ISO/IEC 29151-2017《个人身份信息保护实践指南》
ISO/IEC 29151-2017《个人身份信息保护实践指南》标准制定了控制目标,控制措施和指导方针以满足与保护个人身份信息(PII) 有关的风险评估和隐私影响评估所确定的要求。ISO/IEC 29151-2017《个人身份信息保护实践指南》标准基于ISO/IEC 27002的指导原则,考虑了组织在信息安全风险环境中可能适用的处理PII的要求。
PII保护要求有三个主要来源:
— 与保护个人身份信息有关的法律,法定,监管当局和合同要求
包括:组织、贸易伙伴,承包商、服务提供商必须遵守的PII要求;
— 风险评估
组织的总体业务战略和目标,对组织和PII主体的风险(即安全风险和隐私风险)进行评估;
— 公司策略
组织也可以自愿选择超越以前要求所产生的制度。
ISO/IEC 29151-2017《个人身份信息保护实践指南》标准适用于所有类型和规模的作为PII控制者的组织(如ISO/IEC29100所定义),包括公共和私营公司,政府实体和处理PII的非营利组织。