ISO29151标准中对PII信息安全事件的管理

ISO29151标准要求组织应对隐私事件的有组织、有效的回应。因此，组织应该制定和实施隐私事件响应计划。 ISO29151标准要求组织隐私事件响应计划应包括： a)隐私事件的定义和隐私事件 响应的范围； b)建立一个跨部门的隐私事件响应团队，开发，实施，测试，执行和审查隐私事件应对计划（该计划的批准应由组织内的高级管理人员决定）； c)为隐私事件响应团队的所有成员明确规

ISO29151标准中PII供应商关系的信息安全策略

ISO29151标准要求如果组织需要利用 PII处理服务，对PII处理者，应根据经验、可信度、符合适用法律法规、合同、其他法律协议规定的PII保护要求的能力进行评估。 作为PII控制者的组织应与任何作为PII处理者的供应商签订书面协议。 ISO29151标准要求协议应明确分配PII控制者和PII处理者之间的角色和责任,并应包含与PII保护相关的适当条款 ，以便PII处理者对所执行的处理负责。 PII控

ISO29151标准中PII的资产清单

ISO29151标准要求组织应使用IS029134的PIA报告所提供的信息，建立、维护和更新资产清单。 应包括PII资产和处理PII的所有系统。 ISO29151标准要求当开发和维护时,组织应该从PIAS中提取关于信息系统处理PII的下列信息元素： a)PII识别系统的名称、首字母缩略词； b)这些系统处理的PII类型； c)个人身份信息的分类, 既作为单独的信息元素,又被组合在这些信息系统中； d)任何违反PII的潜在

ISO29151标准中PII的信息分类

ISO29151标准要求组织应使用现有的或新创建的分类类别，对包含PII的所有信息进行分类。 新的分类类别应包括但不限于常规的分类，如敏感和不敏感的PII。 分类方案还可以包括更具体的类别,例如：个人健康信息 (PHI),个人财务信息 (PFI)。 如果组织创建新的分类类别，那么应该定义对这些分类的保护级别。实际使用的类别还应取决于相关数据保护立法和法规中规定的要求，合同的

ISO29151标准中PII的信息安全角色和职责

ISO29151标准要求需要明确规定保护个人身份信息的角色和责任，并妥善记录并传达以下要求： a)组织应分配高级管理成员［有时称为首席隐私官( CPO )]对PII承担保护的责任； b)应明确指明,每个角色担当的PII保护职能，负责与组织内的信息安全职能进行协调； c)参与PII处理的所有人（包括用户和支待人员）应在其工作指南中包含适当的PII保护要求。 己建立的PII保护功能应与处理PI

ISO29151标准认证的适用范围

一、ISO29151在不同处理领域的应用： a)公共云服务， b)社交网络应用程序， c)家用互联网连接设备， d)搜索，分析， e)将PII作为广告和类似目的用途的使用， f)大数据分析， g)就业处理， h)销售和服务业务管理 （企业资源规划，客户关系管理） ； 二、ISO29151在不同场合的应用： a)为个人提供的个人处理平台上（如智能卡，智能手机及其应用程序，智能电表，可穿戴设备）， b)在