新北市警察局
對於保護個人資訊和隱私,近年各國政府在相關法令與法規的要求,已經變得越來越普遍,例如歐盟GDPR、臺灣個資法等,對此,國際標準組織(ISO)在今年8月,新公布了國際隱私資訊管理標準ISO 27701,希望在既有的資訊安全管理系統(ISMS)上,也能擴展對於個資管理系統(PIMS)的要求與實施。近期,國內開始有政府機關為提升個資與隱私保護的要求,導入這項管理制度,並透過第三方驗證單位,來檢驗相關機制的有效性,特別的是,這次通過驗證的並非一般行政單位,而是警政單位--新北市警察局。
關於ISO/IEC 27701,是以ISO/IEC 27001為基礎的隱私擴展標準,並以ISO/IEC 27002為指導,今年8月6日正式發布,成為首個隱私保護與個資管理的ISO標準。
新北市警察局表示,為了確保刑案監錄影像偵辦過程中,提高民眾個人資料的隱私保護,他們是在今年9月,通過第三方驗證公司環奧國際(TCIC)的稽核認證。當時,他們重新驗證了2項證書,包括資訊安全管理標準ISO 27001,以及個人可識別資訊保護實務標準ISO 29151,同時,他們也新取得了ISO/IEC 27701:2019證書。
為何導入這項新的標準?新北市警察局指出,他們是在之前與奧地利、維也納的城市交流過程,體認到國際上對隱私與個資的重視程度,足以借鏡。對此,我們進一步詢問該局的具體考量為何?他們說明,例如,奧地利官員在各項資料運用中,有關個資的部分都會遵循歐盟GDPR保護條款,且各項實際做法均會適時告知人民,取得民眾信任。在臺灣雖有個資法,只是,大多數組織雖有意識,卻不知如何保護,像是個資安盤點後沒有下一步,或是過度解讀問題,像是在非辦案期間或非辦案人員調閱非屬案件資料。因此,他們參考城市交流所得到的部分作法,以及經驗,希望讓偵辦各項刑事案件的作業過程,可以有更好的個資隱私保護與管理。
新北市警察局之所以推動相關認證的另一原因,是希望在面對外籍人士的個資處理時,都有一套共通依循標準。隨著各國觀光、商務人士往來頻繁,以及國內個資法是否適用外籍人士尚有疑慮,而GDPR應可更廣泛適用於外籍人士,而在導入這項隱私標準後,也將能從標準中附錄D,直接對照GDPR各條款進行實作。因此,在刑案偵辦過程中,也將有對外籍人士個資保護的準則依據。
而在驗證範圍方面,該局這次三項驗證的標的是「刑案監視器影像查詢系統」,驗證組織共15個單位,包括資訊室、刑事警察大隊、海山、板橋、中和、新店、新莊、土城、蘆洲、三峽、林口、汐止、永和、三重與樹林分局。他們預計,明年將以ISO/CNS 27001並延伸驗證ISO/IEC 27701,驗證組織也計畫增加淡水、金山及瑞芳分局,如此一來,可讓全部的分局納入驗證範圍。至於ISO/IEC 29151,由於已經涵蓋於其中,將無須再延伸驗證。
對於企業與組織而言,為了實現個資管理與隱私保護,ISO/IEC 27701將是一大參考指標,並可藉由第三方驗證制度,檢驗自身是否真能落實並盡到適當防護,以展現組織對於個資管理與隱私保護的符合性與有效性。而在新北市政府警察局之外,我們也聽聞國內有企業正計畫導入這項新的ISO標準。例如,近期搭上財金開放API平臺的麻布記帳,他們正計畫導入ISO/IEC 27001與ISO/IEC 27701,方便日後與銀行業者打交道。
對於ISO/IEC 27701:2019的導入,新北市警察局在10月23日公布獲頒證書,後續他們也提供了更完整的回覆。根據他們的說明,這項標準是基於資訊安全標準ISO/IEC 27001所延伸的個資保護標準,而其擴充要求條款,則是基於資訊安全實作指引ISO/IEC27002。
基本上,以ISO/IEC 27001而言,它是目前國際公認的資訊安全管理體系,如同基礎一般,因此,組織必須先落實ISO/IEC 27001的所有事項,才能進而落實ISO/IEC 27701:2019。
而在ISO/IEC 27701:2019之中,將能與另外4項個資保護標準進行對照。例如,可依據這項標準當中的附錄A個資控制者,以及附錄 B個資處理者擇其一角色,建立適用聲明(SOA),並對映至附錄C的ISO/IEC 29100資訊安全技術隱私框架標準內容,以及附錄E的ISO/IEC 27018作為公有雲中個人資料保護的行為準則,與ISO/IEC 29151個人識別資訊保護的行為準則。而且,對於ISO/IEC 27018與ISO/IEC 29151的的控制措施與擴充指引,將會依據ISO/IEC27002資訊安全實作指引為基礎,再增強具有個資議題的事項。另外,關於GDPR的遵循,他們也有說明,將從ISO/IEC 27701:2019的附錄D直接對映GDPR各條款,以進行實作。
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19