Giải quyết vấn đề quản lý thông tin riêng tư: Tiêu chuẩn quốc tế đầu tiên vừa được công bố

Không có gì đáng ngạc nhiên khi các luật và quy định đang nhanh chóng được đưa ra để giảm thiểu những rủi ro này và bảo vệ quyền riêng tư kỹ thuật số của chúng ta. Làm thế nào các tổ chức có thể vừa đáp ứng được những yêu cầu này vừa tự bảo vệ mình? Tiêu chuẩn quốc tế đầu tiên trên thế giới giúp các tổ chức quản lý thông tin về quyền riêng tư và đáp ứng các yêu cầu pháp lý vừa được xuất bản.

Bảo vệ quyền riêng tư kỹ thuật số của chúng tôi là mối quan tâm kinh doanh quan trọng. Theo IBM ^2), chi phí trung bình của một vụ vi phạm dữ liệu là 3,6 triệu USD và nghĩa vụ pháp lý ngày càng nghiêm ngặt. Khi chúng ta kết nối nhiều hơn, các chính phủ trên toàn thế giới đang đưa ra nhiều quy định về quyền riêng tư khác nhau, chẳng hạn như Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu mà các tổ chức phải tuân thủ. Các tiêu chuẩn ISO mới sẽ giúp các doanh nghiệp đáp ứng các yêu cầu đó, bất kể họ làm việc ở khu vực pháp lý nào.

ISO/IEC 27701 , Kỹ thuật bảo mật  - Phần mở rộng của ISO/IEC 27001 và ISO/IEC 27002 để quản lý thông tin về quyền riêng tư  - Các yêu cầu và hướng dẫn, chỉ rõ các yêu cầu để thiết lập, triển khai, duy trì và liên tục cải tiến hệ thống quản lý bảo mật thông tin dành riêng cho quyền riêng tư. Nói cách khác, một hệ thống quản lý bảo vệ dữ liệu cá nhân (PIMS).

Trước đây được gọi là ISO/IEC 27552 trong quá trình phát triển, tiêu chuẩn này được xây dựng dựa trên ISO/IEC 27001 , Công nghệ thông tin – Kỹ thuật bảo mật – Hệ thống quản lý bảo mật thông tin – Yêu cầu, cung cấp các yêu cầu bổ sung cần thiết khi nói đến quyền riêng tư.

Tiến sĩ Andreas Wolf, Chủ tịch ủy ban kỹ thuật ISO/IEC, nơi phát triển tiêu chuẩn, cho biết hầu hết mọi tổ chức đều xử lý thông tin nhận dạng cá nhân (PII) và việc bảo vệ thông tin đó không chỉ là yêu cầu pháp lý mà còn là nhu cầu xã hội.

“ISO/IEC 27701 xác định các quy trình và cung cấp hướng dẫn để bảo vệ PII trên cơ sở liên tục và không ngừng phát triển. Bởi vì là một hệ thống quản lý, nó xác định các quy trình cải tiến liên tục về bảo vệ dữ liệu, đặc biệt quan trọng trong một thế giới mà công nghệ không đứng yên.”

Microsoft là thành viên tích cực trong ủy ban.

Julie Brill, Phó chủ tịch tập đoàn kiêm Phó Tổng cố vấn về quyền riêng tư và các vấn đề pháp lý tại Microsoft cho biết:

“Chúng tôi hoan nghênh ủy ban kỹ thuật ISO/IEC đã phát triển tiêu chuẩn đột phá về quyền riêng tư này để các tổ chức thuộc mọi quy mô, khu vực pháp lý và ngành có thể bảo vệ và kiểm soát hiệu quả dữ liệu cá nhân mà họ xử lý. Là chương tiếp theo trong cam kết của Microsoft nhằm mở rộng các quyền được cung cấp trong Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu cho khách hàng của chúng tôi trên toàn cầu, Microsoft Azure và Office 365 sẽ triển khai tiêu chuẩn PIMS và sẽ hỗ trợ khách hàng cũng như đối tác của chúng tôi áp dụng mô hình tương tác này.”

ISO/IEC 27701 được phát triển bởi nhóm làm việc 5 của ủy ban kỹ thuật ISO/IEC ISO/IEC JTC1/SC 27 , Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư* , bao gồm các chuyên gia từ khắp nơi trên thế giới từ các cơ quan bảo vệ dữ liệu, cơ quan bảo mật các cơ quan, học viện và ngành công nghiệp.

Matthieu Grall của Ủy ban Nationale de l'Informatique et des Libertés , cơ quan giám sát độc lập của Pháp về bảo vệ dữ liệu cá nhân, là người tham gia tích cực của SC 27 và là người đóng góp vào sự phát triển của tiêu chuẩn. Với các yêu cầu và luật bảo vệ dữ liệu ngày càng nghiêm ngặt, ông cho biết thực sự cần có tiêu chuẩn này.

“Bất chấp rủi ro khi không tuân thủ các quy định này, chúng tôi biết rằng nhiều tổ chức đơn giản là chưa sẵn sàng và cần được hướng dẫn. Với số lượng khiếu nại và tiền phạt liên quan đến quyền riêng tư và bảo vệ dữ liệu ngày càng tăng, nhu cầu về tiêu chuẩn này hiện là điều hiển nhiên.

Hơn nữa, các tổ chức cần mang lại niềm tin cho chính quyền, đối tác, khách hàng và người sử dụng lao động. Tiêu chuẩn như vậy sẽ góp phần mạnh mẽ vào sự tin tưởng này.”

Bạn có thể mua ISO/IEC 27701 từ thành viên ISO quốc gia của bạn hoặc Cửa hàng ISO .

1)  Diễn đàn kinh tế thế giới Rủi ro toàn cầu 2018 

2)  Nghiên cứu chi phí vi phạm dữ liệu năm 2023 

* Ban thư ký do DIN, thành viên ISO của Đức nắm giữ