ISO29151标准中PII的信息分类

ISO29151标准要求组织应使用现有的或新创建的分类类别，对包含PII的所有信息进行分类。 新的分类类别应包括但不限于常规的分类，如敏感和不敏感的PII。 分类方案还可以包括更具体的类别,例如：个人健康信息 (PHI),个人财务信息 (PFI)。 如果组织创建新的分类类别，那么应该定义对这些分类的保护级别。实际使用的类别还应取决于相关数据保护立法和法规中规定的要求，合同的

ISO29151标准中PII的信息安全角色和职责

ISO29151标准要求需要明确规定保护个人身份信息的角色和责任，并妥善记录并传达以下要求： a)组织应分配高级管理成员［有时称为首席隐私官( CPO )]对PII承担保护的责任； b)应明确指明,每个角色担当的PII保护职能，负责与组织内的信息安全职能进行协调； c)参与PII处理的所有人（包括用户和支待人员）应在其工作指南中包含适当的PII保护要求。 己建立的PII保护功能应与处理PI

ISO29151标准认证的适用范围

一、ISO29151在不同处理领域的应用： a)公共云服务， b)社交网络应用程序， c)家用互联网连接设备， d)搜索，分析， e)将PII作为广告和类似目的用途的使用， f)大数据分析， g)就业处理， h)销售和服务业务管理 （企业资源规划，客户关系管理） ； 二、ISO29151在不同场合的应用： a)为个人提供的个人处理平台上（如智能卡，智能手机及其应用程序，智能电表，可穿戴设备）， b)在

ISO29151标准中对PII生命周期的考虑

PII具有自然的生命周期，从创建，收集 ，存储，使用和转移到最终处置（如安全销毁）。 PII的价值和风险在其生命周期中可能会有所不同，但PII的保护适用千其生命周期的所有阶段和所有环境。 信息系统也具有生命周期，在这些生命周期中，它们被构思指定，设计，开发，测试， 实施，使用，维护，最终从服务中退出并被处置，在信息系统的每一个阶段都应该考虑对PII的保护

ISO29151对PII的保护要求

a)与保护个人身份信息有关的法律，法定，监管当局和合同要求包括：组织、贸易伙伴 ，承包商、服务提供商必须遵守的PII 要求 b)风险评估 组织的总体业务战略和目标，对组织和PII 主体的风险（即安全风险和隐私风险） 进行评估； c)公司策略 组织也可以自愿选择超越以前要求所产生的制度。 组织还应该考虑为支待其运营而开发的PII的目标和业务需求的原则(即1S0/IEC9100中定义的

ISO29151如何保护PII

1)减少隐私泄露风险 2)减少违规。 本指南为PII控制者提供了广泛的信息安全和P保护控制的指导，这些控制通常应用于许多处理PII保护的不同组织。 负责本指南文件的联合技术委员会是ISo/EC JTC 1 SC 27委员会（信息技术IT安全技术委员会）。此处列出的ISO/IEC标准系列的其余部分对保护PII的整个过程的其他方面提供指导或要求: 1.ISO/IEC27001规定了信息安全管理过程和相关要求，可以作为