ISO27001認(rèn)證
熱線:
Q Q:ISO29151標(biāo)準(zhǔn)目的指南
發(fā)布時間:2020-06-23 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
目標(biāo):在不遲于收集個人身份信息時指出收集個人身份信息的目的,并限制后續(xù)使用以達(dá)到原始目的。
控制
組織應(yīng)該與他們將要收集的PII主體溝通,明確收集、處理PII的目的。這樣的通信應(yīng)該在PII被收集之前。
保護(hù)PII的實(shí)施指南
組織應(yīng)在收集或首次使用信息之前向PII主體傳達(dá)目的,使用本指南的語言要既清楚又適合于具體情況,并在處理敏感的PII時給出充分的解釋。
通常,應(yīng)用法定語言明確的授權(quán)PII具體收集和使用。當(dāng)法定書面語言被廣泛書寫并因此需要解釋時,組織應(yīng)與CPO和法律顧問協(xié)商,確保授權(quán)與具體的PII收集之間存在明確的聯(lián)系。
一旦確定了具體目的,當(dāng)組織用于收集PII時,應(yīng)在相關(guān)的隱私合規(guī)文件或表格中明確說明目的。此外,為避免未經(jīng)授權(quán)收集或使用個人識別信息,處理個人識別值息的人員應(yīng)接受組織機(jī)構(gòu)的培訓(xùn)。
組織應(yīng)該:
a)確定PII僅在業(yè)務(wù)流程中使用;
b)以邏輯方式分離對每個過程有用的PII;
c)業(yè)務(wù)流程(包括工資管理,休假請求管理,職業(yè)發(fā)展)管理不同的訪問權(quán)限,并建立專門的IT環(huán)境處理最敏感的PII的系統(tǒng);
d)定期確認(rèn)PII有效分離,未被授權(quán)的人不能接入網(wǎng)絡(luò)。
