觀點

淺談最新國際標準─個資管理系統PIMS之標準與應用

2018 / 03 / 22
陳昇智; 黃國裕
淺談最新國際標準─個資管理系統PIMS之標準與應用

採用ISO/IEC 27001國際標準建立資訊安全管理系統(ISMS)比採用單一國家或特定行業標準更具公信力,並可獲得世界各國認可已是不爭的事實;惟 ISO國際組織最新推動的一系列的個資保護與管理國際標準,尚未被大眾所熟知。本文將說明如何應用ISO國際標準來推動個資保護與管理,實作隱私衝擊評鑑方法,進而實施國際間廣泛認可的個資管理系統驗證。當您的組織已使用其它(國家)個資管理標準且面臨轉版抉擇時,ISO個資管理標準將是您的不二選擇。

個資保護與管理的ISO國際標準發展
ISO在2011年發展出ISO 29100隱私權框架,並陸續發展出ISO 29191部分匿名及部分去連結鑑別之要求事項、ISO 29101隱私權架構框架(Privacy architecture framework),並於2017年發展出全球首個適用於一般組織的隱私衝擊評鑑的國際標準「ISO 29134:隱私衝擊評鑑指引(Guidelines for privacy impact assessment)」,以及適用於所有類型組織的個資保護控制措施的國際標準「ISO 29151:個人可識別資訊保護實務(Code of practice for personally identifiable information protection) 」,前述標準均可進行特定領域(sector-Specific)的延伸驗證。目前仍持續發展相關國際標準,如:ISO 27552 Enhancement to ISO/IEC 27001 for privacy management – Requirements就是因應國際間的個資管理需求(如: 歐盟GDPR)而生的。(如圖一)

圖一:ISO國際組織推動的個資保護與管理國際標準

個資管理系統
為利於各類型組織將個資保護與管理與資安管理整合,ISO國際組織建議以ISO 27001及ISO 29100為基礎,建立個資管理系統(PIMS),可共同使用單一管理系統,資訊安全風險的識別與管理採用ISO 27005(與ISO 31000相校準)、個資(隱私)風險評鑑則加入ISO29134隱私衝擊評鑑指引、風險處理選用ISO 27002(資訊安全)及ISO 29151 (個資保護)的控制措施與實作指引,以符合組織的風險接受準則。若組織有特別的考量,ISMS與PIMS仍可個別存在運行,但可使用共同的方法並相互連結。


個資管理系統之驗證機制
個資管理系統之驗證機制,是以ISO 27001延伸驗證的方式實施,ISO 27001延伸驗證除了補強原先ISO 27001+ISO27002的不足外,亦可有效加強組織對於資訊安全實作的深度及廣度。ISO 27001延伸驗證依據ISO 27009 Sector-specific application of ISO/IEC 27001-Requirements特定領域應用ISO/IEC 27001的要求,個資管理系統之驗證即為個資的特定領域PIMS-Specific的延伸驗證。

ISO/CNS 27001:2013標準附錄A中,其各項控制目標及控制措施並未盡列出,可能需要額外之控制目標及控制措施。對此,ISO標準已識別出個資保護的控制措施,以ISO 29151對應個資風險;ISO 27006:2015資訊安全管理系統驗證機構認證規範中也揭示經鑑別適用之特定標準,亦可列入驗證文件,顯示出ISO對於以ISO27001為基礎的特定領域延伸驗證(依據ISO27009)有著完整的佈局。

其他ISO 27001延伸驗證機制
除了個資保護ISO 29151採用ISO 27001延伸驗證機制的方式實施外,還有很多其它特定領域的安全管理也採用類似的方式(如圖二)。

圖二:ISO 27001延伸驗證機制

目前國際各大企業 Microsoft、Amazon、Dropbox、IBM、Google及百度…等,均已採用ISO 27001+ISO 27018的個資保護延伸驗證。
如何從ISMS到PIMS
對於已經熟悉ISMS/ISO27001的組織而言,建立以ISO標準為依據的PIMS是最有效率的選擇。目前尚無建立ISMS的組織,可以選擇同時建立ISMS與PIMS並通過驗證。ISMS與PIMS的驗證相關標準列舉如下,各標準的交互關係如圖三。 
ISMS:
-Information Security Management System 
- 資訊安全管理系統
-驗證標準:ISO/CNS27001
PIMS:
-Privacy Information Management System
-個資管理系統
-驗證標準:ISO29151 & ISO/CNS27018(適用於對外服務)
 including ISO29134 and based on ISO/CNS27001、ISO 27009與 ISO/CNS29100

圖三:從ISMS到PIMS

各行業以往在展現對個資法及施行細則(如第12條)遵循時,在沒有適用的ISO國際標準情況下,會退而求其次採用德國或英國標準,但能否符合我國個資法及施行細則要求,或與其他國家互通,是有爭議的。

個資保護與管理的ISO國際標準可應用在個資法及施行細則的法規遵循展現,政府與民間機構應共同為資訊安全與個資保護把關。歐盟除了採用ISO29134做為GDPR DPIA資料保護衝擊評鑑的標準外,亦已確認發展中的ISO 27552做為個資管理系統的標準,並鼓勵以認驗證機制(Article 40~43)來展現GDPR的合規性,包含德國(DIN)、英國(BSI)與法國(個資保護監管機構CNIL)都積極的推動。

無論是現階段ISO 27001+ISO 29151+ISO 27018或是正在推動的ISO 27001+ISO 27552的PIMS,以及因應歐盟GDPR DPIA的要求,都是以實施隱私衝擊評鑑(privacy impact assessment)為基礎工作,以ISO 29134:隱私衝擊評鑑指引(Guidelines for privacy impact assessment)」,在組織內建立ISO標準為基礎的隱私衝擊評鑑方法,除了可以與現有的制度接軌外,亦有助於建立以ISO標準為基礎的PIMS,使我國在推動相關業務時,增進與各國間互認與接軌的基礎,也是鞏固既有制度並兼顧組織永續發展。


作者介紹: 
陳昇智目前任職於TCIC環奧國際驗證公司/亞太區技術經理/稽核師/講師 CISSP/PMP
黃國裕目前任職於勞動部資訊處副處長