ISO/IEC29151标准补救和参与

ISO/IEC29151 标准补救和参与 目标 对披露个人数据的PII处理者和第三方提供修改，更正或删除。 控制 除非相关立法或法规禁止，组织应采取适当措施，为PII主体提供纠正，修改或删除组 织维护的PIIo组织还应建立一种机制，通过该机制将任何更正，修改或删除通知PII处理 者，并尽可能通知披露个人身份信息的第三方。 保护PII的实施指南 组织应该： a） 确保委托人总是可以行使纠

ISO/IEC29151标准主体访问

ISO/IEC29151 标准主体访问 目标 为PII主体提供访问和审核其PII的能力，并对其准确性和完整性提出质疑。 控制 各组织应采取适当措施，为PII主体提供访问其PII的能力，并获得PII的更正或删除. 保护PII的实施指南 组织应该： a） 在适用法律允许的情况下，类似于最初收集PII的方法（例如通过邮件或电子邮件）， 采用PII主体可以理解和接受的形式，使得个人应该能够及时行使这一访问

ISO/IEC27040标准安全域

ISO/IEC27040 标准安全域 一、条款、目标、控制措施 A.在使用安全域时考虑数据敏感性； B.不同敏感度的存储和存储网络应位于不同的安全域中； C.为外部网络（如因特网）提供服务的设备和计算机系统应位于不同的域，而不是内部网络设备和计算机系统； D.战略资产应位于专用安全域； E.不受信任的设备和计算机系统应具有对存储资产的有限或无访问权限； G.用于不同目的（如开

ISO/IEC27040标准纵深防御

ISO/IEC27040 标准纵深防御 一、条款、目标、控制措施 a)确保平衡地关注三个主要要素：人员、技术和运营； b)贯彻有效的信息保证政策和程序，分配角色和责任，投入资源，培训关键人员，以及个人责任； c)在多个位置部署保护机制，以抵御所有类型的攻击； d)在潜在对手和目标之间部署多个防御机制（分层）； e)包括检测和保护机制； f)部署强大的密钥管理和公钥基础设施（

ISO/IEC27040标准数据缩减

ISO/IEC27040 标准数据缩减 一、条款、目标、控制措施 数据缩减技术本身并不代表安全机制。但是，它们的存在可能会受到存储安全活动的影响： a) 当加密与压缩一起使用时，应在加密之前应用压缩，因为密文不能有效地压缩；相反的顺序应在另一端使用（即解密后展开）。 b) 当加密与重复数据消除一起使用时，应在加密之前应用重复数据消除，因为重复数据消除通常对密文无效

ISO/IEC29151标准公开性和透明度

ISO/IEC29151 标准公开性和透明度 目标 向PII主体提供关于PII控制人清晰且易于获取的策略信息，有关处理PII的程序和 做法。 控制 组织应实施适当的措施，向PII主体提供有关PII处理的策略，程序和实践的适当信息。 保护PII的实施指南 组织应该： a）向PII主体提供关于PII控制方有关策略，程序和实践的清晰且易于获取的信息； b）披露PII控制方为了限制，访问，纠正，删除其信息，而