ISO29151标准中PII的信息安全角色和职责
ISO29151标准中PII的信息安全角色和职责:
ISO29151标准要求必须明确规定保护个人身份信息的角色和责任,并妥善记录并传达以下要求:
a) 组织应分配高级管理成员[有时称为首席隐私官( CPO )] 对 PII 承担保护的责任;
b) 应明确指明 ,每个角色担当的PII保护职能,负责与组织内的信息安全职能进行协调;
c) 参与 PII 处理的所有人(包含用户和支待人员)应在其工作指南中包含适当的 PII 保护要求。
己建立的 PII 保护功能应与处理 PII 的其他功能(信息安全功能)密切协作, ISO29151标准要求包含:
--由 PII 保护相关法规法引起的安全要求;
--协助解释法律法规和合同条款的功能;
--处理数据泄露。
该组织应审查是否必须并酌情建立跨职能的委员会,或由处理 PII 职能的高级成员组成的委员会。
PII 的保护是1个多学科的职能,这样的委员会能够协助主动发现改进机会, 识别 PIA 的新风险和领域,制定预防措施, 检测违规行为并采取纠正措施等。
建议小组应定期开会,并由:a) 中明确的负责 PII 保护的人担任负责人。
PII 控制者应要求其 PII 处理者指定1个联络点,以解决合同下有关 PII 的处理问题。
负有 PII 保护职能的人应向 CPO 报告,以确保他们有足够的权力履行其职责。
ISO29151标准中PII的信息分类
ISO29151标准中PII的信息分类:
ISO29151标准要求组织应使用现有的或新创建的分类类别,对包含 PII 的所有信息进行分类。
新的分类类别应包含但不限于常规的分类,如敏感和不敏感的 PII。
分类方案还能够包含更具体的类别,例如:个人健康信息 (PHI) , 个人财务信息 (PFI) 。
假如组织创建新的分类类别,那么应该定义对这些分类的保护级别。实际使用的类别还应取决于相关数据保护立法和法规中规定的要求,合同的义务,信息的性质和敏感性以及可能出现的危害风险、违规事件。
ISO29151标准要求根据适用的个人信息安全保护法律, PII 可能在某个国家被分类为不敏感而在其他地方可能被视为敏感的情况发生。
当与1个或多个附加属性相关联时, 应制定适当的指导方针和程序重新评估和修改 PII 元素的分类 。