各国出台的信息安全法规及相关的国际标准
各国出台的信息安全法规及相关的国际标准
随着数字化时代的到来,信息安全和隐私保护成为全球关注的焦点。各国纷纷出台相关法律法规,国际标准化组织也发布了众多标准以应对信息泄露和滥用问题。本文将为您详细介绍主要国家的信息安全法规以及相关的国际标准,帮助您全面了解这一重要议题。
面对手机APP繁复晦涩的隐私政策,以及个人信息被收集和使用的现状,公众和企业都面临着如何保护信息安全的挑战。近年来,全球多个国家相继颁布了相关法律法规,如中国的网络安全法和GB/T 35273个人信息保护条例、欧盟的GDPR通用数据保护条例、美国的CCPA隐私保护条例等。同时,国际标准化组织ISO也在信息安全、隐私安全、云安全等领域发布了诸多国际标准。
各国法规部分介绍
1.1 中国《网络安全法》
我国于2017年6月1日正式发布《中华人民共和国网络安全法》。这是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含7章79条内容,涵盖了网络运行安全、关键信息基础设施的运行安全、网络信息安全等。其中,第四十至四十五条对数据(包括个人信息)安全与保护做出了具体规定。
1.2 中国GB/T 35273《个人信息安全规范》
2019年10月,GB/T 35273《个人信息安全规范》进行了第三次修订并征求意见。同年,多部法律法规及国家标准密集出台或更新,反映了中国政府在个人信息保护领域立法的活跃态势。
1.3 欧盟GDPR《通用数据保护条例》
欧盟于2018年5月25日正式发布GDPR《通用数据保护条例》,旨在保护欧盟公民的个人隐私和数据。该条例不仅适用于欧盟成员国境内的企业,也适用于处理欧盟公民个人数据的欧盟境外企业。
1.4 美国CCPA《加州消费者隐私保护法》
2018年6月28日,美国加州发布CCPA《加州消费者隐私保护法》,被誉为美国“最严厉和最全面的个人隐私保护法案”,于2020年1月1日生效。
1.5 美国SB 220《内华达州数据隐私法》
2019年5月29日,美国内华达州发布SB 220《内华达州数据隐私法》,要求互联网网站和在线服务运营商遵循消费者指示,不得出售其个人数据。违反该法案可能面临每次违规最高5,000美元的民事处罚,该法已于2019年10月1日生效。
1.6 英国DPA2018《数据保护法》
2018年5月23日,英国通过新修订的DPA2018《数据保护法》,以确保与欧盟在个人数据保护方面保持一致,促进数据流动。该法加强了数据主体对其个人数据的控制权,并加强了数据控制者的义务。
1.7 瑞士DPA《联邦资料保护法》
瑞士虽未加入欧盟,但其个人信息保护法规与欧盟相当。为配合GDPR,瑞士于2017年9月15日修订了DPA相关条文,以维持第三国适应性认定。
1.8 德国BDSG《联邦个人资料保护法》
德国于2018年4月27日通过新的BDSG《联邦个人信息保护法》,以符合GDPR要求。新法案在某些方面超越了GDPR的条文规范,导致法律适用难度增加。
国际标准
2.1 ISO/IEC 27001:2013 信息安全管理体系
ISO/IEC 27001是建立信息安全管理体系的重要规范,详细说明了建立、实施及维护信息安全管理体系的要求,帮助组织建立适合自身需要的信息安全管理体系。该标准包含14个领域,35个控制目标,114个控制措施。
2.2 ISO/IEC 27002:2013 信息安全控制实用规则
ISO/IEC 27002为启动、实施、保持和改进信息安全管理提供指南,概述了信息安全管理的目标,并提供了风险评估所识别要求的控制目标和控制措施。
2.3 ISO/IEC 27017:2015 云环境下的信息安全控制
ISO/IEC 27017提供了ISO/IEC 27002与云环境相关的控制措施实施指引,适用于所有类型和规模的组织,帮助明确云服务提供商和云服务客户之间的责任。
2.4 ISO/IEC 27018:2019 公有云个人隐私保护
ISO/IEC 27018是公有云个人隐私保护的国际标准,提供了公有云中个人信息处理者的保护实用规则,参考了ISO/IEC 27002的16项控制措施,并根据ISO/IEC 29100追加了25项控制措施。
2.5 ISO/IEC 27701:2019 隐私管理体系
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002的延伸标准,目标是增强现有信息安全管理体系,以便建立、实施、维护和不断改进隐私信息管理体系(PIMS)。
2.6 ISO/IEC 29100:2011 隐私框架
ISO/IEC 29100隐私框架于2011年发布,内容包括识别PII、隐私防护的要求、隐私策略和隐私控制的确定,为隐私管理体系建设提供指导。
2.7 ISO/IEC 29134:2017 隐私影响评估指南
隐私影响评估(PIA)是一种评估流程,用于评估信息系统、程序、软件模块等对隐私的潜在影响,并采取必要的行动。ISO/IEC 29134给出了隐私影响评估的主要步骤和情境分析。
2.8 ISO/IEC 29151:2017 个人隐私保护标准
ISO/IEC29151是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则,涵盖26个控制域,181条控制措施。
标准之间的关系
- ISO/IEC 27002为ISO/IEC 27001提供风险处置具体的控制目标和控制措施指南;
- 组织依据ISO/IEC 27001标准建立信息安全管理体系,通过风险管理来保护和管理组织的所有信息,从数据安全方面满足各国隐私法规的部分要求;
- ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002标准的延伸,ISO/IEC 27017着重于云环境下的信息安全控制,ISO/IEC 27018着重于公有云个人隐私保护;
- ISO/IEC 27701扩展了ISO/IEC 27001相关的PIMS要求;
- ISO/IEC 27701扩展了ISO/IEC 27002相关的PIMS要求以及PII控制者和处理者的额外要求;
- ISO/IEC 27701附录D映射GDPR大部分条款,通过ISO/IEC 27701认证能表明组织符合GDPR的大部分要求;
- ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均为隐私方面的标准,有不同的侧重点,与ISO/IEC 27701互为补充。
标准适用范围
标准 | 描述 | 备注 |
|---|---|---|
ISO/IEC 27001:2013 | 信息安全管理体系 | 作为基础管理体系的框架,适用于所有类型和规模的组织。 |
ISO/IEC 27701:2019 | ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理 | 个人身份信息相关组织和利益相关方要求;个人身份信息相关风险评估;适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。 |
ISO/IEC 29151:2017 | 个人信息保护的行为准则 | 36项ISO/IEC 27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。 |
ISO/IEC 27017:2015 | 基于ISO/IEC 27002的云服务信息安全控制实务守则 | 37个与云安全相关的ISO/IEC 27002附加控制要求;7个额外的云安全要求;适用于云服务提供商和云服务客户。 |
ISO/IEC 27018:2019 | 公用云作为保护隐私数据处理者的实务守则 | 与云相关的15项ISO/IEC 27002附加控制要求;11个额外的基于云的个人信息要求;适用于所有类型和规模的组织,这些组织作为PII处理者通过与其他组织签定的云计算提供信息处理服务;也适用于PII控制者的组织。 |