ISO29151认证

ISO29151认证介绍
处理个人身份信息(PII)的组织数量正在增加,这些组织处理的PII数量也在增加。同时,社会对个人识别信息和个人数据保护的期望也在提高。许多国家/地区正在加强其法律,以解决日益增长的高知名度数据泄露事件。
随着PII违规数量的增加,收集或处理PII的组织将越来越需要有关如何保护PII的指导,以减少发生隐私违规的风险,并减少违规对组织和有关个人的影响。本规范提供了此类指导。
本规范为PII控制器提供了广泛的信息安全和PII保护控制方面的指南,这些信息安全和PII保护控制通常用于处理PII保护的许多不同组织中。此处列出的ISO / IEC标准系列的其余部分为保护PII的整个过程的其他方面提供了指导或要求:
— ISO / IEC 27001规定了信息安全管理过程和相关要求,可以用作保护PII的基础。
— ISO / IEC 27002提供了组织信息安全标准和信息安全管理实践的指南,其中包括选择,实施和管理控制措施,同时考虑了组织的信息安全风险环境。
— ISO / IEC 27009规定了在任何特定部门(现场,应用领域或市场部门)使用ISO / IEC 27001的要求。它解释了如何包括除ISO / IEC 27001中的那些要求之外的其他要求,如何完善任何ISO / IEC 27001的要求以及如何在ISO / IEC 27001的附件A之外包括控件或控件集。
— ISO / IEC 27018为作为PII处理器的组织提供了将处理功能作为云服务提供指导。
— ISO / IEC 29134提供了识别,分析和评估隐私风险的准则,而ISO / IEC 27001和ISO / IEC 27005一起提供了识别,分析和评估安全风险的方法。
应基于风险分析确定的风险来选择控制措施,以开发出全面,一致的控制系统。控件应适应于PII特定处理的环境。
本规范包括两部分:1)主体,由条款1至18组成,以及2)规范性附件。此结构反映了针对ISO / IEC 27002的特定于行业的扩展的开发的常规做法。
本规范主体的结构(包括标题标题)反映了ISO / IEC 27002的主体。引言和第1至第4节提供了使用本规范的背景。条款5至18的标题与ISO / IEC 27002的标题相似,反映了以下事实:本规范以ISO / IEC 27002的指南为基础,增加了针对PII保护的新控件。ISO / IEC 27002中的许多控件在PII控制器的上下文中不需要放大。但是,在某些情况下,需要附加的实施指南,该指南在ISO / IEC 27002的适当标题(和条款编号)下给出。
规范性附录包含一组扩展的PII保护专用控件,以补充ISO / IEC 27002中给出的控件。这些新的PII保护控件及其相关指南分为12类,分别对应于隐私策略和ISO / IEC 29100的11项隐私原则:
—同意和选择;
—目的,合法性和规范;
—收集限制;
—数据最小化;
-使用,保留和披露限制;
—准确性和质量;
-公开,透明和公告;
-个人参与和访问;
-问责制;
—信息安全;和
—隐私合规性。
图1描述了此规范与ISO / IEC标准系列之间的关系。
图1 — 本规范与ISO / IEC标准系列的关系

本规范包括基于ISO / IEC 27002的指南,并根据需要对其进行调整,以解决由处理PII引起的隐私保护要求:
a)在不同的处理域中,例如:
—公共云服务,
—社交网络应用程序,
—家庭中的互联网连接设备,
—搜索,分析,
-针对广告和类似目的的个人识别信息,
-大数据分析计划,
-就业处理,
—销售和服务中的业务管理(企业资源计划,客户关系管理);
b)在不同的位置,例如:
—在提供给个人的个人处理平台(例如,智能卡,智能手机及其应用,智能电表,可穿戴设备)上,
—在数据传输和收集网络内(例如,通过网络处理在业务上创建移动电话位置数据的地方,在某些辖区可能将其视为PII),
—在组织自己的处理基础架构中,
—在第三方的处理平台上;
c)对于收集特性,例如:
—一次性数据收集(例如,在注册服务时),
–正在进行的数据收集(例如,通过人体上或体内的传感器进行的频繁健康参数监视,使用非接触式支付卡进行支付的多个数据收集,智能电表数据收集系统等)。
注—正在进行的数据收集可以包含或产生行为,位置和其他类型的PII。在这种情况下,需要考虑使用PII保护控件,该控件允许基于同意来管理访问和收集,并且允许PII主体对此类访问和收集进行适当的控制。

IATF16949培训 | 五大核心工具培训 | APQP培训 | PPAP培训 | SPC培训 | MSA培训 | FMEA培训 | GDT培训 | QFD培训 | DOE培训 | CQI培训 | VDA培训 | 班组长培训 | 8D培训 | RBA培训|