通过ISO29151的经验、心得

通过ISO29151的体系认证准备，总结下来有以下两点心得体会： （一）明确组织PII角色，选用合适的控制措施 审核老师在初审时首先就会询问我们，贵公司是PII信息的控制者还是处理者？ 对于这个问题的判断直接影响着适用性声明中相关控制措施的选择和描述。事实上，收集个人信息的并不一定就是PII控制者。PII控制者是决定PII处理目的和方法的利益相关方。PII处理者则是代表

ISO29151中PII的使用、保留和披露限制

一、保护PII的实施指南 ISO29151标准要求组织应该： a)将PII的使用，保留和披露（包括转让）限制在为实现特定，明确和合法目的必要的范围内； b)配置其信息系统,以记录：收集,创建、更新PII的日期、何时将PII删除、归档的时间。 二、使用PII的实施指南 ISO29151标准要求组织应该： a)当所述目的已经过期时，锁定（即归档，保护和免除进一步处理）任何PII,并满足适用法律的保留要

ISO29151个人可识别信息安全认证

ISO29151认证建立了控制目标，控制措施和实施控制措施的指南，以满足与保护个人可识别信息安全有关的风险和影响评估所确定的要求。 ISO29151认证进一步指定了基于ISO27002的准则，重点是与PII保护相关的控制。ISO29151标准认证适用于PII控制器，并创建了满足与PII相关的风险和影响评估所确定的行为准则，从而完善了ISO29100（隐私框架）和ISO29134（隐私影响评估）创建的框架。 ISO

ISO29151中使用和保护PII的一般策略

ISO29151标准要求隐私策略应包括:支待和承诺遵守适用的PII保护法规、合同要求，其他声明的内部策略（单独的隐私策略或对现有策略的补充）。 ISO29151标准要求隐私和安全策略的主题可能不相互覆盖，尽管它们密切相关。信息安全策略和隐私策略都应涉及信息的CIA:保密性,完整性和可用性，此外隐私策略还应涉及诸如同意和个人访问等主题。 ISO/IEC29100为实施隐私框架提供指导。

ISO29151中PII信息收集的限制

关于PII信息的收集,ISO29151标准要求组织应该： a)将PII的收集范围限制为通知所述目所确定的最小元素,且PII主体已经同意； b)不收集敏感的PII,除非收集敏感的PII得到合法授权或获得同意； c)限制间接的从PII主体收集的信息量（例如，通过网络日志，系统日志）。 组织应确定处理PII的目的，确定实现该目的所需的PII,确定不需要收集的信息，并确认仅收集基本信息。 在继续收集之前

ISO29151标准中PII数据最小化原则

a)确保采用需要知道的原则，只有在PII处理的合法目的框架内，才可获得职责所必需的PII的访问权； b)使用和提供默认选项时 ，尽可能不包含PII主体的身份； c)限制PII收集的可联系性； d)对组织保留的个人身份信息进行初步评估，并制定、遵循定期对其进行审查的时间表，以确保仅收集通知中确定的个人身份信息，并且仅限于为了达成业务目的，有必要继续使用； e)将包含PII的电