ISO29151标准中对PII的生命周期考虑
ISO29151标准中对PII的生命周期考虑:
PII 具有自然的生命周期,从创建,收集 ,存储,使用和转移到最终处置(如安全销毁)。
PII 的价值和风险在其生命周期中可能会有所不同,但 PII 的保护适用千其生命周期的所有阶段和所有环境。
信息系统也具有生命周期,在这些生命周期中,它们被构思指定,设计,开发,测试, 实施,使用,维护,最终从服务中退出并被处置, 在信息系统的每1个阶段都应该考虑 PII 保护。
新的系统开发和对现有系统的变更都为组织提供更新和改进安全控制的机会;事件,当前和预计的信息安全和隐私风险,也应被当做输入考虑在内 。
ISO29151个人可识别信息安全认证
ISO29151认证建立了控制目标,控制措施和实施控制措施的指南,以满足与保护个人可识别信息安全有关的风险和影响评估所明确的要求。
ISO29151认证进1步指定了基于ISO27002的准则,重点是与PII保护相关的控制。 ISO29151标准认证适用于PII控制器,并创建了满足与PII相关的风险和影响评估所明确的行为准则,从而完善了ISO29100(隐私框架)和ISO29134(隐私影响评估)创建的框架。
ISO29151认证规范反映了ISO27002,增加了为保护PII而量身定制的新附录,或者指定了ISO27002附录何时足够的方法,同时还提供了实施准则。 按照ISO29100的框架,附录分为12类:
同意和选择;
目的,合法性和规范;
收集限制;
数据最小化
使用,保留和披露限制;
准确性和质量;
公开,透明和注意;
个人参与和访问;
问责制;
信息安全;
隐私合规性。