Management Skills and Techniques

 حفاظت از حریم خصوصی از جملۀ نیازهای اجتماعی در جهانی است که بیش از پیش بهم مرتبط شده است. با توجه به تشدید الزامات حفاظت از داده، استانداردISO/IEC 27701 می‌تواند به کسب و کارها کمک کند تا ریسک‌های حریم خصوصی خود را با اطمینان مدیریت کنند. مایکروسافت از طریق این استاندارد پنجره‌ای را برای حفاظت از حریم خصوصی داده در زیرساخت ابری گشوده است.

امروزه در هر کسب و کاری که فعالیت داشته باشیم با حریم خصوصی داده نیز سروکار داریم. این امر مسئله‌ای نیست که فقط بر مدیران ارشد داده یا مدیران بخش‌های امنیت آی‌تی اثر بگذارد، بلکه مسئله‌ای است که به کل ساختار سازمانی مربوط می‌شود و بر بخش‌ منابع انسان، بخش امور مشتریان، و به طور کلی هر آنکسی که با داده‌های خصوصی سروکار دارد اثر می‌گذارد.

با توجه به افزایش مستمر تعداد حملات سایبری به کسب و کارها، امنیت سایبری اهمیتی بیش از پیش یافته است. در واقع، سوال اصلی را اینگونه می‌توان تعریف کرد: شرکت‌ها چگونه می‌توانند اطلاعات شخصی مشتریان را مدیریت نمایند؟ مقررات جدید حریم خصوصی که در سال‌‌های اخیر توسط دولت‌ها تصویب شده است، مانند مقررات حفاظت از داده‌های عمومی در اتحادیۀ اروپا (GDPR) یا قانون حریم خصوصی مشتریان در کالیفورنیا، شرکت‌ها را پاسخگو و مسئول ساخته است. اما، با توجه به اینکه کشورهای مختلف مقرراتِ متفاوتی را برای حریم خصوصی مقرر کرده‌اند، شرکت‌های بزرگ جهانی مانند مایکروسافت چگونه می‌توانند حفاظت بدون نقص از داده‌ها را تضمین نمایند؟

استاندارد ISO/IEC 27701

  افزونه‌ای برای ISO/IEC 27001 و ISO/IEC 27002 برای مدیریت اطلاعات حریم خصوصی است و تکنیک‌ها، الزامات، و دستورالعمل‌های راهنمای امنیتی را شرح می‌دهد، به شرکت‌ها کمک می‌کند تا ریسک‌های حریم خصوصی خود را برای حفاظت از اطلاعات شخصی مدیریت کنند. این استاندارد همچنین به شرکت‌ها کمک می‌کند تا مقررات GDPR و سایر مقررات محافظت از داده را رعایت نمایند. استاندارد فوق که با همکاری مشترک ISO و کمیسیون بین‌المللی الکتروتکنیکال (IEC) تنظیم شده، نخستین استاندارد جهانی برای محافظت از حریم خصوصی است. در ادامه، جیسون ماتوسوو[1]، مدیر کل کارگروه تعریف استاندارد در شرکت مایکروسافت، مفاد و ایده‌های نوآورانۀ این استاندارد را شرح می‌دهد.

ایزوفوکوس[2]: ISO/IEC 27701 نخستین استاندارد برای سیستم مدیریت اطلاعات حریم خصوصی یا به اختصار PIMS است.

آیا می‌توانید دربارۀ این استاندارد بیشتر توضیح دهید؟

چه چیزی این استاندارد را نوآورانه کرده است؟

جیسون ماتوسوو: نخستین مطلب دربارۀ ISO/IEC 27701 این است که این استاندارد روش ساده و کارامدی را برای حل مشکل وجود فرآیندهای پراکندۀ پردازش داده‌ در یک شرکت فراهم می‌کند. اگرچه امنیت سایبری و حریم خصوصی دو موضوع بهم مرتبطند، آنها در شرکت‌های زیادی به سان پروژه‌های مختلف و مجزایی در نظر گرفته می‌شوند. حرکت هوشمندانه‌ای که در ISO/IEC 27701 انجام شده، و به باور من کارشناسان و متخصصانی که آن را طراحی کرده‌اند سزاوار تحسین هستند، گنجاندن استانداردی برای امنیت سایبری در مجموعۀ ISO/IEC 27000 دربارۀ سیستم‌های مدیریت امنیت اطلاعات است که هزاران شرکت هر ساله گزارش اجرای آن را ارائه می‌دهند. با تعریف لایۀ PIMS به عنوان لایۀ نخست در این ساختار، بخش امنیت سایبری در هر شرکت می‌تواند با بخش حریم خصوصی همکاری کند تا فرآیند پردازش داده‌ای تعریف شود که کلیۀ ملاحظات امنیت سایبری و حریم خصوصی را فرا می‌گیرد.

در PIMS نیاز به بررسی تاریخچۀ حفاظت از داده در نظر گرفته شده است. در GDRR، به مانند بسیاری از قوانین دیگر حفاظت از حریم خصوصی در سراسر جهان، شرکت‌ها ملزم شده‌اند تا یک مدیر حفاظت از داده را داشته باشند. یکی از مهم‌ترین چالش‌ها برای این مدیران چگونگی تعریف فرآیندی برای مستندسازی امور است. به دیگر سخن، مدیر حفاظت از داده چگونه باید مدارک و مستندات پردازش درست اطلاعات و داده‌ها در کل ساختار سازمانی را گردآوری و نگهداری کند. PIMS به ما امکان می‌دهد تا عملیات فراگیرتری را برای حفظ حریم خصوصی تعریف کنیم و سپس، فرآیندی را برای ثبت مستندات و رفتارها برای گزارش به نهادهای خارجی طراحی نماییم.

در مبحث حفظ حریم خصوصی داده، سازوکار چیره‌ای وجود دارد که تمرکز همگان را متوجه قانونگذاران کرده است. اما، بنیان کسب و کار و تجارت بر پایۀ روابط کسب و کارها با هم یا به عبارت دیگر قراردادهاست. مثلاً در زنجیرۀ تأمین شرکت مایکروسافت هزاران شرکت دیگر وجود دارند و خود مایکروسافت نیز تامین‌کننده‌ای برای هزاران شرکت دیگر است؛ بنابراین، نمایش شیوۀ مناسب پردازش داده‌ در کل این زنجیرۀ تأمین مسئلۀ بسیار مهمی است. PIMS این امکان را به ما می‌دهد تا شواهد اینگونه رفتار درست را گردآوری و ارائه دهیم. اطمینان بر پایۀ اعتبارسنجی ایجاد می‌شود، و این اعتبارسنجی بر اساس فرآیندهای صحیح PIMS انجام می‌شود.

آیا با این استاندارد جدید می‌توان به شرکت‌ها کمک کرد تا به طور مثال GDPR یا قانون کالیفورنیا را رعایت کنند؟

تا این لحظه استاندارد فراگیری که مبنای رعایت موازین قانونی حریم خصوصی باشد ارائه نشده است؛ بنابراین، هم‌اکنون در اروپا نظرات مختلفی دربارۀ شیوۀ تفسیر مقررات توسط شرکت‌ها و از جمله مایکروسافت وجود دارد. هدف از ارائۀ این استاندارد ترسیم مسیر آشکاری برای پیروی از موازین قانونی نیست؛ در واقع، چنین چیزی امروزه اصلاً وجود ندارد. بلکه در این استاندارد، فرآیندهای قوی و شفاف و اصول کارامدی تعیین شده است. در این استاندارد، مجموعه‌ای از رفتارهای مسئولانۀ قابل مستندسازی که تکرارپذیرند و با گذشت زمان بهتر می‌شوند تعریف شده است، زیرا یکی از مسائل مهم دربارۀ سامانه‌های مدیریت پردازش تمرکز بر بهبود مستمر است.

لازم است بدانیم که یک قانون مشخص جهانی برای حفاظت از حریم خصوصی وجود ندارد. شاید تا کنون 30 مورد از چنین قوانینی ارائه شده باشد... مانند GDRP یا قانون کالیفورنیا؛ کشورهایی مانند استرالیا یا ژاپن هم قوانین خاص خودشان را تصویب کرده‌اند. در حقیقت، یکی از مواردی که PIMS را اینقدر ارزشمند کرده این است که این استاندارد حاوی مجموعۀ منسجمی از فرآیندهای حفظ حریم خصوصی (مثلاً اقدامات کنترلی) است که آنها را می‌توانیم در قانون حفاظت از حریم خصوصی بگنجانیم.

{ شركت بيكران راهكار سعادت نماينده انحصاري شركت BRSM در ثبت و صدور استاندارد هاي ايزو،

{ ISO 50001, ISO 9001, ISO 14001, ISO 22000, ISO 45001, ISO 10015 , ISO 10002, ISO 10004, ISO 17025, ISO 13485, ISO 3834, ISO 21500 }

همانطور که می‌دانید فناوری پیوسته در حال تکامل است و شرکت‌ها باید خودشان را با این روند تطبیق دهند.

آیا ISO/IEC 27701 در چند سال آینده نیز همچنان می‌تواند مفید باشد؟

حقیقت این است که فناوری چنان پرشتاب در حال پیشرفت است که هرگز نمی‌توانیم بگوییم «خیلی خب، حالا که درستش کردیم دیگر به این زودی‌ها مشکلی نخواهیم داشت.» در عمل چنین وضعیتی رخ نمی‌دهد. هر کسب و کاری هر روزه پیشرفت می‌کند و تکامل می‌یابد. به کمک استانداردی مانند ISO/IEC 27701 فرصتی برای طراحی رویکرد یکپارچه‌ای ایجاد می‌شود؛ در عین حال، این استاندارد آنقدر سازش‌پذیر هست که با تغییرات در حال وقوع انطباق یابد.

نکتۀ مهمی که لازم است ابعاد آن را کاملاً بسنجیم ارزیابی اثرات حریم خصوصی است؛ ارزیابی اثرات حریم خصوصیْ فرآیند نظام‌مندی برای بررسی تاثیرات احتمالی سیستم بر حریم خصوصی می‌باشد. اگرچه این فرآیند یکی از مشخصه‌های اصلی ISO/IEC 27701 نیست، در این استاندارد الزاماتی برای تعیین حدود استفاده از آن تعریف شده است. هر شرکت باید بر اساس این الزامات تاثیر فرآیندهای پردازش داده‌اش را در حوزۀ خاصی اندازه بگیرد. این استاندارد مجموعه‌ای از ابزارهای کنترلی را برای خنثی‌سازی اینگونه تاثیرات فراهم می‌کند. چنین ابزارهایی را در قوانین، چه به طور خاص GDPR چه قوانین حفاظت از حریم خصوصی استرالیا، ژاپن، یا کالیفورنیا، می‌توان گنجاند. ترکیب اینگونه موارد است که ما را در مسیر دستیابی به فرآیند‌های مسئولانه‌ای جهت حفاظت از داده‌ها به پیش می‌برد. همانطور که گفتم، این روند را باید یک مسیر بدانیم نه مقصد!

طراحی این استاندارد چه سودی برای مایکروسافت داشته است؟

به عبارت دیگر، چرا مایکروسافت از پشتیبانان اصلی این استاندارد بوده است؟

این مسئله در اصل به مشتریان ما مربوط می‌شود. حقیقت این است که این استاندارد به افرادی که از سرویس‌های ابری استفاده می‌کنند یا از سایر فناوری‌های ما بهره می‌گیرند امکان می‌دهد تا با مایکروسافت متحد شوند تا به همراه هم گام‌هایی را برای اتخاذ موضع قاطع و فراگیری دربارۀ فرآیندهای مناسب مدیریت داده برداریم. استاندارد ISO/IEC27701 نقش مرکزی و مهمی در ایجاد گفتمان هماهنگی بین سازمان‌ و شرکت‌های مختلف دارد. وجود این استاندارد برای گفتگو با قانون‌گذاران ضروی است، البته این استاندارد اهمیت زیادی نیز در روابط شرکت‌ها با یکدیگر دارد.

PIMS سرمایۀ ارزشمندی برای استفاده از فناوری اطلاعات در هر نوع کسب و کاری است. بنابراین، هدف اصلی ما فراهم کردن رویکرد قابل اطمینانی برای حفظ حریم خصوصی بوده است؛ رویکردی که نیاز مشتریانمان است. گام بعدی دربارۀ اصلاح رفتارهای خودمان است. البته باید بگویم که عملکرد ما دربارۀ حریم خصوصی از این استاندارد فراتر رفته است. به دیگر سخن، الزامات PIMS پیشاپیش در فرآیندهای ما لحاظ شده است. ما به حفظ حریم خصوصی متعهدیم و ISO/IEC 27701 نیز بخشی از فرآیند ارزیابی سیاست‌های حفظ حریم خصوصی‌مان است.

ما در مایکروسافت الزامات حفاظتی GDPR را با استفاده از فناوری‌هایمان گسترش داده‌ایم و آن را برای کلیۀ شهروندان در سراسر جهان فراهم کرده‌ایم. اگر مایکروسافت بخواهد تا اقدامات مهندسی لازم و بهبودهای مستمری را برای امن ساختن داده‌های شهروندان در سیستم‌هایش انجام دهد، این کار را باید به شکل سازنده و فراگیرانه‌ای انجام دهد. PIMS به سان لایه‌ای روی لایه‌های دیگر قرار می‌گیرد تا امکان بررسی فرآیندهای مایکروسافت توسط طرف سومی فراهم شود.

شرکت‌ها چگونه می‌توانند خود را با استاندارد ISO/IEC 27701 منطبق سازند؟

آیا ممکن است کمی بیشتر دربارۀ اقدامات لازم توضیح دهید؟

همانطور که پیشتر گفتم، این استاندارد بر پایۀ مجموعۀ ISO/IEC 27000 طراحی شده است؛ بنابراین، PIMS مستلزم در پیش گرفتن رویکردی فراگیر و پذیرفتن این مسئله است که سیستم مدیریت امنیت اطلاعات باید اصلاح شود. این روند در ادامه حریم خصوصی را نیز در بر می‌گیرد. این استاندارد مستلزم بازنگری در سیستم‌ها و فرآیندها و ایجاد کنترل‌هایی برای آنهاست. اینگونه کنترل‌ها را می‌توانیم رفتارهای از پیش‌تعریف شده‌ای در نظر بگریم که متعهد به پیروی از آن هستیم. با گذشت زمان، این رفتارها به رفتارهای تکرارپذیری تبدیل می‌شوند که قابل مستندسازی نیز خواهند بود.

موارد فوق وظیفۀ مدیر حفاظت از داده‌ای است که مسئولیت اصلیش اطمینان از پایبندی شرکت به ارزیابی اقدامات انجام گرفته برای حفاظت از داده می‌باشد. اما، شرکت‌های بزرگتر در نهایت مجبور خواهند شد از شرکت‌های متخصص در بررسی پایبندی به الزامات قانونی کمک بگیرند تا سیستم‌های لازم را فراهم نمایند. خلاصه اینکه، در اقدامات کنترلی که وضع می‌شود، کلیۀ موارد از جمله گردآوری داده، استفاده از داده، حذف داده، شیوۀ مدیریت نفوذ به داده، شیوۀ آگاهی‌رسانی به مشتریان، و به طور کلی هر چه که در زنجیرۀ کار با داده وجود دارد باید در نظر گرفته شود. 

{ شركت بيكران راهكار سعادت نماينده انحصاري شركت BRSM در ثبت و صدور استاندارد هاي ايزو،

{ ISO 50001, ISO 9001, ISO 14001, ISO 22000, ISO 45001, ISO 10015 , ISO 10002, ISO 10004, ISO 17025, ISO 13485, ISO 3834, ISO 21500 }

مایکروسافت در آینده در ارتباط با طراحی استاندارد‌ها چه خواهد کرد؟

این سوال را به دو بخش مختلف تجزیه می‌کنم. نخست اینکه، همۀ استانداردها که به یک صورت طراحی نمی‌شوند. در یک سو، مشخصه‌های فنی مانند پروتکل بلوتوث، وای‌فای، یا موارد دیگر وجود دارد. این پروتکل‌ها توسط گروه‌ تولید مایکروسافت بر پایۀ نیازها طراحی می‌شوند. در این مورد، یکی از مهم‌ترین اتفاقات در پنج سال گذشته رشد شدید نرم‌افزارهای متن باز بوده است. در این مدت، روشی که افراد بر پایۀ آن مسائل مربوط به همکاری و هماهنگی را حل کرده‌اند الزاماً در بستر استانداردهای سنتی نبوده، بلکه از طریق توسعۀ همکارانه در بستر متن باز انجام گرفته است.  این امر بدین معنی نیست که طراحی استاندارد کنار گذاشته شده، بلکه به معنی تغییر چشمگیر چشم‌انداز پیش‌ِ روست.

در سوی دیگر، استانداردهای بین‌المللی قرار دارد؛ در استانداردهایی که توسط ISO و همکاران آن مانند کمیسیون بین‌المللی الکتروتکنیکال (IEC) و اتحادیۀ جهانی مخابرات (ITU) طراحی شده، رشد قانون‌گذاری و این مسئله که استانداردها چگونه می‌توانند به صورت «قانون نرمی» برای قانون‌گذاری عمل کنند مورد توجه قرار گرفته است. PIMS چگونه می‌تواند جایگاهی بین قوانین موجود و رفتارهای یک شرکت برای خود بدست آورد؟ به عبارت دیگر، منظورم این است که بین قوانین موجود و رفتارهای فعلی شرکت‌ها به یک میانجی نیاز داریم و استانداردها می‌توانند نقشی محوری برای پر کردن این شکاف داشته باشند. استانداردها به ویژه برای حل مشکل پراکندگی روندهای قانونی مفید هستند؛ به طور مثال، وجود یک استاندارد مناسب می‌تواند موجب همگرایی قانون حریم خصوصی استرالیا با مفاد GDPR شود. بنابراین، استاندارد ISO/IEC 27701 می‌تواند نقش رُزِتا اِستون[3] را بین رویکردهای مختلف قانون‌گذاری داشته باشد.

محصولات شرکت مایکروسافت، فروشگاه مایکروسافت، سایت مایکروسافت، برنامه های مایکروسافت، شرکت مایکروسافت چیست، بازی مایکروسافت، گوگل الکترونیک، استاندارد بین المللی، گواهینامه استاندارد، صدور گواهینامه معتبر، شرکت صدور گواهینامه، GDPR, ISO 27701 

{ شركت بيكران راهكار سعادت نماينده انحصاري شركت BRSM در ثبت و صدور استاندارد هاي ايزو،

{ ISO 50001, ISO 9001, ISO 14001, ISO 22000, ISO 45001, ISO 10015 , ISO 10002, ISO 10004, ISO 17025, ISO 13485, ISO 3834, ISO 21500 }

02126760001

https://www.iso.org/news/ref2489.html

[1] - Jason Matusow

[2] - ISOFOCUS

[3] - Rosetta Stone یا سنگ رمزشکن

تصویر