ISO29151認證

ISO29151認證介紹
處理個人身份信息（PII）的組織數(shù)量正在增加，這些組織處理的PII數(shù)量也在增加。同時，社會對個人識別信息和個人數(shù)據(jù)保護的期望也在提高。許多國家/地區(qū)正在加強其法律，以解決日益增長的高知名度數(shù)據(jù)泄露事件。
隨著PII違規(guī)數(shù)量的增加，收集或處理PII的組織將越來越需要有關(guān)如何保護PII的指導(dǎo)，以減少發(fā)生隱私違規(guī)的風(fēng)險，并減少違規(guī)對組織和有關(guān)個人的影響。本規(guī)范提供了此類指導(dǎo)。
本規(guī)范為PII控制器提供了廣泛的信息安全和PII保護控制方面的指南，這些信息安全和PII保護控制通常用于處理PII保護的許多不同組織中。此處列出的ISO / IEC標(biāo)準(zhǔn)系列的其余部分為保護PII的整個過程的其他方面提供了指導(dǎo)或要求：
— ISO / IEC 27001規(guī)定了信息安全管理過程和相關(guān)要求，可以用作保護PII的基礎(chǔ)。
— ISO / IEC 27002提供了組織信息安全標(biāo)準(zhǔn)和信息安全管理實踐的指南，其中包括選擇，實施和管理控制措施，同時考慮了組織的信息安全風(fēng)險環(huán)境。
— ISO / IEC 27009規(guī)定了在任何特定部門（現(xiàn)場，應(yīng)用領(lǐng)域或市場部門）使用ISO / IEC 27001的要求。它解釋了如何包括除ISO / IEC 27001中的那些要求之外的其他要求，如何完善任何ISO / IEC 27001的要求以及如何在ISO / IEC 27001的附件A之外包括控件或控件集。
— ISO / IEC 27018為作為PII處理器的組織提供了將處理功能作為云服務(wù)提供指導(dǎo)。
— ISO / IEC 29134提供了識別，分析和評估隱私風(fēng)險的準(zhǔn)則，而ISO / IEC 27001和ISO / IEC 27005一起提供了識別，分析和評估安全風(fēng)險的方法。
應(yīng)基于風(fēng)險分析確定的風(fēng)險來選擇控制措施，以開發(fā)出全面，一致的控制系統(tǒng)。控件應(yīng)適應(yīng)于PII特定處理的環(huán)境。
本規(guī)范包括兩部分：1）主體，由條款1至18組成，以及2）規(guī)范性附件。此結(jié)構(gòu)反映了針對ISO / IEC 27002的特定于行業(yè)的擴展的開發(fā)的常規(guī)做法。
本規(guī)范主體的結(jié)構(gòu)（包括標(biāo)題標(biāo)題）反映了ISO / IEC 27002的主體。引言和第1至第4節(jié)提供了使用本規(guī)范的背景。條款5至18的標(biāo)題與ISO / IEC 27002的標(biāo)題相似，反映了以下事實：本規(guī)范以ISO / IEC 27002的指南為基礎(chǔ)，增加了針對PII保護的新控件。ISO / IEC 27002中的許多控件在PII控制器的上下文中不需要放大。但是，在某些情況下，需要附加的實施指南，該指南在ISO / IEC 27002的適當(dāng)標(biāo)題（和條款編號）下給出。
規(guī)范性附錄包含一組擴展的PII保護專用控件，以補充ISO / IEC 27002中給出的控件。這些新的PII保護控件及其相關(guān)指南分為12類，分別對應(yīng)于隱私策略和ISO / IEC 29100的11項隱私原則：
—同意和選擇；
—目的，合法性和規(guī)范；
—收集限制；
—數(shù)據(jù)最小化；
-使用，保留和披露限制；
—準(zhǔn)確性和質(zhì)量；
-公開，透明和公告；
-個人參與和訪問；
-問責(zé)制；
—信息安全；和
—隱私合規(guī)性。
圖1描述了此規(guī)范與ISO / IEC標(biāo)準(zhǔn)系列之間的關(guān)系。
圖1 — 本規(guī)范與ISO / IEC標(biāo)準(zhǔn)系列的關(guān)系

本規(guī)范包括基于ISO / IEC 27002的指南，并根據(jù)需要對其進行調(diào)整，以解決由處理PII引起的隱私保護要求：
a）在不同的處理域中，例如：
—公共云服務(wù)，
—社交網(wǎng)絡(luò)應(yīng)用程序，
—家庭中的互聯(lián)網(wǎng)連接設(shè)備，
—搜索，分析，
-針對廣告和類似目的的個人識別信息，
-大數(shù)據(jù)分析計劃，
-就業(yè)處理，
—銷售和服務(wù)中的業(yè)務(wù)管理（企業(yè)資源計劃，客戶關(guān)系管理）；
b）在不同的位置，例如：
—在提供給個人的個人處理平臺（例如，智能卡，智能手機及其應(yīng)用，智能電表，可穿戴設(shè)備）上，
—在數(shù)據(jù)傳輸和收集網(wǎng)絡(luò)內(nèi)（例如，通過網(wǎng)絡(luò)處理在業(yè)務(wù)上創(chuàng)建移動電話位置數(shù)據(jù)的地方，在某些轄區(qū)可能將其視為PII），
—在組織自己的處理基礎(chǔ)架構(gòu)中，
—在第三方的處理平臺上；
c）對于收集特性，例如：
—一次性數(shù)據(jù)收集（例如，在注冊服務(wù)時），
–正在進行的數(shù)據(jù)收集（例如，通過人體上或體內(nèi)的傳感器進行的頻繁健康參數(shù)監(jiān)視，使用非接觸式支付卡進行支付的多個數(shù)據(jù)收集，智能電表數(shù)據(jù)收集系統(tǒng)等）。
注—正在進行的數(shù)據(jù)收集可以包含或產(chǎn)生行為，位置和其他類型的PII。在這種情況下，需要考慮使用PII保護控件，該控件允許基于同意來管理訪問和收集，并且允許PII主體對此類訪問和收集進行適當(dāng)?shù)目刂啤?/p>