你好,欢迎访问新世纪检验认证官网!因为专业,所以信赖!
English 400-016-9000

从账户被泄事件,看ISO27701隐私信息体系建立的必要性

发布时间:2020-05-29| 作者:信息体系| 文章来源:认证家园

导读

从池子银行账户被泄事件看个人信息保护。

池子,原名王越池,因参加《吐槽大会》而成名。在今年5月初,池子称其与上海笑果文化传媒有限公司产生合约纠纷,双方均提出了仲裁,在笑果文化寄给王越池的案件材料里面,竟然发现了他在银行的个人账户交易明细。

1、银行面临高额惩罚

此次事件,银行已经致歉并将该支行行长撤职,并称是“个别员工未严格按照制度操作”,与此同时银保监会已经提出立案调查。但是,业内人士表示,银行将面临顶格处罚,并且公司高管及相关责任人将面临法律风险。

但是我想这并不是银行高层想要看到的。

2、很难说是“个别员工”造就的意外

客户不分大小,隐私权都是绝对平等的。

《商业银行法》第29条就明确规定,“对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划”。

除了公安机关、法院等经过法定程序的调取外,银行没有任何权利将交易记录泄露给第三方。而且值得一提的是,这并不是银行第一次陷入隐私泄露风波。

前几年,因下属分行工作人员涉嫌泄露倒卖个人征信信息,银行就曾被央行点名通报。

根据公开数据,央行2017年到2019年间针对征信违规的193期处罚里关于内部人员越权查询个人或企业征信的处罚就有88起。

因此,这次风波很难说是“个别员工”造就的意外。

3、银行个人信息管理中到底有哪些问题

首先,我们从各路媒体的公开报道中可以知道,银行支行员工是在支行行长的授权下将池子的银行流水打印出来提交给的。在这段信息里,我们可以提炼下有用的信息:池子的个人信息不属于高级别权限,谁都能看。换言之,这个行长是有授权权限的。

众所周知,银行也是要赚钱的,各大支行的业绩压力那是一点都不小,那么不可避免的,一家支行会对一家公司客户存在多少依赖,那么与分支业绩相关的行长很难不受到大客户裹挟。这里隐藏的信息是:与第三方利益相关的人在参与授权,这其实是制度缺陷。

另外,不论是该支行具体操作员工还是支行行长对个人信息安全保护的意识显然是不足的。

这暴露出,银行虽然有制度,但是依然存在很大的执行缺陷和管理漏洞。针对此点,国际上有个标准(ISO/IEC 27701:2019隐私信息管理体系)就能够有效进行规避。该标准对 PII (个人可识别身份信息)提出专门的要求(例如:要求组织需要根据自身角色配置响应的PII管理专职人员;分别对PII控制者和处理者的评估增加了额外指导,包括收集和处理PII的条件等控制域)。

4、如何通过标准化管理避免个人隐私管理违规

去年以来,监管部门密集出台关于数据安全管理办法、APP 违规收集使用个人信息行为认定方法等多项征求意见稿及草案。可以看到,国家层面对个人信息数据管理的系统性整治规范是大势所趋。眼下该股份行事件暴露出的流程漏洞,势必将加速监管方面对金融机构个人信息安全的排查监管。各家银行如何有效将锅补上,规避未来发生此类事件的风险将成为今年银行工作的重中之重。之前我们提到的ISO/IEC 27701隐私信息管理体系或许能够给各方一点启发。

首先,我们都知道银行由于其特殊性在信息安全方面的技术手段应该是最严、最高精尖的。这也是公众对此次个人信息泄露表露强烈不满的关键所在,强烈的反差反而突显了个人信息安全保护漏洞的严重性。信息安全保护的技术性手段主要应用场景还是在外部攻击,反而在内部管理上显示出了脆弱性,因此,强大的内部管理机制才是解决这也是隐私泄露问题频发的关键所在。信息安全管理体系是国际通用的信息安全管理手段,管理体系持续改进的管理方法能够在问题发生的初次就进行有效的系统性修复,对制度本身进行升级和优化,有效规避风险的再次发生。

其次,统一的信息安全认识实现信息安全管理的全覆盖。我们可以看到,无论什么样的管理措施,关键的落脚点还是在人。针对不同层次、不同信息安全要求,银行需积极开展信息安全培训教育,提升全行信息安全意识及专业技能,达到针对信息安全工作认识与分工的高度统一。
如:针对管理层,重点加强信息安全理念、形势、共识方面的教育培训,确保领导层面对信息安全的持续重视与关注;针对所有的开发人员和应用运维人员,开展应用系统渗透测试,发现问题并组织专题培训,以提高开发人员安全意识和安全技能;针对网点客服人员,开展信息安全敏感性及制度落实培训。

结语

银行最核心的资产不是金融资本,而是金融消费者对于金融机构的信赖和信任。在当前的市场应用中,个人信息塑造了个人的虚拟形象,更有着显著的财产和资源属性,在个人隐私、财产利益、信息安全、经济发展等方面都产生了深刻影响,信息化发展越严重,对隐私安全的保护要求就会越高。大数据、云计算、人工智能等新技术不断涌现的时代,充分利用新技术,提高银行业生产效率,既关系到客户的切身利益和安全,也关系到银行业的未来发展,而个人信息的有效保护和管理是所有前提。

 

ISO/IEC 27701隐私信息管理体系

ISO/IEC 27701最初开发为ISO/IEC 27552,它为建立,实施,维护和持续改进隐私信息安全管理体系(PIMS)提供了特定要求和指导,作为对ISO/IEC 27001中定义的灵活信息安全管理体系(ISMS)的扩展。除了信息安全之外,还应考虑到处理PII所需的隐私保护。像ISO/IEC 27001认证标准一样,ISO/IEC 27701认证并不希望组织在所有情况下都采用每种控件。相反,它要求组织了解处理PII的特定上下文,并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。

简而言之,ISO/IEC 27701认证是ISO/IEC 27001认证的增强扩展。该标准可以提供通用数据保护法规(GDPR)要求的数据隐私和信息安全标准。为了有效地管理隐私,它包含用于个人身份信息(PII)处理器和控制器的结构。实施ISO/IEC 27701将创建一个隐私信息安全管理体系,简称PIMS。

ISO/IEC 27701 隐私信息管理体系的作用:

尽管符合ISO27701/IEC 的PIMS对于具有数据保护义务的任何组织都可能是有价值的,但对于在国际上运营,与其他司法管辖区的客户合作或在国际供应链中运营的组织而言,它可能特别有意义。这些组织通常需要遵守各种隐私法规和法律,而ISO/IEC 27701的方法可以使这一挑战更容易解决。

该框架可以帮助组织适当地解决其信息安全和隐私风险,并可以减少花在客户要求的和合同要求的审核上的时间。

用ISO/IEC 27701扩展符合ISO/IEC 27001的ISMS可以提供证据,表明该组织已采取措施实施“适当的技术和组织措施”,以降低风险并保护个人数据,这是全球范围内越来越多的隐私法所要求的。

通过将PIMS实施为现有的符合ISO/IEC 27001的ISMS的扩展,组织可以系统地收集和处理数据(包括个人数据),管理与信息的机密性,完整性和可用性有关的风险,并应对不断发展的变化对该数据及其隐私的威胁和风险。

隐私信息管理系统还允许组织通过不断适应环境和组织内部的变化来降低与隐私和信息安全相关的成本,从而显着提高其抵御网络攻击的能力。

新世纪检验认证有限责任公司
电话:400-016-9000
邮箱:post@bcc.com.cn

联系地址:北京市东城区广渠门内大街45号D座5层

联系我们

想咨询更多认证服务,请您填写下面表格,我们将在工作时间内回电!
填写并发送此表单即表示您已阅读我们的免责声明Cookie政策和隐私声明