淺談 ISO/IEC 29100

2020-02-12

ISO/IEC 29100: 資訊安全技術-隱私框架標準:

從事指定的採購、架構、設計、開發、測試、維護、管理和運營的的自 然人和機構都需要 PII 處理隱私控制的信息和通信技術系統或服務。

。提供一個隱私框架

。共通的隱私用語

。定義在處理個人資料的參與者和他們的角色(PII)

。描述了隱私保護事項

。提供參考已知的隱私保護原則的資訊技術

目前與安全性相關的現有標準,例如(ISO 27001,ISO 27002 和 ISO 27018 等),而 ISO / IEC 29100 更加側重於 PII 的處理。

ICT 系統的複雜性不斷提高,使得組織難以確保其隱私受到保護,並且 由於 PII 的大量商業使用,如今越來越難以遵守各種適用法律。

因此,ISO / IEC 29100 標準具有 11 條實質性隱私原則(如下表所示), 這些原則是在考慮適用法律和法規、商業和其他相關因素的情況下制定。 所有這些原則都是由世界上許多州,國家和不同的國際組織製定的。

標準的目的:

1. 協助組織以高階的管理架構來保護其資通訊系統中足資辨識個人的 資訊

2. 協助組織定義與資通訊環境中有關個人資訊的隱私安全保護要求

企業將如何受益:

ISO組織於2011年正式發佈ISO/ IEC 29100:2011隱私框架標準(台灣也已 發佈 CNS 29100),此國際標準具體說明在資訊科技運用上如何建立管理 控制要求,以符合個人資料保護法的相關規範,讓組織能設計必要的控 制點以符合對個人資料保護法律及產業優良實務的遵循。

: PII-個人身份信息-PII 處理的是一種允許某人識別特定人的數據。例如,您的社會安全號碼是 PII 的一個很好的例子, 因為它是獨一無二的,而這個數字本身就會引導某人直接找你。除此之外,諸如全名,駕駛執照 ID,電子郵件地址,銀 行賬戶信息,密碼或電話號碼之類的東西也可以被視為個人可識別信息。

免責聲明:

轉載此文是出於傳遞更多訊息為目的,若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯繫,我們將及時更正、刪除,謝謝。

參考資料:

https://www.cyclonis.com/zh-hant/what-is-personally-identifiable-information-pii/

https://www.bsigroup.com/zh-TW/ISO_29100/

https://pecb.com/whitepaper/iso-29100--how-can-organizations-secure-its-privacy-n etwork

https://kknews.cc/zh-tw/news/2kg366y.html


淺談溫室氣體盤查 Greenhouse Gas (GHG)

面對低碳時代的來臨,除了傳統工業產品製程耗用之能源外,其他民生消費及經 濟活動使用能源所造成的碳排放,也逐漸成為節能減碳的關鍵環節。 依據京都議定書針對六類溫室氣體所進行的地毯式完整碳排放調查(稱為溫室氣 體盤查,亦稱為碳盤查),可做為我國未來執行節能減碳行動的基礎,有效管理 及降低溫室氣體排放風險。

曝露於GitHub程式庫的帳密資料成為駭客下手的對象

文/周峻佑  參考資料/https://reurl.cc/3enYWO過往不斷有研究人員對開發者提出警告,將專案所需存取的帳密資料寫入程式碼,將有可能帶來危害。而最近研究人員發現的挖礦攻擊行動EleKtra-Leak,就是這樣的典型例子,攻擊者從公開的GitHub儲存庫收集AWS帳密資料,再趁機奪取這些用戶花錢租用的EC2執行個體服務進行挖礦。