隱私的詞匯和ISO/IEC27000標準族的詞匯進行了對應。由于隱私保護和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,關于隱私控制并沒有展幵。但是第五章關于隱私原則的內容對于后續開展隱私管理體系建設具有指導意義。
七、ISO/IEC 29134:2017 隱私影響評估指南
隱私影響評估(PIA)是一種評估流程,是評估信息系統,程序,軟件模塊,設備或其他處理個人身份信息(PII)的活動對隱私的潛在影響的工具,并與利益相關方協商,為治理隱私風險采取必要的行動。最終產生的PIA報告可能涵蓋涉及風險治理措施的標準文件內容,包括因使用ISO/IEC 27001標準中而產生的措施。ISO/IEC 29134第六章列出了隱私影響評估的主要步驟,給出了是否需要做PIA(閾值分析)的六種情境,最后在標準的附錄中列舉了常規的隱私風險庫。
八、ISO/IEC 29151:2017 個人隱私保護標準領域ISO/IEC2實實施1是通用的個人隱私保護標準,基于ISO/IEC 27002的各個域中加入了PII的事實指南,同時引入了ISO/IEC 29100十一大隱私保護原則。標準涵蓋26個控制域,181條控制措施,充分控制個人身份信息(PII)相關的風險和滿足影響評估所確定的要求。
 
ISO27001、ISO27701、ISO29151、 ISO27017、ISO27018標準之間的關系:
1、ISO/IEC 27002為ISO/IEC 27001提供風險處置具體的控制目標和控制措施指南;
2、組織依據ISO/IEC 27001標準建立信息安全管理體系,通過風險管理來保護和管理組織的所有信息,從數據安全方面滿足各國隱私法規的部分要求;
3、ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標準的延伸,ISO/IEC 27017著重于云環境下的信息安全控制,ISO/IEC 27018著重于公有云個人隱私保護;
4、擴展ISO/IEC 27001相關的PIMS要求;
5、擴展ISO/IEC 27002相關的PIMS要求以及PII控制者和處理者的額外要求;
6、ISO/IEC 27701附錄D映射GDPR大部分條款,僅部分條款未被ISO/IEC 27701覆蓋,通過ISO/IEC 27701認證能表明組織符合GDPR的大部分要求,是目前GDPR合規展現的方式之一;
7、ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均為隱私方面的標準,有不同的側重點,與ISO/IEC 27701互為補充。
了那么多信息安全相關的標準信息,企業該如何選擇符合且利于公司發展的管理體系呢?
信息安全標準適用范圍:
標準描述備注ISO/IEC 27001:2013信息安全管理體系作為基礎管理體系的框架,適用于所有類型和規模的組織。
ISO/IEC 27701:2019ISO/IEC 27001和ISO/IEC 27002的延伸,用于隱私信息管理個人身份信息相關組織和利益相關方要求;個人身份信息相關風險評估;適用于適用于所有類型和規模的組織,包括公共和私營公司、政府機構和非營利組織,他們是在ISMS中處理PII(個人可識別信息)的控制者或處理者。
ISO/IEC 29151:2017個人信息保護的行為準則36項ISO/IEC 27002附加控制要求;個人身份信息新增13個控制;適用于所有類型和規模的作為PII控制者的組織,包括處理PII的公共和私營公司、政府機構和非營利組織。
ISO/IEC 27017:2015基于ISO/IEC 27002的云服務信息安全控制實務守則37個與云安全相關的ISO/IEC 27002附加控制要求;7個額外的云安全要求;適用于云服務提供商和云服務客戶。
ISO/IEC 27018:2019公用云作為保護隱私數據處理者的實務守則與云相關的15項ISO/IEC 27002附加控制要求;11個額外的基于云的個人信息要求;適用于所有類型和規模的組織,這些組織作為PII處理者通過與其他組織簽訂的云計算提供信息處理服務;也適用于PII控制者的組織。
中國中鴻實業有限公司旗下:中鴻認證服務 www.abciphonesymas.com
1998年至今 ISO認證/企業資質服務 直辦非中介 全國接單 遠程或就近安排審核
1.誠聘專兼職審核員(全國/符合條件可免費定向培養);誠聘專職咨詢老師/專職市場專員;
2.全國誠招ISO認證代理人(個人級/企業級),轉發信息即傭金,免費培訓;
3.本年度ISO內審員免費培訓開始了,每月免費名額有限,從速預計。