資料保護和資訊安全－符合 ISO 27001 和 ISO 27701 標準

資料保護和資訊安全

即使在資訊安全領域，資料保護也不是啟動、運作並完成的一次性專案。恰恰相反，營運資料保護包含一系列資料保護流程，這些流程必須在組織中持續可用且可實施，或能夠被觸發。其中兩個重要的例子是「確保資料主體權利」和「應對資料保護事件」這兩個資料保護流程。

在資料保護領域，使用資料保護管理系統（DSMS）被視為解決組織資料保護問題的關鍵所在。為什麼會這樣呢？答案其實很簡單：

自2018年5月25日起，《歐洲一般資料保護規範》（GDPR）為資料安全管理系統（DSMS）提供了規則。它制定了嚴格的法律要求，包括：什麼是否允許或禁止（業務規則）。德國《一般資料保護法》(DS-GVO) 的處罰規定即源自於此。然而，該法並未對此作出任何規定。如何落實法律規定的資料保護要求。

資料保護與資訊安全－究竟什麼是管理系統？

管理體系的定義是抽象的，不能隨意實施。 ISO/IEC 27000:2020 標準將管理系統定義為…

只有在對管理體系的各項要素進行更詳細的定義之後，才能確定該管理體係是否符合GDPR嚴格的法律和操作層面的資料保護要求。僅僅聲稱資料保護管理系統正在運行，並不能說明該體系的品質或實施情況。

高層結構作為管理系統的藍圖

國際標準化組織（ISO）制定了一套管理系統藍圖，稱為高階結構（HLS）。此基本架構包含了ISO認為與管理系統相關的所有要素（ISO/IEC指令第1部分附件SL附錄2）。因此，各管理體系標準的基本機制非常相似。

ISO的特定資料安全管理系統（DSMS），個人資訊管理系統（PIMS）因此，它與品質管理系統具有相同的基礎。 ISO 9001根據環境管理體系ISO 14001或根據以下方式建立資訊安全管理系統ISO 27001 。

資料保護和資訊安全－將GDPR整合到管理系統中

符合國際標準的PIMS ISO/IEC 27701該標準具有通用性，並非僅針對歐洲一般資料保護規範 (GDPR)。該標準描述了一種基於資訊安全管理體系的資料保護管理體系，該體系符合以下規定： ISO 27001 ， 製作ISO 27701適用於實施任何個人資料保護操作，包括加州或日本的資料保護法。

但是：那些已根據資料保護標準開發並實施個人資料管理系統 (PIMS) 的用戶——換句話說，那些系統地保護和管理個人資料的用戶——會發現，確保並證明其符合法律資料保護要求非常容易。這是透過需求管理的管理系統機制來實現的。需求管理是指識別和評估內部和外部需求，並實施措施來應對風險的過程。

資料保護和資訊安全有什麼區別？

這兩個主題的根本差異很簡單：資訊安全涵蓋所有需要保護的企業資產，旨在保護機密商業資訊免於第三方濫用。這遠不止於IT系統。而資料保護則旨在保護個人資料。自2018年5月起，歐盟《一般資料保護規範》（GDPR）已在整個歐洲範圍內強制執行－所有處理個人資料的公司和公共機構都必須遵守該規範。

資料保護管理的五大優勢

在資訊安全與資料保護的互動中，標準應始終被理解為最佳實踐。資料安全要求和措施的具體實施必須由使用者負責。

PIMS 的整體優勢在於其透過資料保護標準實現的全球標準化，以及關於標準實施的大量文獻。誠然，標準的語言「需要一些時間才能適應」。

優勢一：責任分配

中小企業似乎普遍存在一種企業文化，即職責劃分不清甚至根本沒有職責劃分。許多企業政策中並未明確界定某些活動或資產的責任歸屬。這是一個重大缺陷，會導致營運中的漏洞和錯誤。

但是：資料保護是一項「團隊運動」。只有明確所有任務並分配給負責人，而這些負責人也履行各自的任務，您的公司才能以符合資料保護規定的方式運作。

引入PIMS後，必須在組織內引入所有權原則，以符合該標準的適用範圍。然而，此處的「所有者」並非指民法意義上的所有者。在標準的德文原文中，「所有者」指的是某人對資產或某項要求或措施的實施所承擔的責任。

例如：維護「處理活動目錄（VVT）」通常會被委派給資料保護官（DPO）。這當然是完全荒謬的，根本行不通，因為資料保護官通常根本不參與許多處理活動。在品質管理中，流程負責人負責撰寫流程文件。高階管理人員在資料保護領域也應該相應地委派這項工作。

優勢二：營運資料保護以風險為導向

德國《一般資料保護規範》(DS-GVO) 要求以風險為導向實施資料安全，例如 DS-GVO 第 32 條第 (1) 款。然而，在沒有正式建立資料安全管理系統的公司中，這種風險導嚮往往難以發揮作用。 ISO 27701資料保護標準不可避免地引入了風險導向。在此標準中，資料安全風險評估的方法並未明確規定，使用者可以在一定範圍內自行決定。

優勢三：變革管理是成功要素之一

組織內部的變更可能會觸發資料安全流程。例如，業務流程、服務或產品的實施或調整。缺乏變更管理的公司在遵守資料保護要求方面面臨巨大挑戰，因為變更通常以隨意且不受控制的方式進行處理。這會導致所謂的監管漏洞。

PIMS 系統藉助變更管理功能記錄和控制這些變更，並負責實施這些變更。例如，業務流程的變更需要進行許可性檢查（合法性、資料經濟性、資料主體權利、VVT 文件等）。

例如：要求資料保護官儘早參與變更設計，可以透過任命他加入變更團隊來輕鬆實現。

優勢四：透過持續改善流程實現最佳化

公司瞬息萬變。個人資訊管理系統的初期規劃、實施和運作都需經歷漫長的過程。由於缺乏經驗，首次引入、實施和運作該系統很可能無法達到最佳效果。即使在實施過程中諮詢了經驗豐富的顧問，也難免會遇到一些障礙。

雖然所有績效資訊管理系統（PIMS）的原理相同，但它們的具體設計卻不盡相同。影響這些機制實施的因素包括組織規模、組織文化，甚至是產業重點。

持續改善流程 (CIP) 是一種良好的子機制，可以永久地使 PIMS 適應組織和相關方不斷變化的需求。

例如，《一般資料保護規範》(GDPR) 要求在收集資料時向客戶（例如公民）提供資訊表，告知其個人資料處理的性質和範圍以及相關權利。根據 GDPR 第 13 條和第 14 條的規定，這些資訊表已依法發布，但資料主體仍經常提出索取此類資訊的要求。公司意識到，透過優化資訊發布，可以節省資源並提高客戶滿意度，因此採納了這些改進建議。

優點五：詳細的措施目錄

如前所述， ISO 27701該系統並非針對 GDPR 進行客製化。普通用戶有責任將 GDPR 的具體要求加入 PIMS 中。

然而，該國際標準提供了三項全面的措施目錄，用於普遍實施營運資料保護：

• 技術和組織措施，
• 資料控制者的資料保護組織，以及
• 資料處理者的資料保護組織。

對歐洲用戶而言，好消息是新標準的製定者在設計措施目錄時重點關注了《一般資料保護規範》（GDPR）。這意味著通用措施目錄的應用已經涵蓋了GDPR的許多要求。對於缺失的要求，則透過需求管理進行跟進。

這些措施是最佳實踐，並以手冊的形式編寫。與 GDPR（業務規則）不同，這些措施向標準使用者解釋如何進行實施。在作者看來，這是一個非常大的優勢。

結論：資料保護與資訊安全

任何已按照以下規定開發和實施資料保護管理系統 (DSMS) 的人ISO 27701換句話說，任何系統性地保護和管理個人資料的人，都能輕鬆確保並證明其符合法律要求。如果應用得當，該標準可以避免在資料安全管理系統（DSMS）的引入和運行過程中出現許多錯誤。

然而，只有當資訊安全管理系統根據以下規定獲得認證時，PIMS 才能獲得認證： ISO 27001該公司也經營該業務。

DQS：簡單有效地利用品質。

管理體系標準提供了一個系統化、結構化的框架，將法律義務納入考慮並將其整合到業務流程中。希望穩健行事的公司可以委託像DQS這樣的獨立機構對其資訊安全狀況或《一般資料保護規範》(DS-GVO)合規性實施進行審核。

我們的核心競爭力在於執行認證審核和評估。這使我們成為全球領先的認證服務提供者之一，並始終致力於在可靠性、品質和客戶至上方面樹立新的標竿。同時，獲得認證的資訊安全和資料保護管理系統也證明了貴公司在應對外部資料攻擊時所展現的謹慎和遠見。

信任和專業知識

我們的文本和手冊均由我們的標準專家或資深審核員撰寫。如果您對內容或我們的服務有任何疑問，請聯絡我們的作者。接觸我們期待與您交流。