ISO29151中PII的使用、保留和披露限制

一、保护PII的实施指南 ISO29151标准要求组织应该： a)将PII的使用，保留和披露（包括转让）限制在为实现特定，明确和合法目的必要的范围内； b)配置其信息系统,以记录：收集,创建、更新PII的日期、何时将PII删除、归档的时间。 二、使用PII的实施指南 ISO29151标准要求组织应该： a)当所述目的已经过期时，锁定（即归档，保护和免除进一步处理）任何PII,并满足适用法律的保留要

ISO29151个人可识别信息安全认证

ISO29151认证建立了控制目标，控制措施和实施控制措施的指南，以满足与保护个人可识别信息安全有关的风险和影响评估所确定的要求。 ISO29151认证进一步指定了基于ISO27002的准则，重点是与PII保护相关的控制。ISO29151标准认证适用于PII控制器，并创建了满足与PII相关的风险和影响评估所确定的行为准则，从而完善了ISO29100（隐私框架）和ISO29134（隐私影响评估）创建的框架。 ISO

ISO27701在体系实施层面的优越性

ISO/IEC27701:2019标准的价值在于集大成，该标准直接沿用或优化了大量ISO/IEC27018、ISO/IEC29151条款，又加入了来自GDPR的元素，在ISO/IEC27701:2019附录中还将本标准与GDPR、ISO/IEC29100、ISO/IEC27018及ISO/IEC29151进行了映射。 然而ISO/IEC27701:2019并没有尝试去完全覆盖任何一部已有的标准，ISO/IEC27018、ISO/IEC29151作为隐私管理方面指南性标准，各有侧重，在某些条款上，与ISO/IEC27701标准的指南部分形成

ISO27701在法律符合性层面的优势

ISO/IEC27701:2019是一部兼顾不同国家地区法规要求的标准，ISO/IEC27701:2019无法完全符合GDPR作为欧盟法规的细节性要求（例如：发现Data Breach之后72小时上报监管机构、DPIA评估之后无法有效降低高风险时应在处理前向监管机构咨询等），但在隐私原则、数据主体权利方面，与GDPR几乎是吻合的。 对于面向欧盟客户（不论是To B还是To C）开展个人数据处理业务的组织，如果希望更好的证明

ISO27701在隐私合规治理和体系架构层面的优势

1.在利益相关方之间提供隐私保护与合规的透明度； 2.展现企业的数据隐私道德； 3.有助于增强组织与组织之间、组织与个人之间的信任； 4.提供更具协作性的方法，帮助组织贯彻隐私保护的责任； 5.通过更有效的业务协议，明确组织与组织之间、组织与个人之间的责任模型； 6.通过更清晰的角色和职责，落实组织内部的隐私信息管理工作； 7.通过与ISO/IEC27001相结合，减少管理体

已通过ISO27001认证,希望实现ISO27701的组织可参考以下步骤

1.按照ISO27701的要求对现有ISMS执行漏洞评估，生成如何解决这些漏洞的行动计划。 2.对组织机构收集的PII执行数据映射,了解所收集PII的范围，弄清处理者共享和使用PII的方式。 3.依据上下文相关的内部或外部因素，比如适用的隐私立法、规定、司法判决或合同要求等，确定组织机构作为控制者和/或处理者的角色。 4.审核并更新隐私政策，确保含有所要求的信息。 5.制定适用于该