近日,國(guó)雙科技成功獲得ISO27701:2019隱私信息管理體系認(rèn)證,這標(biāo)志著國(guó)雙在數(shù)據(jù)管理、隱私保護(hù)方面達(dá)到了國(guó)際領(lǐng)先標(biāo)準(zhǔn)。
ISO/IEC 27701:2019是全球最權(quán)威隱私保護(hù)標(biāo)準(zhǔn)之一
ISO/IEC 27701:2019是國(guó)際標(biāo)準(zhǔn)化組織(ISO)和國(guó)際電工委員會(huì)(IEC)聯(lián)合發(fā)布的,也是ISO27001(信息安全管理體系規(guī)范)與ISO27002(信息安全控制實(shí)用規(guī)則)在管理上的延伸標(biāo)準(zhǔn)。其中,ISO27001由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年提出,并經(jīng)多次修訂在14個(gè)控制域里提出了114個(gè)控制措施,已成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志。國(guó)雙已于早前通過(guò)了ISO27001資質(zhì)認(rèn)證。
ISO/IEC 27701:2019發(fā)布于2019年,被認(rèn)為是全球最具權(quán)威性的隱私保護(hù)標(biāo)準(zhǔn)之一。ISO/IEC 27701:2019的目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS)。該標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。ISO/IEC 27701:2019與GDPR的很多條款之間存在映射關(guān)系,覆蓋了GDPR的大部分要求。因此,其認(rèn)證能在極大程度上表明相關(guān)企業(yè)符合GDPR的要求,達(dá)到了國(guó)際領(lǐng)先的隱私保護(hù)水平。此次 ISO/IEC 27701:2019資質(zhì)認(rèn)證的通過(guò),對(duì)國(guó)雙而言,又是一次里程碑的標(biāo)志,也使國(guó)雙成為為數(shù)不多的同時(shí)取得ISO國(guó)際隱私合規(guī)雙認(rèn)證的大數(shù)據(jù)公司。
國(guó)雙多項(xiàng)措施并舉為數(shù)據(jù)安全保駕護(hù)航
隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》等一系列法律法規(guī)的相繼出臺(tái)和實(shí)施,數(shù)據(jù)安全和個(gè)人隱私被提升到立法高度,同時(shí)也為企業(yè)數(shù)據(jù)資產(chǎn)的合理使用與規(guī)范發(fā)展指明了方向。
作為數(shù)據(jù)智能領(lǐng)域的重要廠商,國(guó)雙在數(shù)字營(yíng)銷領(lǐng)域有AD、WD、CDP、SCRM等一系列營(yíng)銷云產(chǎn)品,始終遵循隱私保護(hù)的原則,幫助企業(yè)在合法合規(guī)的前提下進(jìn)行數(shù)字化營(yíng)銷。同時(shí),國(guó)雙在工業(yè)互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)隱私保護(hù)也處于行業(yè)領(lǐng)先水平。目前,國(guó)雙不僅成立有個(gè)人信息安全委員會(huì),更是信息系統(tǒng)安全集成服務(wù)資質(zhì)企業(yè),擁有數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)防泄露、統(tǒng)一身份管理、安全態(tài)勢(shì)感知等多款自研產(chǎn)品。在為公司全線產(chǎn)品的安全合規(guī)保駕護(hù)航的同時(shí),國(guó)雙也在為三桶油和某部委等提供數(shù)據(jù)安全合規(guī)支持服務(wù),相關(guān)產(chǎn)品均能通過(guò)等保三級(jí)測(cè)試。此外,國(guó)雙在項(xiàng)目實(shí)踐中,還擁有六大舉措來(lái)確保企業(yè)、個(gè)人的數(shù)據(jù)安全。具體包括——
1、數(shù)據(jù)采集:遵循明確、合理、最小、必要、夠用等法定原則,內(nèi)部通過(guò)建立數(shù)據(jù)分類分級(jí)制度以及數(shù)據(jù)質(zhì)量管理標(biāo)準(zhǔn)制度來(lái)明確采集流程與規(guī)范數(shù)據(jù)格式。
2、數(shù)據(jù)處理:嚴(yán)格按照法律法規(guī)要求及數(shù)據(jù)處理分析目的通過(guò)去標(biāo)識(shí)化等方式對(duì)數(shù)據(jù)進(jìn)行技術(shù)脫敏,去除個(gè)人數(shù)據(jù)內(nèi)包含的個(gè)人身份屬性,使之無(wú)法與個(gè)人信息主體身份相關(guān)聯(lián)。同時(shí)根據(jù)產(chǎn)品類型采用隔離管理體制,針對(duì)不同產(chǎn)品類型、業(yè)務(wù)分配不同功能賬號(hào),精確化管理數(shù)據(jù)訪問(wèn)權(quán)限。
3、數(shù)據(jù)存儲(chǔ):根據(jù)數(shù)據(jù)安全級(jí)別分類設(shè)置數(shù)據(jù)存儲(chǔ)機(jī)制,對(duì)于不含有個(gè)人身份屬性的統(tǒng)計(jì)級(jí)數(shù)據(jù)明文存儲(chǔ),對(duì)于含有個(gè)人身份屬性的日志級(jí)數(shù)據(jù)加密存儲(chǔ),并定期對(duì)數(shù)據(jù)的存儲(chǔ)環(huán)境進(jìn)行完整性檢驗(yàn)以保證數(shù)據(jù)的完整性。同時(shí),國(guó)雙還通過(guò)分區(qū)存儲(chǔ)的方式存儲(chǔ)不同類別的數(shù)據(jù)。
4、數(shù)據(jù)訪問(wèn):按需申請(qǐng)嚴(yán)格控制數(shù)據(jù)訪問(wèn)權(quán)限,定期審計(jì)進(jìn)一步確保訪問(wèn)權(quán)限的正確性,并留存數(shù)據(jù)訪問(wèn)審計(jì)日志以追溯操作記錄,防止人為數(shù)據(jù)泄露。國(guó)雙還通過(guò)網(wǎng)絡(luò)隔離防止外部非法用戶訪問(wèn)數(shù)據(jù),保證數(shù)據(jù)不會(huì)被外部用戶非法獲取。
5、數(shù)據(jù)傳輸:根據(jù)不同安全級(jí)別采用不同的加密方式對(duì)數(shù)據(jù)進(jìn)行加密,如MD5、密鑰加密等。數(shù)據(jù)傳輸報(bào)文采用符合國(guó)家要求的加密算法進(jìn)行加密,同時(shí)加密密鑰動(dòng)態(tài)更新以防止密鑰丟失或被破解。
6、數(shù)據(jù)銷毀:根據(jù)不同數(shù)據(jù)類型分類制定了數(shù)據(jù)存儲(chǔ)周期和數(shù)據(jù)銷毀規(guī)則,按照規(guī)則定期對(duì)超過(guò)存儲(chǔ)期限的數(shù)據(jù)進(jìn)行清理、遷移、刪除或銷毀。同時(shí)國(guó)雙禁止物理存儲(chǔ)介質(zhì)外流,防止因?qū)Υ鎯?chǔ)介質(zhì)進(jìn)行恢復(fù)而發(fā)生數(shù)據(jù)泄露。
