近日，上海醫(yī)藥臨床研究中心順利通過了ISO27701:2019標(biāo)準(zhǔn)認(rèn)證并取得證書，這也是醫(yī)療行業(yè)首個實施ISO27701隱私信息管理體系（PIMS）標(biāo)準(zhǔn)的案例。此次認(rèn)證咨詢工作由上海擎標(biāo)全程參與，并提供了全方位的體系服務(wù)。

互聯(lián)網(wǎng)時代，大數(shù)據(jù)逐漸深入到各行各業(yè)，醫(yī)療行業(yè)的信息也逐漸數(shù)字化，數(shù)字化醫(yī)療在帶來了極大的便利的同時，也出現(xiàn)了個人隱私安全、數(shù)據(jù)竊取等問題。一項對1000名近期就醫(yī)患者的電子病歷與IT安全調(diào)查的結(jié)果顯示：49%的患者認(rèn)為電子病歷系統(tǒng)的建立對于個人醫(yī)療信息保護(hù)存在不良影響。86%的受訪者認(rèn)為醫(yī)療機(jī)構(gòu)有義務(wù)保護(hù)患者的財務(wù)信息，94%的認(rèn)為個人識別信息及與患者家屬相關(guān)的任何信息需要嚴(yán)格保護(hù)。

醫(yī)療行業(yè)的隱私信息安全，是社會治理層面不得不面對的議題，ISO27701標(biāo)準(zhǔn)的發(fā)布為各行業(yè)提供了一個指導(dǎo)隱私信息管理實踐的依據(jù)。

上海醫(yī)藥臨床研究中心作為國內(nèi)首家完全由政府主導(dǎo)，完全按照國際GCP規(guī)范建設(shè)，具備醫(yī)藥臨床研究前沿綜合優(yōu)勢，符合國際規(guī)范和技術(shù)標(biāo)準(zhǔn)的創(chuàng)新醫(yī)藥臨床研究核心機(jī)構(gòu)和資源服務(wù)公共平臺。上海醫(yī)藥臨床研究中心高度重視客戶信息及受試者信息的保護(hù)，該中心自主研發(fā)了一套臨床研究的信息系統(tǒng)，主要用于藥物的臨床試驗。由于臨床試驗過程中會收集與個人隱私信息相關(guān)的內(nèi)容，為了更好的保護(hù)這些信息，中心立足于ISO27001的基礎(chǔ)之上，進(jìn)一步開展了ISO27701認(rèn)證，充分保障個人隱私信息的安全。

關(guān)于ISO27701

ISO27701的前身為ISO/IEC27552，由ISO/IEC技術(shù)委員會ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作組開發(fā)，該工作組由來自世界各地的數(shù)據(jù)保護(hù)機(jī)構(gòu)、安全機(jī)構(gòu)、學(xué)術(shù)界和工業(yè)界的專家組成。該標(biāo)準(zhǔn)建立在ISO/IEC27001要求的基礎(chǔ)之上，在隱私方面提供了必要的額外要求。規(guī)定了建立、實施、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的信息安全管理體系的要求。換句話說，就是保護(hù)個人信息的管理體系（簡稱PIMS），從而促進(jìn)公司、政府等組織對個人信息（PII）的保護(hù)。

作為一個剛誕生不久的新標(biāo)準(zhǔn)，ISO27701對組織的必要性：

1) 通過明確對PII控制者和處理者的隱私保護(hù)要求，可以使組織明確隱私保護(hù)管理合規(guī)目標(biāo)，減輕組織合規(guī)負(fù)擔(dān)的同時降低組織合規(guī)風(fēng)險，ISO27701標(biāo)準(zhǔn)附錄D中明確表示，單個隱私控制點可以滿足GDPR中的多項要求。

2) 實現(xiàn)持續(xù)的個人隱私安全合規(guī)對于任何組織都是一個安全治理的課題，ISO27701通過建立PIMS，可以確保組織高級管理層、組織所有者以及關(guān)鍵相關(guān)方的利益滿足隱私保護(hù)要求，從而使組織實現(xiàn)長期、有效的個人隱私安全合規(guī)。

3) PIMS認(rèn)證可以向客戶或合作伙伴傳達(dá)隱私合規(guī)價值。PII控制者通常會要求PII處理者提供相關(guān)證據(jù)，從而證明PII處理者的隱私管理體系符合適用的隱私管理要求。通過得到授權(quán)的第三方機(jī)構(gòu)對PII處理者進(jìn)行基于國際標(biāo)準(zhǔn)的審核，可以極大地降低合規(guī)溝通成本，這種合規(guī)透明度的提高對于組織戰(zhàn)略和業(yè)務(wù)決策至關(guān)重要，同時PIMS認(rèn)證也有助于向公眾傳達(dá)組織的可信度。

ISO27701的應(yīng)用與實施：

ISO27701沿用并優(yōu)化了以往的ISO29151、ISO27018等標(biāo)準(zhǔn)的條款，又不完全覆蓋任何一部已有的標(biāo)準(zhǔn)，ISO/IEC27018、ISO/IEC29151作為隱私管理方面指南性標(biāo)準(zhǔn)，各有側(cè)重，在某些條款上，與ISO/IEC27701標(biāo)準(zhǔn)的指南部分形成了互補(bǔ)。針對提供公有云業(yè)務(wù)的互聯(lián)網(wǎng)企業(yè)仍可以繼續(xù)參照ISO/IEC27018進(jìn)行體系實施，而另一些期望獲得更多實施指南的企業(yè)則可以繼續(xù)參照ISO/IEC29151進(jìn)行體系實施。

ISO27701是一部兼顧不同國家地區(qū)法規(guī)要求的標(biāo)準(zhǔn)，能使用一個體系來管理來自多個司法管轄區(qū)的多項隱私法規(guī)和政策的合規(guī)性，例如歐盟的通用數(shù)據(jù)保護(hù)法規(guī)（GDPR)等。

ISO27701的應(yīng)用范圍十分廣泛，適用于需要對個人身份信息進(jìn)行管理的任何組織，如銀行、保險公司、電信公司、航空公司、 數(shù)據(jù)中心、代理商、非政府組織、醫(yī)院和學(xué)校等。

未來將對大數(shù)據(jù)隱私的來源、保護(hù)等話題會更加敏感，ISO27701將會助越來越多的企業(yè)與組織走出隱私保護(hù)困境，開啟隱私安全合規(guī)的新時代！

隱私安全，惠及你我，業(yè)務(wù)持續(xù)，與擎標(biāo)同行！上海擎標(biāo)信息技術(shù)服務(wù)有限公司將繼續(xù)關(guān)注個人身份信息保護(hù)標(biāo)準(zhǔn)的推動和應(yīng)用，以保護(hù)個人信息為核心，遏制個人信息濫用，最大程度保護(hù)用戶合法權(quán)益和社會公共利益。

上海擎標(biāo)信息技術(shù)服務(wù)有限公司（Q-ing）是一家致力于科技風(fēng)險與合規(guī)內(nèi)控領(lǐng)域提供解決方案的咨詢服務(wù)機(jī)構(gòu)。公司主要從事ITSS、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CCRC、涉密資質(zhì)等領(lǐng)域的管理規(guī)劃、體系建設(shè)、工具支持及咨詢評估服務(wù)。擎標(biāo)，標(biāo)新領(lǐng)異！是國內(nèi)隱私安全合規(guī)咨詢領(lǐng)域的早期參與者，發(fā)布了首個基于ISO/IEC 29151:2017的中文譯著，并于2018年11月為太平洋保險（集團(tuán)）公司獲得國內(nèi)首張ISO29151個人身份信息保護(hù)實踐指南認(rèn)證證書；于2019年10月為上海醫(yī)藥臨床研究中心獲得全球第二張ISO27701隱私信息管理體系認(rèn)證證書。于2019年12月為中國電信天翼云獲得了全國首張ISO27040存儲安全標(biāo)準(zhǔn)認(rèn)證證書。