精品亚洲av无码1区2区3区_久久久人妻精品人妻一区二区三区_91视频88AV_先锋波波在线资源站

歡迎您來到上海迭心信息科技有限公司!我司專注CMMI、ITSS、CCRC、CS、DCMM、ASPICE、DSMM、涉密資質(zhì)、知識產(chǎn)權(quán)貫標、ISO等資質(zhì)認證
上海:021-58445696
當前位置:首頁 >  核心業(yè)務

ISO29151個人數(shù)據(jù)隱私保護管理體系

2024-08-18 14:01:45 504
ISO29151是什么?

ISO/IEC 29151 是個人身份信息保護管理體系,在信息化、互聯(lián)網(wǎng)、大數(shù)據(jù)時代背景下的個人信息和隱私權(quán)保護面臨了諸多困難和挑戰(zhàn)。種種合規(guī)性的需求,促進了個人隱私標準的發(fā)展,這其中,ISO/IEC 29151:2017 認證,是國際通行的個人身份信息保護指南,涵蓋 26 個控制域,181 條控制措施,充分控制個人身份信息(PII)相關(guān)的風險,適用于任何對隱私保護有需求的組織,對開展個人身份信息保護提供了一個廣泛的指南。


ISO29151體系的作用

ISO29151為掌握個人可識別身份信息的相關(guān)方提供了廣泛的信息安全和PII保護控制的指導。本標準針對我國IT技術(shù)高速發(fā)展中個人信息安全面臨的安全問題,以保護個人信息為核心,規(guī)范個人信息收集、存儲、處理、使用和披露等各個環(huán)節(jié)中數(shù)據(jù)操作的相關(guān)行為,進一步加強對個人可識別身份信息風險,進行準確評估并采取有效的控制措施,提高業(yè)務流程的安全性和可靠性,降低IT運營過程中的個人可識別身份信息風險,旨在遏制個人信息濫用亂象,最大程度地保障用戶合法權(quán)益和社會公共利益。


ISO29151標準認證的適用范圍:
1、ISO29151在不同處理領(lǐng)域的應用:公共云服務,社交網(wǎng)絡應用程序,家用互聯(lián)網(wǎng)連接設備,搜索,分析,將PII作為廣告和類似目的用途的使用,大數(shù)據(jù)分析,就業(yè)處理,銷售和服務業(yè)務管理(企業(yè)資源規(guī)劃,客戶關(guān)系管理)。
2、ISO29151在不同場合的應用:為個人提供的個人處理平臺上(如智能卡,智能手機及其應用程序,智能電表,可穿戴設備),在數(shù)據(jù)傳輸和收集網(wǎng)絡中(例如,通過網(wǎng)絡處理手機上定位數(shù)據(jù),在某些國家地區(qū)可能被視為PIl ),在一個組織自身的處理基礎(chǔ)設施內(nèi)。在第三方的處理平臺上。

3、ISO29151在不同收集特性的應用∶一次性數(shù)據(jù)收集(例如,注冊服務),待續(xù)進行的數(shù)據(jù)收集(例如,通過個人身體上或身體內(nèi)的傳感器頻繁監(jiān)測健康參數(shù);使用非接觸式支付卡進行多次數(shù)據(jù)收集;智能電表數(shù)據(jù)收集系統(tǒng)等)。


ISO29151個人隱私保護體系項目實施基于ISO29151標準內(nèi)容和相關(guān)內(nèi)外部合規(guī)要求,建立基于PDCA的持續(xù)改進機制。體系建設主要準備以下內(nèi)容:
1、個人數(shù)據(jù)生命周期梳理及PII信息清單編制;
2、隱私風險影響評估(PIA);
3、適用性聲明編寫;
4、管理體系文件更新。
ISO29151標準中PII的信息安全角色和職責:
ISO29151標準要求需要明確規(guī)定保護個人身份信息的角色和責任,并妥善記錄并傳達以下要求:
1、組織應分配高級管理成員[有時稱為首席隱私官(CPO)]對PII承擔保護的責任;
2、應明確指明,每個角色擔當?shù)腜II保護職能,負責與組織內(nèi)的信息安全職能進行協(xié)調(diào);
3、參與PII處理的所有人(包括用戶和支待人員)應在其工作指南中包含適當?shù)腜II保護要求。
己建立的PI保護功能應與處理PlI的其他功能(信息安全功能)密切協(xié)作,ISO29151標準要求包括:
--由PII保護相關(guān)法規(guī)法引起的安全要求;
--協(xié)助解釋法律法規(guī)和合同條款的功能;
--處理數(shù)據(jù)泄露。
該組織應審查是否需要并酌情建立跨職能的委員會,或由處理PI職能的高級成員組成的委員會。
PIl的保護是一個多學科的職能,這樣的委員會可以幫助主動發(fā)現(xiàn)改進機會,識別PIA 的新風險和領(lǐng)域,制定預防措施,檢測違規(guī)行為并采取糾正措施等。
建議小組應定期開會,并由:a)中確定的負責PI保護的人擔任負責人。
PII控制者應要求其PII處理者指定一個聯(lián)系點,以解決合同下有關(guān)PII的處理問題。

負有PI保護職能的人應向CPO報告,以確保他們有足夠的權(quán)力履行其職責。


ISO29151標準認證的辦理條件:
1、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、公司簡介、組織架構(gòu)或等效文件;外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明。
2、申請方的ISO29151通用個人信息保護管理體系認證證書已按其體系標準的要求建立,并實施運行3個月以上。
3、至少完成一次數(shù)據(jù)保護/隱私影響、內(nèi)部審核,并進行了管理評審。
4、體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。
5、企業(yè)受到行政處罰,已經(jīng)處理掉了,沒有暫停營業(yè)
6、申請范圍不超出資質(zhì)許可范圍、不超出認證機構(gòu)的業(yè)務范圍;
7、無違規(guī)轉(zhuǎn)機構(gòu)、無違法、無失信;
8、申報人數(shù)與實際人數(shù)相差不超出20%;
9、提供企業(yè)業(yè)務相關(guān)的必備資質(zhì):如系統(tǒng)集成資質(zhì)、安防資質(zhì)等,并且保證資質(zhì)的有效性和合法性。

展開