一直以來,個資保護議題都是資訊安全管理系統的稽核重點,體現在法遵面的A.18.1.4個人可識別資訊之隱私及保護,以及技術面的A.14.3.1測試資料之保護。在新版ISO27001:2022裡,這兩項要求分別對應到A.5.34隱私及個資保護、A.8.33測試資料。
新版ISO27001:2022中的A.8.11資料遮罩(Data masking)要求組織依據法規、業務及不同主題的需要來執行資料遮罩,避免個資等敏感資料曝光;相較於2013年版本,對於敏感資料掩蔽的要求更加具體,更加強調法遵合規的精神,且不難看到歐盟GDPR(General Data Protection Regulation)、美國CCPA(California Consumer Privacy Act)這幾年對ISO管理系統的影響。
並且,ISO27002:2022針對資料遮罩的方式提供一系列技術性指引,包括加密、刪除/替換字元,使用雜湊等方式,將個人資料或所謂個人可識別資訊(personally identifiable information, PII)進行去識別化(de-identification)。
概括而言,去識別化的方式又分為兩種:
匿名化(anonymization)-掩蓋、遮蔽部分字元/符使之無法辨識為PII。
假名化(pseudonymization)-以亂數、演算法等方式生成的新字符,取代原來的識別字符,使之在不借助額外資訊情況下無法識別出個人資訊主體。
ISO27001:2022沒有強制要求必須用哪一套方法進行去識別化,但提及匿名化的去識別化效果較強,且要求若是採用假名化,須將能比對出個人資訊主體的額外資訊切割存放。
最後,由於A.8.11資料遮罩(Data masking)還要求須遵守相關法規,所以各位在建立ISMS與執行稽核活動時,應特別注意到驗證範圍內所涉及到的國家法令法規要求,包括從個資、去識別化、匿名化、假名化這幾個面向來看,如何進行資料遮罩的程序設定與執行。
Comments