ISO 29151
ISO 29151描述了可被普遍接受的个人可识别身份信息(PII)安全控制措施和风险处理指南,该标准基于ISO/IEC 27002的基本结构,将ISO/IEC 29100中的隐私原则予以对应,形成实用且针对性强的PII保护措施,供组织使用。
ISO 29151是个人信息保护的行为准则、是个人身份信息保护的实践指南,侧重于隐私技术。它主要是基于ISO 27002的各个域中加入了PII的实施指南,并引入了ISO 29100十一个隐私保护原则。
ISO 29151是基于ISO 29100信息技术-安全技术-保密框架标准族,适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
结合ISO29151标准要求,当组织或项目涉及以下情景时,需要PIA(隐私影响评估)的执行:
•开发或处理PII的信息系统进行重大改变时,应该进行PIA;
•任何新项目的启动都应触发阈值分析,以确定是否需要进行PIA;
•进行涉及PII资产和处理PII的所有系统的资产清单的建立、维护和更新时,需要参考PIA报告;
•开发和维护库存时,需要从PIAS中提取关于信息系统处理PII的信息元素;
•当组织正在处理PII,组织应该建立进行PIA所需的程序;
•为确保与PII处理相关的计划和服务符合隐私保护要求,组织应该执行PIA并实施所产生的隐私处理计划。
项目实施重点工作
