ISO27001認(rèn)證
熱線:
Q Q:ISO29151標(biāo)準(zhǔn)保護PII的實施指南
發(fā)布時間:2020-06-22 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
需要明確規(guī)定保護個人身份信息的角色和責(zé)任,并妥善記錄并傳達。特別:
a) 組織應(yīng)分配髙級管理成員[有時稱為首席隱私官(CPO)]對PII承擔(dān)保護的責(zé)任;
b) 應(yīng)明確指明,每個角色擔(dān)當(dāng)?shù)腜II保護職能,負責(zé)與組織內(nèi)的信息安全職能進行協(xié)調(diào);
c) 參與PII處理的所有人(包括用戶和支持人員)應(yīng)在其工作指南中包含適當(dāng)的PII保護要求。
已建立的PII保護功能應(yīng)與處理PII的其他功能(信息安全功能)密切協(xié)作,信息要求包括:由PII保護相關(guān)法規(guī)法引起的安全要求;協(xié)助解釋法律法規(guī)和合同條款的功能;處理數(shù)據(jù)泄露。
該組織應(yīng)審査是否需要并酌情建立跨職能的委員會,或由處理PII職能的高級成員組成的委員會。
PII的保護是一個多學(xué)科的職能,這樣的委員會可以幫助主動發(fā)現(xiàn)改進機會,識別PIA的新風(fēng)險和領(lǐng)域,制定預(yù)防措施,檢測違規(guī)行為并采取糾正措施等。建議這樣的小組應(yīng)定期開會,并由a)中確定的負責(zé)PII保護的人擔(dān)任主席。
PII控制者應(yīng)要求其PII處理者指定一個聯(lián)系點,以解決合同下有關(guān)PII的處理問題。
負有PII保護職能的人應(yīng)向CPO報告,以確保他們有足夠的權(quán)力履行其職責(zé)。
