近日,上海医药临床研究中心顺利通过了ISO27701:2019标准认证并取得证书,这也是医疗行业首个实施ISO27701隐私信息管理体系(PIMS)标准的案例。此次认证咨询工作由上海擎标全程参与,并提供了全方位的体系服务。
上海医药临床研究中心作为国内首家完全由政府主导,完全按照国际GCP规范建设,具备医药临床研究前沿综合优势,符合国际规范和技术标准的创新医药临床研究核心机构和资源服务公共平台。上海医药临床研究中心高度重视客户信息及受试者信息的保护,该中心自主研发了一套临床研究的信息系统,主要用于药物的临床试验。由于临床试验过程中会收集与个人隐私信息相关的内容,为了更好的保护这些信息,中心立足于ISO27001的基础之上,进一步开展了ISO27701认证,充分保障个人隐私信息的安全。
互联网时代,大数据逐渐深入到各行各业,医疗行业的信息也逐渐数字化,数字化医疗在带来了极大的便利的同时,也出现了个人隐私安全、数据窃取等问题。一项对1000名近期就医患者的电子病历与IT安全调查的结果显示:49%的患者认为电子病历系统的建立对于个人医疗信息保护存在不良影响。86%的受访者认为医疗机构有义务保护患者的财务信息,94%的认为个人识别信息及与患者家属相关的任何信息需要严格保护。
医疗行业的隐私信息安全,是社会治理层面不得不面对的议题,ISO27701标准的发布为各行业提供了一个指导隐私信息管理实践的依据。
关于ISO27701
ISO27701的前身为ISO/IEC27552,由ISO/IEC技术委员会ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作组开发,该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。该标准建立在ISO/IEC27001要求的基础之上,在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说,就是保护个人信息的管理体系(简称PIMS),从而促进公司、政府等组织对个人信息(PII)的保护。
作为一个刚诞生不久的新标准,ISO27701对组织的必要性:
1) 通过明确对PII控制者和处理者的隐私保护要求,可以使组织明确隐私保护管理合规目标,减轻组织合规负担的同时降低组织合规风险,ISO27701标准附录D中明确表示,单个隐私控制点可以满足GDPR中的多项要求。
2) 实现持续的个人隐私安全合规对于任何组织都是一个安全治理的课题,ISO27701通过建立PIMS,可以确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求,从而使组织实现长期、有效的个人隐私安全合规。
3) PIMS认证可以向客户或合作伙伴传达隐私合规价值。PII控制者通常会要求PII处理者提供相关证据,从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核,可以极大地降低合规沟通成本,这种合规透明度的提高对于组织战略和业务决策至关重要,同时PIMS认证也有助于向公众传达组织的可信度。
ISO27701的应用与实施
ISO27701沿用并优化了以往的ISO29151、ISO27018等标准的条款,又不完全覆盖任何一部已有的标准,ISO/IEC27018、ISO/IEC29151作为隐私管理方面指南性标准,各有侧重,在某些条款上,与ISO/IEC27701标准的指南部分形成了互补。针对提供公有云业务的互联网企业仍可以继续参照ISO/IEC27018进行体系实施,而另一些期望获得更多实施指南的企业则可以继续参照ISO/IEC29151进行体系实施。
ISO27701是一部兼顾不同国家地区法规要求的标准,能使用一个体系来管理来自多个司法管辖区的多项隐私法规和政策的合规性,例如欧盟的通用数据保护法规(GDPR)等。
ISO27701的应用范围十分广泛,适用于需要对个人身份信息进行管理的任何组织,如银行、保险公司、电信公司、航空公司、 数据中心、代理商、非政府组织、医院和学校等。
未来将对大数据隐私的来源、保护等话题会更加敏感,ISO27701将会助越来越多的企业与组织走出隐私保护困境,开启隐私安全合规的新时代!
隐私安全,惠及你我,业务持续,与擎标同行!上海擎标信息技术服务有限公司将继续关注个人身份信息保护标准的推动和应用,以保护个人信息为核心,遏制个人信息滥用,最大程度保护用户合法权益和社会公共利益。
擎标IT认证产品群及整体解决方案
· ISO27001信息安全管理体系(ISMS) · ISO20000信息技术服务管理体系(ITSMS) · ISO22301业务连续性管理体系(BCMS) · ISO27701 隐私信息管理体系(PIMS) · ISO27017云服务安全管理体系 · ISO27018公有云隐私安全(PII)管理体系 · ISO9001/14001/45001质量/环境 /职业健康 · CMMI软件能力成熟度评估(3-5级) | · ITSS信息技术服务标准(1-4级) · CCRC信息安全服务资质(1-3级) · 涉密信息系统集成资质(甲/乙级) · 国家秘密载体印刷资质(甲/乙级) · AAA企业信用等级认证 · 知识产权服务/高新技术企业认定 · GB/T 29490企业知识产权管理规范 · 两化融合管理体系/CMMM智能制造能力成熟度评估 |