ISO29151标准目的指南

目标 ：在不迟于收集个人身份信息时指出收集个人身份信息的目的，并限制后续使用以达到 原始目的。 控制 组织应该与他们将要收集的PII主体沟通，明确收集、处理PII的目的。这样的通信应 该在PII被收集之前。 保护PII的实施指南 组织应在收集或首次使用信息之前向PII主体传达目的，使用本指南的语言要既清楚又 适合于具体情况，并在处理敏感的PII时给出充分的解释。 通常，

ISO29151标准目的合法性

目标： 确保处理PII的目的符合适用法律，并依赖于可允许的法律依据。 控制 组织应采取适当措施确保PII处理符合适用法律并依赖于可允许的法律依据。 保护PII的实施指南 组织应该： a）提出的处理是基于法律基础（例如，执法、公共安全、法律义务或PII主体的合法 利益）的同意进行的; b）确定拟处理过程是否受法律（例如执法，公共安全或法律义务）的约束，该法律禁 止PI

ISO29151标准PII类型处理的选择

目标 ：在适当和可行的情况下，向PII主体提供：不允许控制者处理PII、拒绝、撤回同意、反对特定类型处理的选择；并向PII主体解释，授予或拒绝同意的含义。 控制 组织应向PII主体提供清晰，突出，易于理解，可访问和负担得起的机制，以便主体行选择权，但PII主体不能自由同意，或适用法律明确允许在未经PII委托人同意的情况下处理PII除外。 保护PII的实施指南 a）确保PII主体

ISO27040标准授权和访问控制措施

一、条款、目标、控制措施 应在存储技术中实现和使用以下角色： -安全管理员-此角色具有查看和修改权限，以建立和管理帐户、创建和关联角色/权限、审核日志配置和内容（审核日志事件项永远不能更改）、与IT基础结构建立信任关系、管理证书和密钥存储，以管理加密和密钥管理，并设置访问控制。 -存储管理员-此角色具有查看和修改存储系统所有方面的权限。未授予对安

ISO27040标准中认证控制措施

一、条款、目标、控制措施 A、所有用户应具有唯一标识符（用户ID），仅供个人使用； B、应选择适当的身份验证技术，通过使用以下方法证实用户的声明身份： 强密码（增加最小字符数、增加复杂性等），使用时间缩短； 强身份验证（例如，质询响应协议）；或 多因素身份验证，例如生物测定数据（如指纹验证、签名验证）和硬件令牌（如智能卡）的使用。 C、对于所有远程

ISO27040标准中小企业/CIFS 控制措施

一、条款、目标、控制措施 A、使用SMB协议的更高版本； B、关闭低安全性会话协商协议， C、保持最新的补丁级别； D、使用SMB签名； E、安全维护活动目录（AD）服务； F、尽可能使用单向信任，从叶域到父域； G、通过以下方式控制SMB/CIFS网络访问和协议 仅在需要时启用SMB/CIFS 必要时加密客户端数据访问。 二、企业要做的内容 1. 准备《网络连接存储（NAS）安全策略》 2. 准备《