ISO 29151隐私保护认证心得体会

 

作为一个踏入信息安全圈子没几年的小姐姐,去年有幸作为公司ISO29151项目经理全程参与了公司ISO29151隐私保护体系建设认证的过程。虽然我司过去在客户隐私保护方面已经有了很多的成果(例如保存了客户隐私数据的信息系统已建立访问控制机制,对客户隐私信息进行加密存储和加密传输机制等),但第一次邀请国际知名认证机构对公司进行隐私保护体系建设的专业认证,心里还是难免有些忐忑。经过审核老师的指点和公司领导同事的帮助,最终我司还是顺利通过了ISO29151 个人身份信息保护实践指南的认证。在这里就把该认证项目过程中自己的一些心得体会分享一下,欢迎交流讨论。

 

Part1:揭秘ISO29151

从事信息安全管理的同学想必都知道信息安全管理体系(ISO27001和ISO27002),那么ISO29151是个啥?我也是去年年底在参加外部的隐私保护培训课程时第一次接触到这个标准。

ISO29151全称是“ISO/IEC 29151:2017 个人身份实践保护指南”,是ISO标准委员会2017年颁布的指导组织实现隐私安全的一个国际标准,描述了个人可识别身份信息(PII)安全控制措施和风险处理指南。

那么ISO27002与ISO29151的共同点和区别是什么呢?

共同点:ISO29151正文架构与ISO27002附录A结构完全一致

差异

ISO29151正文部分在27002的各个控制域中加入了PII的实施指南;

ISO29151附录A引入了ISO/IEC 29100中的11个隐私保护原则,形成实用且针对性强的PII保护措施供组织使用。

因此,信息安全管理体系的建设落地是PII个人信息保护的基础和前提,组织如果想要通过ISO29151的认证,就必须先通过信息安全管理体系的认证。对于ISO29151标准本身来说,重点是标准第二部分附录A,这部分是针对PII保护的特定控制措施,包含使用和保护PII的一般策略、同意和选择、目的合法性和指南、收集限制、数据最小化等11个隐私保护原则,共27个控制目标。

 

Part2:ISO29151体系认证如何准备?

总的来说,ISO29151个人隐私保护体系项目实施基于ISO29151标准内容和相关内外部合规要求,建立基于PDCA的持续改进机制。体系建设主要准备以下内容:

(一)个人数据生命周期梳理及PII信息清单编制

进行个人数据生命周期梳理要关注以下3个维度:

A. 业务场景:

公司有哪些业务场景涉及个人信息处理(业务流程、系统功能)?
上述业务场景中收集和处理个人信息的目的是什么?
适用哪些法律法规、监管条例、合同要求?

B. 数据处理角色:

各业务场景下的数据处理身份和责任?(控制者还是处理者)
有哪些数据委托处理、数据共享控制权的场景?

C. 数据生命周期:

业务场景中收集处理哪些个人信息?
对个人信息分级分类,哪些属于公司机密(敏感)信息?采用什么控制措施进行保护?
在各业务场景下,个人信息的数据流向是怎样的?存储在哪里?有无数据对外传输,甚至跨境存储传输?

在完成以上问题的确认后,便可以绘制出公司个人信息清单,以下是我司识别的个人信息清单样例:

(二)隐私风险影响评估(PIA)

对于PII信息的风险评估基于ISO29151的条款要求,我的做法是参考ISO27001的风险评估实施方法,先识别整理出个人信息清单、数据流向图和目前公司在个人信息的收集、处理、存储、传输、销毁整个生命周期中采用的安全控制措施。

然后根据ISO29151条款附录A各控制目标对应的风险源、风险定义、对照每一条进行差距分析,看看公司现在实际的控制措施还存在哪些风险点,并根据风险影响程度与风险发生可能性进行打分,判定每一项的风险值(高、中、低)。

所有识别出的风险点都需要在管理评审会上明确责任人、风险处置措施和整改时间。

(三)适用性声明编写

和信息安全管理体系认证一样,ISO29151进行认证审核的前提也是需要完成适用性声明的编写。ISO29151适用性声明可参考信息安全管理体系的适用性声明格式,主要对ISO29151附录A的所有控制目标判断是否适用于企业,并描述企业的控制措施和对应体系文件。如下就是我编写的ISO29151适用性声明样表:

(四)管理体系文件更新

在编写适用性声明的同时也需要根据隐私风险评估结果和29151条款的内容更新管理体系文件。当时我司的体系文件做了这些更新:

A《信息安全管理方针与政策》中增加了隐私保护政策,包括:

隐私保护遵循的法律法规
隐私保护组织架构说明
隐私政策内容要求
PII信息收集/处理/存储/传输的要求
隐私安全评估
PII信息对外披露或分包处理的要求
隐私保护培训

B《数据安全管理办法》、《敏感信息管理规范》中增加PII信息保护的说明

对于PII信息收集、使用、存储和传输提出具体的安全防护措施要求,如PII敏感数据在数据库中加密存储,应用系统前端脱敏展示等;
涉及PII信息处理的应用系统按照隐私默认原则设计,并在上线前由安全部进行检查。

C 隐私政策更新

隐私政策参考国标GBT 35273-2017《信息安全技术-个人信息安全规范》的隐私政策模板来编写,需要根据业务变化定期更新(主要是个人信息收集使用、共享场景的描述)。

 

Part3:过证经验tips

这次由甲方独立完成ISO29151的体系认证准备,总结下来有2点心得体会:

(一)明确组织PII角色,选用合适的控制措施

审核老师在初审时首先就会询问我们,贵公司是PII信息的控制者还是处理者?

对于这个问题的判断直接影响着适用性声明中相关控制措施的选择和描述。事实上,收集个人信息的并不一定就是PII控制者。PII控制者是决定PII处理目的和方法的利益相关方。PII处理者则是代表PII控制者,按照控制者的指示(一般有合同约定)对PII信息进行处理。PII处理者还可能将PII信息再次分包给其他处理者。

举个“栗子”

在29151附录A中,A7.3和A7.5两个控制目标就与PII的处理者和分包处理者有关。

A7.3披露通知:确保PII处理者向PII控制者通报任何披露PII的具有法律约束力的请求。

这条控制目标的意思是:PII的控制者如果将个人信息提供给处理者进行处理,处理者如果还会将PII信息对外披露,则需要书面告知给控制者。

A.7.5披露分包的PII处置“确保PII处理者向PII控制者披露任何分包商的使用情况”

这条控制目标的意思是:PII处理者如果使用分包商处理PII信息,则应书面告知给PII控制者。

对于我司而言,一方面在管理体系文件中增加说明:对于收集到的PII信息如提供给合作伙伴协助处理的,应在合同中明确说明处理PII信息的类别和信息保护要求,合同应有保密条款。如合作伙伴需将PII信息提供给分包商处理或对外披露,也应在合同或其他书面协议中说明相关情况。另一方面也在公司和短信供应商、基金公司等相关合作伙伴的合同中通过保密条款约定除法律规定和国家监管要求以外,不得将PII信息对外披露;对于管理人使用分包商进行基金销售客户PII信息处理的场景,也在基金销售合同中披露PII信息分包处理者券商的情况,以此满足ISO29151条款的要求。

(二)隐私政策文案需及时更新,配套技术措施也要跟上

审核老师在进行现场审核时重点关注的内容就是隐私政策文本和相关的隐私保护技术手段。按照审核老师的说法,隐私保护虽然标准条文很简单,但是实践过程中却是处处是坑。而且隐私保护的合规要求变化很快,2年前的规定可能2年后就会完全改变,企业需要在监管要求出台后快速适应进行业务流程和系统改造才能确保满足合规要求。我司今年就更新过3个版本的隐私政策,以下列举一些常见的埋雷点和避坑策略。

埋雷点1:客户端APP是否区分基本功能和附加功能?

避坑策略:客户端APP如果区分基本功能和附加功能,且附加功能会额外收集个人信息的话,应该在隐私政策中独立说明附加功能收集个人信息目的和业务场景,并让用户对这部分个人信息的收集处理单独进行确认。

埋雷点2:客户如何行使拒绝、撤回同意、账号注销的权利?

上面这2个条款在实操上采取什么控制措施呢?
避坑策略:客户拒绝隐私政策收集个人信息,企业在条件允许情况下需要提供APP的免登录浏览功能;客户如果想撤回同意或者注销APP注册账号,企业也需要给客户提供便捷的操作方式(APP自助操作或者客服电话等),一旦客户撤回同意或账号注销后就不能继续收集客户隐私信息。

埋雷点3:PII使用期限到期后是否做了数据删除或去标识化处理?

避坑策略:首先要根据企业所在行业的监管法律要求明确数据保存期限(比如对我司所在的金融行业相关法律要求建立“客户身份识别制度”,遵循“投资者适当性要求”,反洗钱等法律规定也要求个人信息和业务信息保留更长时间等,这些都是金融科技行业个人信息保护的特殊规定),其次在PII数据使用到期后,停止继续收集数据,并评估采用合理的数据删除(包括备份数据)或去标识化技术方案(如脱敏、加密),这些都应该在隐私政策中有明确说明。

埋雷点4:PII信息是否跨境传输存储?

避坑策略:需要事先进行PIA隐私影响分析,了解公司收集的PII信息是否有跨境传输和存储的场景,并需要了解各国在PII数据跨境存储传输的合规要求(可以由安全部门与合规部门共同确认),例如欧盟国家采用GDPR对数据跨境存储有严格限制,新加坡PDPA要求个人信息如果跨境存储需要签署IT外包协议明确境外数据处理存储的安全保护职责。然后在隐私政策中描述有没有跨境传输存储个人数据,如果有的话目前采取了哪些安全防护措施。

埋雷点5:个人信息的共享是否在隐私政策里有详细说明?

避坑策略:个人信息的共享,包括企业内部共享(集团和下属子公司、 公司内部各应用系统)和外部共享两种情况。对于这2种情况,都需要细化描述具体的个人信息共享业务场景、共享数据字段,且用显著的方式(高亮加粗等)提醒用户阅读,才能满足用户的知情权。更好的做法是,在将客户个人信息提供给第三方前,通过弹窗或其他技术手段再次通知客户并获取明确同意,同意选项应默认不勾选。

埋雷点6:隐私政策用户操作是否数据库中记录操作日志?

避坑策略:对于客户在系统上进行隐私政策同意的操作,系统应在数据库中至少记录这些操作日志字段信息:用户账号或身份识别号、客户操作结果(同意/拒绝)、操作日期和时间、隐私政策版本号。每一次隐私政策内容更新时都要推送给用户重新点击确认,操作日志按照《网络安全法》的要求至少需要保存6个月。

建立公司的个人隐私保护体系是个浩大繁琐的工程,需要满足合规要求,建立企业的隐私保护组织架构、不断调整隐私政策,并通过内控制度建设和安全技术创新才能有效防范风险。前路漫漫,但隐私保护应该成为企业义不容辞的责任和生产力,唯有持续改进方能赢得市场和客户的信任。

作者:诺亚控股集团信息安全部-Verna

(完)