ISO29151标准中对PII的保护要求
ISO29151标准中对PII的保护要求:
a) 与保护个人身份信息有关的法律,法定,监管当局和合同要求包含:组织、贸易伙伴 ,承包商、服务提供商必须遵守的PII 要求
b) 风险评估
组织的总体业务战略和目标,对组织和PII 主体的风险(即安全风险和隐私风险) 进行评估;
c) 公司策略
组织也能够自愿选择超越以前要求所产生的制度。
组织还应该考虑为支待其运营而开发的PII 的目标和业务需求的原则(即1S0 /IEC 29100中定义的隐私原则) 。
应根据风险评估选择PII 保护控制措施(包含安全控制措施) 。
隐私影响评估 (PIA ) 的结果 (1S0 /IEC 29134 中规定的)有助于指导和明确适当的纠正措施和优先级,以管理 PII 的风险,并实施所选择的控制以防范这些风险。
1S0 /IEC 29134 可提供PIA 指导,包含:风险评估、风险处理计划、风险接受的建议。
ISO29151标准中对PII的生命周期考虑
ISO29151标准中对PII的生命周期考虑:
PII 具有自然的生命周期,从创建,收集 ,存储,使用和转移到最终处置(如安全销毁)。
PII 的价值和风险在其生命周期中可能会有所不同,但 PII 的保护适用千其生命周期的所有阶段和所有环境。
信息系统也具有生命周期,在这些生命周期中,它们被构思指定,设计,开发,测试, 实施,使用,维护,最终从服务中退出并被处置, 在信息系统的每1个阶段都应该考虑 PII 保护。
新的系统开发和对现有系统的变更都为组织提供更新和改进安全控制的机会;事件,当前和预计的信息安全和隐私风险,也应被当做输入考虑在内 。