国产精品爽爽ⅴa在线观看,国产va免费精品观看精品

發(fā)布時間：2020-06-19 作者：廣匯聯(lián)合來源：廣匯聯(lián)合

ISO/IEC 29151標準中要求的PII使用、保留和披露限制：

一、保護 PII 的實施指南

a) 將 PII 的使用，保留和披露（包括轉讓）限制在為實現特定，明確和合法目的必要的范圍內；

b) 配置其信息系統(tǒng)，以記錄：收集，創(chuàng)建、更新 PII 的日期、何時將 PII 刪除、歸檔的時間。

二、使用 PII 的實施指南

a) 當所述目的已經過期時，鎖定（即歸檔，保護和免除進一步處理）任何 PII , 并滿足適用法律的保留要求；

b) 使用適當的技術或方法確保安全刪除或銷毀 PII (包括原件，副本和存檔記錄）；

c) 僅將 PII 用于在收集之前或收集時向 PII 主體商定披露的目的，并且在為任何新用途進行之前獲得必要的同意；

d) 將外部組織對 PII 的訪問權，限制在必要且已獲得正式授權的范圍內：如果業(yè)務確實需要訪問，則應遵循適當的審批程序；

e) 確認被允許連接到本組織系統(tǒng)的外部系統(tǒng)在被允許連接之前已經實施了適當的保護措施；

f) 定期審查第三方實施的保障措施，以確保它們繼續(xù)滿足本組織的安全要求：如果由于此類審查而發(fā)現保障措施不足，應立即斷開第三方的連接，直到已經恢復了適當的保障措施；

g) 當通過遠程接口訪問 PII 時，實施適當的訪問認證機制：記錄 PII 訪問的日志；

h) 利用安全監(jiān)控待續(xù)收集 PII 的變更，應向公眾提供警示。

三、保留 PII 的實施指南

a) 僅保留授權時間段的 PII , 以履行通知中確定的目的或法律和組織的要求，并在保留期屆滿時立即刪除 PII ;

b) 如果需要保留 PII 的時間超過特定商業(yè)目的所需時間，則應實施諸如去識別化等措施以保護 PII ;

c) 定義有時間限制的、適合于處理目的的 PII 保留期；

d) 確認信息系統(tǒng)可以檢測到保留期限到期；

e) 確保實施商定的保留期限并根據保留期限處置 PII ;

f) 開發(fā)一種自動化功能，在其保留期限到期時刪除 PII , 這種刪除應立即發(fā)生或盡快實施；

g) PII 的存儲形式（包括數據庫字段或文本摘錄）以及確定的風險，應該是“去標識”的內容；

h) 根據待識別數據的形式（包括數據庫和文本記錄）和已確定的風險，去識別化數據；

i) 如果數據不能被“去識別”，則選擇用千保護 PII 的工具（包括部分刪除，哈希，密鑰散列和索引）。

四、披露 PII 的實施指南

a) 未經 PII 主體事先知情同意，不得將PII 披露給外部各方，除非相關法律允許此類披露：如果向需要了解的內部各方（例如員工）披露，則可能不需要 PII 主體的知情和同意；；

b) 在轉讓個人身份信息時提供強有力的保護機制，包括數據加密和完整性保護。

員工個人身份信息應按照適用的法律和法規(guī)、組織處置策略，適當情況下需征得員工同意才能進行處置（即安全刪除或存檔）。