客服热线:021-8034****

iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制

  
很多企业对iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制都不是很了解,今天企业易就为大家简单介绍一下iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制,希望大家能对iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制有一个深入的了解.如果对iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制还有疑问,可查看更多内容.
iso29151与27701区别有什么,ISO29151中PII的使用、保留和披露限制

iso29151与27701区别有什么

ISO29151与27701区别有什么在了解ISO29151与27701区别以前,我们先了解什么叫ISO29151认证与ISO27701认证:

ISO29151:2017认证,是国际通行的个人身份信息保护指南,涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险,适用于任何对隐私保护有需求的组织,对开展个人身份信息保护提供了1个广泛的指南。

ISO27701认证是ISO27001和ISO27002在隐私信息管理方面的扩展,并在隐私保护方面提供了必要的额外要求。ISO 27701和ISO29151均作为隐私方面的标准相互补充,除此之外,ISO 27701附录中与ISO 29151进行了映射,并且加上怎样应用此标准的说明,对于想要整合多项标准和的组织而言有着非常好的参考意义。

ISO 27701是ISO27001和ISO 27002的延伸,侧重于隐私信息安全管理,ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念。

ISO27701是基于ISO2700信息安全管理体系标准族,适用于所有类型和规模的组织,包含公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。ISO 29151是基于ISO 29100信息技术-安全技术-保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包含处理PII的公共和私营公司、政府机构和非盈利组织。

ISO29151与ISO27701区别一 :企业怎样选择

ISO 27701是基于ISO2701信息安全管理体系标准族,适用于所有类型和规模的组织,包含公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII的控制者或处理者。ISO 29151是基于ISO 29100信息技术-安全技术-保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包含处理PII的公共和私营公司、政府机构和非盈利组织。

必须办理ISO27701认证与ISO29151认证的企业,能够联络老师。

ISO29151与ISO27701区别二:结构不同

ISO27701是ISO27001和ISO27002在隐私方面的扩展,并为隐私保护提供了除ISO 27001和ISO 27002之外的额外指导。标准通过第5章和第6章将ISO 27002与附加的PIMS控制项通过ISO 27001中PDCA的方式导入体系,形成完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。

ISO29151与ISO27701 区别三:侧重点不同

ISO 27701是ISO 27001和ISO 27002的延伸,侧重于隐私信息安全管理。ISO 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于ISO 27001和ISO 27002的各个领域,从管理体系的角度并遵循PDCA的理念。

ISO29151中PII的使用、保留和披露限制

ISO29151中 PII 的使用、保留和披露限制:

一、保护 PII 的实施指南

ISO29151标准要求组织应该:

a) 将 PII 的使用,保留和披露 (包含转让)限制在为实现特定,明确和合法目的必要的范围内;

b) 配置其信息系统,以记录:收集 ,创建、更新 PII 的日期、何时将 PII 删除、归档的时间。

二、使用 PII 的实施指南

ISO29151标准要求组织应该:

a) 当所述目的已经过期时,锁定(即归档,保护和免除进1步处理)任何 PII , 并满足适用法律的保留要求;

b) 使用适当的技术或方法确保安全删除或销毁 PII (包含原件,副本和存档记录);

c) 仅将 PII 用于在收集以前或收集时向 PII 主体商定披露的目的,并且在为任何新用途进行以前获得必要的同意;

d) 将外部组织对 PII 的访问权,限制在必要且已获得正式授权的范围内:假如业务确实必须访问,则应遵循适当的审批程序;

e) 确认被容许连接到本组织系统的外部系统在被容许连接以前已经实施了适当的保护措施;

f) 定期审查第三方实施的保障措施,以确保它们继续满足本组织的安全要求:假如由于此类审查而发现保障措施不足 ,应立即断开第三方的连接,直到已经恢复了适当的保障措施;

g) 当通过远程接口访问 PII 时,实施适当的访问认证机制: 记录 PII 访问的日志;

h) 利用安全监控待续收集 PII 的变更,应向公众提供警示。

三、保留 PII 的实施指南

ISO29151标准要求组织应该:

a) 仅保留授权时间段的 PII , 以履行通知中明确的目的或法律和组织的要求,并在保留期届满时立即删除 PII ;

b) 假如必须保留 PII 的时间超过特定商业目的所需时间,则应实施诸如去识别化等措施以保护 PII ;

c) 定义有时间限制的、适合于处理目的的 PII 保留期;

d) 确认信息系统能够检测到保留期限到期;

e) 确保实施商定的保留期限并根据保留期限处置 PII ;

f) 开发一种自动化功能,在其保留期限到期时删除 PII , 这种删除应立即发生或尽快实施;

g) PII 的存储形式(包含数据库字段或文本摘录)以及明确的风险,应该是“去标识的内容;

h) 根据待识别数据的形式(包含数据库和文本记录)和已明确的风险, 去识别化数据;

i) 假如数据不能被“去识别,则选择用千保护 PII 的工具(包含部分删除,哈希 ,密钥散列和索引)。

四、披露 PII 的实施指南

ISO29151标准要求组织应该:

a) 未经 PII 主体事先知情同意,不得将PII 披露给外部各方 ,除非相关法律容许此类披露:假如向必须了解的内部各方(例如员工)披露,则可能不必须 PII 主体的知情和同意;;

b) 在转让个人身份信息时提供强有力的保护机制,包含数据加密和完整性保护。

员工个人身份信息应按照适用的法律和法规、组织处置策略,适当 情况下需征得员工同意才能进行处置(即安全删除或存档) 。

免责声明
• 
本文仅代表作者个人观点,本站未对其内容进行核实,请读者仅做参考,如若文中涉及有违公德、触犯法律的内容,一经发现,立即删除,作者需自行承担相应责任。涉及到版权或其他问题,请及时联系我们