ISO27001認證
熱線:
Q Q:ISO/IEC 29151標準中PII的信息安全要求
發(fā)布時間:2020-06-19 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
ISO/IEC 29151標準要求需要明確規(guī)定保護個人身份信息的角色和責(zé)任,并妥善記錄并傳達以下要求:
a) 組織應(yīng)分配高級管理成員[有時稱為首席隱私官( CPO )] 對 PII 承擔(dān)保護的責(zé)任;
b) 應(yīng)明確指明 ,每個角色擔(dān)當?shù)腜II保護職能,負責(zé)與組織內(nèi)的信息安全職能進行協(xié)調(diào);
c) 參與 PII 處理的所有人(包括用戶和支待人員)應(yīng)在其工作指南中包含適當?shù)?PII 保護要求。
己建立的 PII 保護功能應(yīng)與處理 PII 的其他功能(信息安全功能)密切協(xié)作, ISO/IEC 29151標準要求包括:
--由 PII 保護相關(guān)法規(guī)法引起的安全要求;
--協(xié)助解釋法律法規(guī)和合同條款的功能;
--處理數(shù)據(jù)泄露。
該組織應(yīng)審查是否需要并酌情建立跨職能的委員會,或由處理 PII 職能的高級成員組成的委員會。
PII 的保護是一個多學(xué)科的職能,這樣的委員會可以幫助主動發(fā)現(xiàn)改進機會, 識別 PIA 的新風(fēng)險和領(lǐng)域,制定預(yù)防措施, 檢測違規(guī)行為并采取糾正措施等。
建議小組應(yīng)定期開會,并由:a) 中確定的負責(zé) PII 保護的人擔(dān)任負責(zé)人。
PII 控制者應(yīng)要求其 PII 處理者指定一個聯(lián)系點,以解決合同下有關(guān) PII 的處理問題。
有 PII 保護職能的人應(yīng)向 CPO 報告,以確保他們有足夠的權(quán)力履行其職責(zé)。
