Day16_ISO 27701 - 个人资料隐私资讯管理系统(隐私资讯管理体系(PIMS))

▉今天突然跳这个笔记，是我的mail里面躺着的关键字，一直有立陶宛这个XD" 默默的在看，它是啥?
└而且随之而来的新闻很有趣，小米本来不予回应，到今天要找第三方厂商验证提供说明XDDD"

它从9/22，到昨天9/28，小米本来的不予回应，到昨天回应已找第三方资安厂商要证明没有触犯隐私权XD"
继续观察罗。
也刚好在瞄新闻的过程，看到小米声称符合『 ISO / IEC 27001 资讯安全管理标准和 ISO / IEC 27701 隐私资讯管理体系要求』。

所以今天笔记就先歪到ISO/IEC 27701了。
(它是27001+27002的延伸，但我一时找不出来是27001的哪个项目?A.9存存控制吗?)

▉关於 ISO/IEC 27701
ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准
，其目标是通过新增的要求来增强现有资讯安全管理体系（ISMS），
以便建立、实施、维护和不断改进隐私资讯管理体系(PIMS)，
标准概述了适用於个人身份资讯（PII）控制者和PII处理者的框架，用於隐私控制管理，以降低对个人隐私的各种风险。

来自 https://www.sgsgroup.com.hk/zh-tw/news/2020/06/sgs-hk-presented-the-first-privacy-information-management-system-iso-iec-27701-2019-certificate

▉然後，立陶宛是什麽?
NCSC(英国国家网路安全中心)> https://www.ncsc.gov.uk/
来自 https://stli.iii.org.tw/article-detail.aspx?no=83&tp=4&d=7725

成立於2016年11月1日的英国国家网路安全中心（NCSC）是英国网路安全的主责单位，且隶属於GCHQ之下；
NCSC融合并取代了CESG（GCHQ的资讯安全部门），网路评估中心（CCA），英国电脑紧急应变小组（CERT UK）
以及国家基础设施保护中心的网路相关责任 CPNI）。

▉需要参考新闻的话：
└09/23的新闻|小米手机有资安疑虑？NCC：可选资安检测合格产品
https://technews.tw/2021/09/23/ncc-smart-phone-pass-the-test/

笔记点：
资安检测分成3级(阿我三级的找不到?发生了什麽事XDDD")
1级检测是针对手机内建软件更新来源的资料传输对象要求要跟宣告表相符合，
2级检测要求手机内建软件开启的网路传输埠与宣告表相符合，负责检测的资安实验室对手机连接的服务器比对跟宣告表相同後，才会发出检测合格报告。
翁柏宗表示，建议民众依需求评估选购已通过资安检测的手机，NCC不会特别针对特定品牌来检视，但每年都会针对贩卖较好的数十款手机，定期做资安抽测并对外公告结果。
也会请手机制造商积极把手机提送资安检测，共同维护消费者权益。
根据NCC资料，目前智慧型手机资安检测，申请者除了取得智慧型手机资安审定证明外，也可以获得智慧型手机系统内建软件资安测试认证标章（ESS认证标章）。
标章上星星数量表示该款手机通过的资安检测等级，共分成3级。

报告还点名华为P40 5G手机，认为用户在华为应用商店引导下，可能接触到病毒应用，会有资安风险。
但报告也称，另一个大陆品牌一加5G手机并没有问题。
小米23日回应强调，公司设备没有对用户的通讯内容进行审查，也绝不会限制用户对手机软件的使用，
并强调小米完全符合欧盟一般资料保护规范（GDPR）。华为则回应，公司遵从各国法规及资安数据隐私，
数据不会在华为设备之外进行处理，华为应用商店的运作模式也与其他应用商店相同。

└09/24新闻：控预设审查功能 立陶宛点名小米
来自 https://wantrich.chinatimes.com/news/20210924S483270
综合陆媒23日报导，立陶宛国防部国家资安中心9月21日公布报告表示，发现小米的Mi 10T 5G手机内建内容审查软件，
会侦测如「解放西藏」、「台湾独立」、「民主运动」等词汇，该软件并可被远端遥控开启。
小米手机还向新加坡的服务器发送加密资讯，恐违反欧洲数据法规。

└09/26的新闻：立陶宛警告小米手机资安风险 德国展开调查
https://udn.com/news/story/6811/5773246

└09/27的新闻：遭立陶宛质疑资安风险 小米找专家评估手机审查功能
https://money.udn.com/money/story/5604/5775276

└09/28的新闻：立陶宛警告中制手机暗藏资安风险，小米驳：符合 GDPR 所有要求
https://technews.tw/2021/09/28/lithuanian-government-says-xiaomi-smartphones-have-security-risks/
小米认为营运符合 ISO / IEC 27001 资讯安全管理标准和 ISO / IEC 27701 隐私资讯管理体系要求。
从 2016 年起，小米也收到 TrustArc 每年一次企业隐私安全认证。这些都确保小米为终端使用者提供最大限度的隐私安全保护。

▉其他参考资料：
└PIMS是什麽 > 2018年的资料|个人资讯管理系统（PIMS）国际标准
https://ws.ndc.gov.tw/Download.ashx?u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvMC8xMTYxOS8zMmU3NmFlNC05M2E3LTQyNGItYjEyYi00YTQ1ZGNhNmMwY2YucGRm&n=5pyA5paw5YCL5Lq66LOH6KiK566h55CG57O757Wx77yIUElNU%2B%2B8ieWci%2Bmam%2Baomea6li5wZGY%3D&icon=..pdf

└一文读懂全新隐私信息管理国际标准ISO/IEC 27701:2019
https://www.sgsgroup.com.cn/zh-cn/news/2019/08/cbe-0816-isoiec27701-news

└英国国家网路安全中心释出漏洞揭露工具包
https://www.ithome.com.tw/news/140012
工具包提供了组织如何对安全研究人员揭露自家安全政策、漏洞揭露程序及联络窗口的说明范本，
也提供常见网站弱点如跨站指令码（XSS）漏洞的回应方式