ISO29151标准中PII信息安全事件管理,ISO29151标准中对PII的保护要求

ISO29151标准中PII信息安全事件管理

ISO29151标准中PII信息安全事件管理：

ISO29151标准要求组织应对隐私事件的有组织、有效的回应。 因此，组织应该制定和实施隐私事件响应计划。

ISO29151标准要求组织隐私事件响应计划应包含：

a) 隐私事件的定义和隐私事件 响应的范围；

b) 建立1个跨部门的隐私事件响应团队，开发，实施，测试，执行和审查隐私事件应对计划（该计划的批准应由组织内的高级管理人员决定）；

c) 为隐私事件响应团队的所有成员明确规定角色，职责和权限；

d) 在发生跨境事件时，依据国内、国际法规，澄清与外部各自组织承担的流程；

组织隐私事件响应计划应包含：

e) 根据组织事件 ，确保所有受内部隐私政策影响的人（例如，员工，承包商） 及时向信息安全官员和负责 PII 保护的人（有时称为CPO ) 进行快速报告的流程；

f) 评估事故影响，以明确受影响的人、组织的，任何潜在或实际危害的性质、程度；

g) 明确需 要采取的措施来 减轻上述危害并减少危害的过程以防止复发；

h) 明确通知受影响的人，其他指定实体的流程。该通知的时间、形式，以及在什么样的情况下发出通知。

ISO29151标准要求组织能够选择将他们的隐私事件响应计划与他们的安全事件响应计划进行整合，也可将它们分开。 作为其信息安全事件管理流程的一部分，信息安全事件应引发 PII 控制者进行审查，以明确是否发生了涉及 PII 的数据泄露事件。

信息安全事件可能包含但不限于：对防火墙或边缘服务器的 ping 攻击，其他广播攻击，端口扫描，登录尝试，拒绝服务攻击， 数据包嗅探。 信息安全事件不一定会导致 PII 的处置设备设施产生可能的或实际的损害。

ISO29151标准要求当 PII 受到损害时，PII 所有者的权益可能不能立即得到保护。司法管辖区可能会对报告或通知提出具体要求（例如，在立法或条例中）。当发生涉及 PII 的安全事件（例如，未经授权的处理、违反合同）， 事件的细节，包含组织的建议响应（可能遭受披露），应尽快通知有关当局。当局包含数据保护责任人、执法机构、受事件影响的人。

假如发生隐私违规，组织应向受影响的 PII 所有者提供适当和有效的补救措施，例如更正或删除不正确的信息。

ISO29151标准中对PII的保护要求

ISO29151标准中对PII的保护要求：

a) 与保护个人身份信息有关的法律，法定，监管当局和合同要求包含：组织、贸易伙伴 ，承包商、服务提供商必须遵守的PII 要求

b) 风险评估

组织的总体业务战略和目标，对组织和PII 主体的风险（即安全风险和隐私风险） 进行评估；

c) 公司策略

组织也能够自愿选择超越以前要求所产生的制度。

组织还应该考虑为支待其运营而开发的PII 的目标和业务需求的原则（即1S0 /IEC 29100中定义的隐私原则） 。

应根据风险评估选择PII 保护控制措施（包含安全控制措施） 。

隐私影响评估 (PIA ) 的结果 (1S0 /IEC 29134 中规定的）有助于指导和明确适当的纠正措施和优先级，以管理 PII 的风险，并实施所选择的控制以防范这些风险。

1S0 /IEC 29134 可提供PIA 指导，包含：风险评估、风险处理计划、风险接受的建议。