ISO29151認證

ISO29151認證

ISO29151認證介紹
處理個人身份信息（PII）的組織數(shù)量正在增加，這些組織處理的PII數(shù)量也在增加。同時，社會對個人識別信息和個人數(shù)據(jù)保護的期望也在提高。許多國家/地區(qū)正在加強其法律，以解決日益增長的高知名度數(shù)據(jù)泄露事件。
隨著PII違規(guī)數(shù)量的增加，收集或處理PII的組織將越來越需要有關如何保護PII的指導，以減少發(fā)生隱私違規(guī)的風險，并減少違規(guī)對組織和有關個人的影響。本規(guī)范提供了此類指導。
本規(guī)范為PII控制器提供了廣泛的信息安全和PII保護控制方面的指南，這些信息安全和PII保護控制通常用于處理PII保護的許多不同組織中。此處列出的ISO / IEC標準系列的其余部分為保護PII的整個過程的其他方面提供了指導或要求：
— ISO / IEC 27001規(guī)定了信息安全管理過程和相關要求，可以用作保護PII的基礎。
— ISO / IEC 27002提供了組織信息安全標準和信息安全管理實踐的指南，其中包括選擇，實施和管理控制措施，同時考慮了組織的信息安全風險環(huán)境。
— ISO / IEC 27009規(guī)定了在任何特定部門（現(xiàn)場，應用領域或市場部門）使用ISO / IEC 27001的要求。它解釋了如何包括除ISO / IEC 27001中的那些要求之外的其他要求，如何完善任何ISO / IEC 27001的要求以及如何在ISO / IEC 27001的附件A之外包括控件或控件集。
— ISO / IEC 27018為作為PII處理器的組織提供了將處理功能作為云服務提供指導。
— ISO / IEC 29134提供了識別，分析和評估隱私風險的準則，而ISO / IEC 27001和ISO / IEC 27005一起提供了識別，分析和評估安全風險的方法。
應基于風險分析確定的風險來選擇控制措施，以開發(fā)出全面，一致的控制系統(tǒng)。控件應適應于PII特定處理的環(huán)境。
本規(guī)范包括兩部分：1）主體，由條款1至18組成，以及2）規(guī)范性附件。此結(jié)構(gòu)反映了針對ISO / IEC 27002的特定于行業(yè)的擴展的開發(fā)的常規(guī)做法。
本規(guī)范主體的結(jié)構(gòu)（包括標題標題）反映了ISO / IEC 27002的主體。引言和第1至第4節(jié)提供了使用本規(guī)范的背景。條款5至18的標題與ISO / IEC 27002的標題相似，反映了以下事實：本規(guī)范以ISO / IEC 27002的指南為基礎，增加了針對PII保護的新控件。ISO / IEC 27002中的許多控件在PII控制器的上下文中不需要放大。但是，在某些情況下，需要附加的實施指南，該指南在ISO / IEC 27002的適當標題（和條款編號）下給出。
規(guī)范性附錄包含一組擴展的PII保護專用控件，以補充ISO / IEC 27002中給出的控件。這些新的PII保護控件及其相關指南分為12類，分別對應于隱私策略和ISO / IEC 29100的11項隱私原則：
—同意和選擇；
—目的，合法性和規(guī)范；
—收集限制；
—數(shù)據(jù)最小化；
-使用，保留和披露限制；
—準確性和質(zhì)量；
-公開，透明和公告；
-個人參與和訪問；
-問責制；
—信息安全；和
—隱私合規(guī)性。
圖1描述了此規(guī)范與ISO / IEC標準系列之間的關系。
圖1 — 本規(guī)范與ISO / IEC標準系列的關系

本規(guī)范包括基于ISO / IEC 27002的指南，并根據(jù)需要對其進行調(diào)整，以解決由處理PII引起的隱私保護要求：
a）在不同的處理域中，例如：
—公共云服務，
—社交網(wǎng)絡應用程序，
—家庭中的互聯(lián)網(wǎng)連接設備，
—搜索，分析，
-針對廣告和類似目的的個人識別信息，
-大數(shù)據(jù)分析計劃，
-就業(yè)處理，
—銷售和服務中的業(yè)務管理（企業(yè)資源計劃，客戶關系管理）；
b）在不同的位置，例如：
—在提供給個人的個人處理平臺（例如，智能卡，智能手機及其應用，智能電表，可穿戴設備）上，
—在數(shù)據(jù)傳輸和收集網(wǎng)絡內(nèi)（例如，通過網(wǎng)絡處理在業(yè)務上創(chuàng)建移動電話位置數(shù)據(jù)的地方，在某些轄區(qū)可能將其視為PII），
—在組織自己的處理基礎架構(gòu)中，
—在第三方的處理平臺上；
c）對于收集特性，例如：
—一次性數(shù)據(jù)收集（例如，在注冊服務時），
–正在進行的數(shù)據(jù)收集（例如，通過人體上或體內(nèi)的傳感器進行的頻繁健康參數(shù)監(jiān)視，使用非接觸式支付卡進行支付的多個數(shù)據(jù)收集，智能電表數(shù)據(jù)收集系統(tǒng)等）。
注—正在進行的數(shù)據(jù)收集可以包含或產(chǎn)生行為，位置和其他類型的PII。在這種情況下，需要考慮使用PII保護控件，該控件允許基于同意來管理訪問和收集，并且允許PII主體對此類訪問和收集進行適當?shù)目刂啤?/p>