新知分享

  • 2020-02-12 淺談 ISO/IEC 29100
  • ISO/IEC 29100: 資訊安全技術-隱私框架標準:

    從事指定的採購、架構、設計、開發、測試、維護、管理和運營的的自 然人和機構都需要 PII 處理隱私控制的信息和通信技術系統或服務。

    。提供一個隱私框架

    。共通的隱私用語

    。定義在處理個人資料的參與者和他們的角色(PII)

    。描述了隱私保護事項

    。提供參考已知的隱私保護原則的資訊技術

    目前與安全性相關的現有標準,例如(ISO 27001,ISO 27002 和 ISO 27018 等),而 ISO / IEC 29100 更加側重於 PII 的處理。

    ICT 系統的複雜性不斷提高,使得組織難以確保其隱私受到保護,並且 由於 PII 的大量商業使用,如今越來越難以遵守各種適用法律。

    因此,ISO / IEC 29100 標準具有 11 條實質性隱私原則(如下表所示), 這些原則是在考慮適用法律和法規、商業和其他相關因素的情況下制定。 所有這些原則都是由世界上許多州,國家和不同的國際組織製定的。

    標準的目的:

    1. 協助組織以高階的管理架構來保護其資通訊系統中足資辨識個人的 資訊

    2. 協助組織定義與資通訊環境中有關個人資訊的隱私安全保護要求

    企業將如何受益:

    ISO組織於2011年正式發佈ISO/ IEC 29100:2011隱私框架標準(台灣也已 發佈 CNS 29100),此國際標準具體說明在資訊科技運用上如何建立管理 控制要求,以符合個人資料保護法的相關規範,讓組織能設計必要的控 制點以符合對個人資料保護法律及產業優良實務的遵循。

    : PII-個人身份信息-PII 處理的是一種允許某人識別特定人的數據。例如,您的社會安全號碼是 PII 的一個很好的例子, 因為它是獨一無二的,而這個數字本身就會引導某人直接找你。除此之外,諸如全名,駕駛執照 ID,電子郵件地址,銀 行賬戶信息,密碼或電話號碼之類的東西也可以被視為個人可識別信息。

     

    免責聲明:

    轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。

    參考資料: 

    https://www.cyclonis.com/zh-hant/what-is-personally-identifiable-information-pii/

    https://www.bsigroup.com/zh-TW/ISO_29100/

    https://pecb.com/whitepaper/iso-29100--how-can-organizations-secure-its-privacy-n etwork

    https://kknews.cc/zh-tw/news/2kg366y.html