ČESKÁ TECHNICKÁ NORMA

ICS 35.040 Březen 2015

Informační technologie – Bezpečnostní techniky –
Rámec soukromí

ČSN
ISO/IEC 29100

36 9705
 

Information technology – Security techniques – Privacy framework

Technologies de l’information – Techniques de sécurité – Cadre privé

Tato norma je českou verzí mezinárodní normy ISO/IEC 29100:2011. Překlad byl zajištěn Úřadem pro technickou normalizaci, metrologii a státní zkušebnictví. Má stejný status jako oficiální verze.

This standard is the Czech version of the International Standard ISO/IEC 29100:2011. It was translated by the Czech Office for Standards, Metrology and Testing. It has the same status as the official version.

 

Národní předmluva

Souvisící ČSN a TNI

TNI 01 0350 (01 0350)Management rizik – Slovník (Pokyn 73)

ČSN ISO 31000 (01 0351)Management rizik – Principy a směrnice

Vysvětlivky k textu převzaté normy

Pro účely této normy byl anglický termín „principal“ přeložen jako „subjekt“ a anglický termín „controller“ přeložen jako „dohlížitel“.

Anglický termín „symbol“ se překládá českým slovem „symbol“, protože se zde používá ve významu nadřazeného termínu vůči podřazeným termínům: značky, znaky, označení atd., aby se všechny tyto termíny nemusely vypisovat.

Vypracování normy

Zpracovatel: Ing. Alena Hönigová, IČ 61470716

Technická normalizační komise: TNK 20 Informační technologie

Pracovník Úřadu pro technickou normalizaci, metrologii a státní zkušebnictví: Ing. Miroslav Škop

MEZINÁRODNÍ NORMA

Informační technologie – Bezpečnostní techniky – ISO/IEC 29100
Rámec soukromí První vydání
2011-12-15

Obsah

Strana

Předmluva 6

Úvod 7

1 Předmět normy 8

2 Termíny a definice 8

3 Symboly a zkrácené termíny 11

4 Základní prvky rámce soukromí 11

4.1 Přehled rámce soukromí 11

4.2 Aktéři a role 11

4.2.1 Subjekty PII 11

4.2.2 Dohlížitelé PII 11

4.2.3 Zpracovatelé PII 12

4.2.4 Třetí strany 12

4.3 Interakce 12

4.4 Rozpoznání PII 13

4.4.1 Identifikátory 13

4.4.2 Další odlišující charakteristiky 13

4.4.3 Informace, které jsou nebo by mohly být spojeny se subjektem PII 14

4.4.4 Pseudonymní data 14

4.4.5 Metadata 15

4.4.6 Nevyžádané PII 15

4.4.7 Citlivé PII 15

4.5 Požadavky na zabezpečení soukromí 15

4.5.1 Právní a předpisové faktory 16

4.5.2 Smluvní faktory 17

4.5.3 Faktory souvisící s činností organizace 17

4.5.4 Jiné faktory 17

4.6 Politiky týkající se soukromí 18

4.7 Opatření týkající se soukromí 18

5 Principy soukromí ISO/IEC 29100 18

5.1 Přehled principů soukromí 18

5.2 Souhlas a výběr 19

5.3 Legitimita a specifikace účelu 19

5.4 Omezení shromažďování 20

5.5 Minimalizace dat 20

5.6 Omezení použití, uchování a zpřístupnění 20

Strana

5.7 Přesnost a kvalita 21

5.8 Otevřenost, transparentnost a oznámení 21

5.9 Participace a přístup jednotlivých osob 21

5.10 Odpovědnost 22

5.11 Bezpečnost informací 22

5.12 Soulad s požadavky na soukromí 23

Příloha A (informativní) Shoda mezi pojmy ISO/IEC 29100 a pojmy ISO/IEC 27000 24

Bibliografie 25

Obrázky

Obrázek 1 – Faktory ovlivňující řízení rizik soukromí 16

Tabulky

Tabulka 1 – Možné toky PII mezi subjektem PII, dohlížitelem PII, zpracovatelem PII a třetí stranou a jejich role 12

Tabulka 2 – Příklad atributů, které mohou být použity k identifikaci fyzických osob 14

Tabulka 3 – Principy soukromí ISO/IEC 29100 19

Tabulka A.1 – Přiřazení pojmů ISO/IEC 29100 k pojmům ISO/IEC 27000 24

  

[image]

DOKUMENT CHRÁNĚNÝ COPYRIGHTEM

© ISO/IEC 2011

Veškerá práva vyhrazena. Pokud není specifikováno jinak, nesmí být žádná část této publikace reprodukována nebo používána v jakékoliv formě nebo jakýmkoliv způsobem, elektronickým nebo mechanickým, včetně fotokopií a mikrofilmů, bez písemného svolení buď od organizace ISO na níže uvedené adrese, nebo od členské organizace ISO v zemi žadatele.

ISO copyright office

Case postale 56 · CH-1211 Geneva 20

Tel. + 41 22 749 01 11

Fax + 41 22 749 09 47

E-mail copyright@iso.org

Web www.iso.org

Published in Switzerland

Předmluva

ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém světové normalizace. Národní orgány, které jsou členy ISO a IEC, se podílejí na vypracování mezinárodních norem prostřednictvím technických komisí ustavených příslušnými organizacemi pro jednotlivé obory technické činnosti. Technické komise ISO a IEC spolupracují v oborech společného zájmu. Práce se zúčastňují také další vládní i nevládní mezinárodní organizace, s nimiž ISO a IEC navázaly pracovní styk. V oblasti informační technologie zřídily ISO a IEC společnou technickou komisi ISO/IEC JTC1.

Návrhy mezinárodních norem jsou vypracovávány v souladu s pravidly danými směrnicemi ISO/IEC, část 2.

Hlavním úkolem společné technické komise je příprava mezinárodních norem. Návrhy mezinárodních norem přijaté technickými komisemi se rozesílají národním orgánům k hlasování. Vydání mezinárodní normy vyžaduje souhlas alespoň 75% hlasujících národních orgánů.

Upozorňuje se na možnost, že některé prvky tohoto dokumentu mohou být předmětem patentových práv. ISO a IEC nelze činit odpovědnými za identifikování jakéhokoliv nebo všech patentových práv.

ISO/IEC 29100 vypracovala společná technická komise ISO/IEC JTC1Informační technologie, subkomise SC 27
IT Bezpečnostní techniky.

Úvod

Tato mezinárodní norma poskytuje celkový rámec pro ochranu osobně identifikovatelných informací (PII) v systé-
mech informačních a komunikačních technologií (ICT). Má obecnou povahu a zařazuje organizační, technické a procedurální aspekty do souhrnného rámce soukromí.

Rámec soukromí má za cíl pomoci organizacím definovat jejich požadavky na zabezpečení soukromí souvisící s PII v rámci ICT prostředí:

V některých jurisdikcích by mohly být odkazy této mezinárodní normy na požadavky zabezpečení soukromí chápány jako doplňky k zákonným požadavkům na ochranu PII. Vlivem rostoucího počtu informací a komunikačních technologií, které zpracovávají PII, je důležité mít mezinárodní normy bezpečnosti informací, které poskytují obecné pochopení ochrany PII. Cílem této mezinárodní normy je rozšířit existující bezpečnostní normy přidáním zaměření týkajícího se zpracování PII.

Zvyšující se komerční použití a hodnota PII, sdílení PII napříč právními jurisdikcemi, a rostoucí složitost ICT systémů může učinit pro organizaci obtížné zajistit soukromí a dosáhnout souladu s různými platnými zákony. Strany zúčastněné vzhledem k soukromí mohou zabránit vzniku nejistoty a nedůvěry řádným nakládáním se záležitostmi soukromí a vyhnutím se případům zneužití PII.

Použití této mezinárodní normy:

Rámec soukromí poskytnutý v této mezinárodní normě může sloužit jako základ pro další podněty k normalizaci soukromí, například pro:

Některé jurisdikce mohou požadovat soulad s jedním nebo více dokumenty, na které je odkaz v ISO/IEC JTC 1/SC 27 WG 5 Stálý dokument 2 (WG 5 SD2) – Oficiální odkazy na dokumenty týkající se soukromí [3] nebo s dalšími použitelnými zákony a předpisy, ale cílem této mezinárodní normy není být globální modelovou politikou, ani legislativním rámcem.

1Předmět normy

Tato mezinárodní norma poskytuje rámec soukromí, který

Tato mezinárodní norma je použitelná pro fyzické osoby a organizace zapojené do specifikování, pořizování, architektonického řešení, návrhu, vývoje, testování, udržování, administrování, provozování systémů informačních a komunikačních technologií nebo služeb, kde jsou pro zpracování PII požadována opatření ohledně soukromí.

Konec náhledu - text dále pokračuje v placené verzi ČSN.

Zdroj: www.cni.cz