标准编号:ISO/IEC 29190:2015
发布日期:2015年8月31日
标准名称:Information technology — Security techniques — Privacy capability assessment model
标准名称:信息技术—安全技术—隐私能力评估模型
ISO/IEC 29190:2015主要用于评估企业具备的隐私能力级别,规定了隐私能力评估的关键功能区域(法律符合性、利益相关方期望、组织面临的风险),并将评估级别映射到企业的隐私模型。
ISO/IEC 29190:2015为组织提供了有关如何评估其管理与隐私相关的流程的能力的高级指导。
––规定评估过程以确定隐私能力的步骤,
––指定一组用于隐私能力评估的级别,
––就可以评估隐私能力的关键过程领域提供指导,
––为实施过程评估的人员提供指导,以及
––提供有关如何将隐私能力评估集成到组织运营中的指南。
ISO/IEC 29190:2015国际标准的目的是为组织提供有关如何评估其管理与隐私相关的过程的能力(能力)水平的高级指导。
ISO/IEC 29190:2015国际标准着重于评估组织所使用的隐私相关流程的效率和有效性的方法。
关于隐私管理需求问题的指南如下:
––尽管高级管理人员的各种活动最终可能都针对同一目标,但对高级管理人员制定和执行隐私策略有用的决策支持信息与对业务和业务部门人员有用的决策支持有所不同;
––可能有多个“隐私利益相关者”(即对组织的隐私管理方式感兴趣的各方)。
这些利益相关者可能会提出非常不同的要求,例如,受法律和法规合规性要求的驱使,还受到政策,行为准则,业务风险评估,审计结果等规定的相互关联的“良好做法”规定的驱使,声誉和/或财务要求和/或个人隐私偏好。
广泛的良好实践环境很重要,因为一个组织有可能履行其法律和法规合规性义务,并且如果它不能满足其他利益相关者的要求,仍然可能遭受重大损失。
对组织在这方面的能力的评估将需要满足以下主要标准:
––它需要向组织提供对适当的一个或多个管理级别有用的信息;
––它需要满足以下事实:“能力”需要在许多不同的领域(法律合规性,风险管理,声誉等)进行评估。
本国际标准针对负责指导,管理和操作组织的隐私管理功能的个人,或负责为相关利益相关者团体提供建议的个人。
因此,能力模型将考虑多种隐私利益相关者要求,并将为从企业战略家到运营和业务线经理的多个利益相关者提供指导。
ISO/IEC 29190:2015国际标准为如何在组织内建立能力评估计划提供了指导。
预计组织的管理层将需要使用定义用于评估其隐私能力的标准来应用迭代的增量改进过程。
一旦确定了基准评估,并商定了一组提高组织能力的目标,则将需要定期重复评估,以使组织以递增的方式达到组织期望的目标能力水平。
该国际标准指导组织实现几种不同类型的输出的生产:
––针对简单能力评估模型的总体“分数”;
––一套指标,指示对关键绩效指标的评估;
––隐私流程管理审核和管理实践(例如,根据数据保护标准和数据保管最佳实践进行的评估)的详细输出,用于提高这些特定领域的能力。
