隐私保护系列标准介绍ISO/IEC29134:2017隐私影响评估准则,隐私保护系列标准介绍ISO/IEC29190:2015隐私能力评估模型

隐私保护系列标准介绍ISO/IEC29134:2017隐私影响评估准则

标准编号：ISO/IEC 29134:2017

发布日期：2017年7月11日

标准名称：Information technology — Security techniques — Guidelines for privacy impact assessment

标准名称：信息技术—安全技术—隐私影响评估准则

ISO/IEC 29134:2017介绍了隐私影响评估的基本方法，隐私影响评估是组织或第三方实施隐私风险管理的重要手段，有别于传统的安全风险评估，既必须考虑PII处理过程的合规性，又必须结合处理PII的信息系统安全状态，综合评价对数据主体隐私产生的影响。 

ISO/IEC 29134:2017给出了有关

––有关隐私影响评估的过程，以及

––PIA报告的结构和内容。

它适用于所有类型和规模的组织，包含上市公司，私人公司，政府实体和非营利组织。

隐私保护系列标准介绍ISO/IEC29190:2015隐私能力评估模型

标准编号：ISO/IEC 29190:2015

发布日期：2015年8月31日

标准名称：Information technology — Security techniques — Privacy capability assessment model

标准名称：信息技术—安全技术—隐私能力评估模型

ISO/IEC 29190:2015主要用于评估企业具备的隐私能力级别，规定了隐私能力评估的关键功能区域（法律符合性、利益相关方期望、组织面临的风险），并将评估级别映射到企业的隐私模型。

ISO/IEC 29190:2015为组织提供了有关怎样评估其管理与隐私相关的流程的能力的高级指导。

––规定评估过程以明确隐私能力的步骤，

––指定一组用于隐私能力评估的级别，

––就能够评估隐私能力的关键过程领域提供指导，

––为实施过程评估的人员提供指导，以及

––提供有关怎样将隐私能力评估集成到组织运营中的指南。

ISO/IEC 29190:2015国际标准的目的是为组织提供有关怎样评估其管理与隐私相关的过程的能力（能力）水平的高级指导。

ISO/IEC 29190:2015国际标准着重于评估组织所使用的隐私相关流程的效率和有效性的方法。

关于隐私管理需求问题的指南如下：

––尽管高级管理人员的各种活动最终可能都针对同一目标，但对高级管理人员制定和执行隐私策略有用的决策支持信息与对业务和业务部门人员有用的决策支持有所不同；

––可能有多个“隐私利益相关者（即对组织的隐私管理方式感兴趣的各方）。

这些利益相关者可能会提出非常不同的要求，例如，受法律和法规合规性要求的驱使，还受到政策，行为准则，业务风险评估，审计结果等规定的相互关联的“良好做法规定的驱使，声誉和/或财务要求和/或个人隐私偏好。

广泛的良好实践环境很重要，由于1个组织有可能履行其法律和法规合规性义务，并且假如它不能满足其他利益相关者的要求，仍然可能遭受重大损失。

对组织在这方面的能力的评估将必须满足以下主要标准：

––它必须向组织提供对适当的1个或多个管理级别有用的信息；

––它必须满足以下事实：“能力必须在许多不同的领域（法律合规性，风险管理，声誉等）进行评估。

本国际标准针对负责指导，管理和操作组织的隐私管理功能的个人，或负责为相关利益相关者团体提供建议的个人。

因此，能力模型将考虑多种隐私利益相关者要求，并将为从企业战略家到运营和业务线经理的多个利益相关者提供指导。

ISO/IEC 29190:2015国际标准为怎样在组织内建立能力评估计划提供了指导。

预计组织的管理层将必须使用定义用于评估其隐私能力的标准来应用迭代的增量改进过程。

一旦明确了基准评估，并商定了一组提高组织能力的目标，则将必须定期重复评估，以使组织以递增的方式达到组织期望的目标能力水平。

该国际标准指导组织实现几种不同类型的输出的生产：

––针对简单能力评估模型的总体“分数；

––一套指标，指示对关键绩效指标的评估；

––隐私流程管理审核和管理实践（例如，根据数据保护标准和数据保管最佳实践进行的评估）的详细输出，用于提高这些特定领域的能力。