Iso 个人身份信息保护实践指南 Information technology -- Security techniques - Codc of practicc for pcrsonally identiliablc information proicction (IS0/IEC 29151:2017) 本指南由上海擎标信息技术服务有限公司译著 ISO/IEC29151:2017 个人身份信息保护实践指南 翻译前言 本作品版权登记号:2018Z11S306859。 本指南翻译单位:上海擎标信息技术服务有限公司。 本指南主要翻译编辑:朱佳、夏旭升。 本指南校对人:DNVGL丁睿,在此表示感谢! 欢迎各位同仁不客赐教! 上海擎标服务热线:400-182-7001 更多信息欢迎访问:www.Q-ing.cn ISO/IEC29151:2017 个人身份信息保护实践指南 目录 翻译前言. 前 言.. 引 言 个人身份信息保护实践指南. 1适用范围.. 5 2规范性引用文件 3术语... 5 3.1定义. 5 3.2缩略语.. 4概述. 5 4.1保护PI的目标. 6 4.2PI的保护要求.. 4.3PI的控制. 4.4 选择控制措施 4.5制定组织特定的准则... 4.6牛命周期考虑 4.7本指南的结构.. 1S0/C 29151:2017 与1S0/1C 27002:2013对照版 ISO/[FC 27002:2013.... 1 ISO/[FC:29151:2017(正文) 5信息安全政策, 9 5.1信息安全管理指导. 6 信息安全的组织.. 10- 6.1内部纠织 10- 6.2移动设备和远程1作, 13 7人力资源安全. 16 - 7.1聘用前 - 16 - 7.2在任职期间。 17 - 7.3任用的终止或变更... ..- 20 - 8资产管理... - 20 - 8.1有关资产的责任 ..- 20 - 8.2信息分类.. ..- 22 - 8.3介质处置.. - 24 - 9访问控制.. ..- 26 - 9.1访问控制的业务需求.. ..- 26 - 9.2用户访问管理 ..- 27 -- 9.3用户责任. 9.4用户责任.. ..- 32 - 10密码学.. - 35 - 10.1密码控制 .-35- 11物理和环境安全. 37. 1 ISO/IEC29151:2017 个人身份信息保护实践指南 11.1安全区域. - 37 - 11.2设备 40- 12运行安全 - 45 - 12.1运行规程和责任. ..- 45- 12.2恶意软件防范. - 48 - 12.3备份.. . - 49 - 12.4日志和监视. ..- 50 - 12.5运行软件控制. ..- 52 - 12.6技术脆弱性管理.. 12.7技术脆弱性管理.. ..- 55- 13通信安全 ..- 55 - 13.1网络安全管理.. - 55 - 13.2信息传输 ..- 57 - 14系统获取、开发和维护.. ..- 60 - 14.1信息系统的安全要求. - 60 - 14.2开发和支持过程的安全性.. ..- 63 - 14.3测试数据 68- 15供应商美系... - 68 - 15.1供应商关系中的信息安全 .- 68 - 15.2供应商服务交付管埋. 16信息安全事件管训.. - 73 - 16.」信息安全市仆的管理和收逊, 73- 17业务连续性管理的信息安全方而. 77 17.1信息安全的连续性 77. 17.2元余.. 79- 8符合.. 79- 18.1符合法伴和合回要求. 79- 18.2信息安个评审 附录A. A.1总则. - 86 - A.2使用和保护PI的一般策略 A.3同意和选择. ..- 87 - A.4目的合法性和指南 - 89 - A.5收集限制.. ..- 90 - A.6数据最小化... ..- 91 - A.7使用、保留和披露限制 ..- 92 - A.8准确性和质量.. ..- 94 - A.9公开性,透明度和通知. A.10PI主体参与和访间.. ..- 97 - A.1问责制.. ...- 98 - A.12信息安全.. .- 101 - A.13隐私合规... -102 - ISO/IEC29151:2017 个人身份信息保护实践指南 前言 ISO(国际标准化组织)和EC(国际电工委员会)构成了全球标准化的专门系统。属 于ISO或IEC成员的国家机构通过各自组织设立的技术委员会参与制定国际标准,以处理 技术活动的特定领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组 织,政府和非政府组织也与ISO和IEC联系,也参与了这项工作。在信息技术领域,ISO 和IEC建立了联合技术委员会ISO/IECJTC1。 ISO/IEC指令第1部分描述了用于开发本文件的程序和用于进一步维护的程序。特别 是应注意不同类型文件所需的不同批准标准。本文件是根据ISO/正EC指令第2部分(见 www.iso.org/directives)的编辑规则起草的。 请注意本文件的某些内容可能成为专利权的主题。ISO和IEC不负责识别任何或全部 此类专利权。在文件制定过程中确定的任何专利权的细节将在导言和/或ISO收到的专利声 明清单中(见www.iso.org/patents) 本文挡中使用的任何商品名称都是为了方使用户而捉供的后息,并不构成认可: 关丁标准的白愿性质的解释、与合格评楚和关的ISO特楚术语和表达的含义以歧关丁 www.iso.org/iso/forcword.himl: 负责该文件的委员会是与TTUJ-T合作的TSO/IFCJITC:1,信息技术,SC:27,TT安个技 求:相同的文本接ITU-TX.1058建议「公布 -1- ISO/IEC29151:2017 个人身份信息保护实践指南 PI--个人身份信息 本指南提供了这样的指导: 随着PI违规数量的增加,收集或处理PI的组织越来越需要这样的指导: 如何保护PI,1)减少隐私泄露风险,2)减少违规。 本指南为PI控制者提供了广泛的信息安全和PI保护控制的指导,这些控制通常应用 于许多处理PI保护的不同组织。 负责本指南文件的联合技术委员会是ISO/IECJTC1SC27委员会(信息技术IT安全 技术委员会)。此处列出的ISO/EC标准系列的其余部分对保护PI的整个过程的其他方 面提供指导或要求: -ISO/IEC27001规定了信息安全管理过程和相关要求,可以作为保护PI的基础。 JS0/TEC27002为组织的信息安全标准和信息安全管理实践提供指导方针、包括控制 的选择:实施和管理,同时考虑到纠的信息安全风险坏境: -TS0:IEC:27009规定广在何特定领域(包括应用领域、市场领域)使用TS0/TEC:27001 的要求:它解释了如何实施IS0IHC2701中的附加要求,控制或格制措施集ISO/[FC27001 的附录A -TS0/IFC27018为2服务中提供个人身份信息处埋的指导准则。 -1S0/1LC29134提供了认别,分析和评估隐私风险的搭导原则:而I80/LC27001与 1S0/IEC27005起提供广识别、分析和评估安全风险的方法。 图1描述了本规范与ISO:IFC标准系列之间的美系。 管理系统/框架 ISO/IEC27001:信息安全管理 ISO/IEC29100:隐私框架 风险管理 控制 ISO/IEC27002:信息安全控制实用规 ISO/IEC27005:信息安全风险管理 则 ISO/IEC29134:隐私影响评估 ITU-TX.1058|ISO/IEC29151:个人身 图1-本规范与ISO/IEC标准系列的关系 本指南根据风险分析的结果来选择控制措施,以制定全面,一致的控制系统。 - 2 - ISO/IEC29151:2017 个人身份信息保护实践指南 控制措施应与PI特定处理的手段相匹配。 本指南包含两部分: 1)主体由第1至18章组成, 2)指南性附录由第1至13章组成。 本指南正文的结构,包括条款主题,反映了ISO/IEC27002的主体。 引言和条款1至4提供了本指南使用的背景。 第5条至第18条的主题映射了ISO027002的主题要素,反映了本指南基于ISO27002的 指导原则,增加了针对PII保护的新控制。ISO/IEC27002中的许多控件在PII控制者的环 境中不需要放大。 但是,在某些情况下,需要额外的实施指导,并在ISO/IEC27002的适当主题(和条款 号)下给出。 指南性附录包含一组扩展的PI的专用控制措施,用于补充ISO27002中给出的控制措 施。 个人身份信息(PI)的11项隐私原则(ISO29100): -同意和选择; -目的,合法性和指南; 收集限制; 一数锯小化; 使巾,保留和被露限制: -推筛性和质: -公川州,透明度和通: -个人参与和款收: -问贡; ·信息安全; -隐秘合规。 适用范围: A)不同处理领域的应而: 公服务, ·社交网络应用程序, -家用互联网连接设备, -搜索,分析, -将PI作为广告和类似目的用途的使用, -大数据分析, -就业处理: -销售和服务业务管理(企业资源规划,客户关系管理); B)不同场合的应用: 为个人提供的个人处理平台上(如智能卡,智能手机及其应用程序,智能电表,可 穿戴设备) -在数据传输和收集网络中(例如,通过网络处理手机上定位数据,在某些国家地区 可能被视为PI), -在一个组织自身的处理基础设施内, -在第三方的处理平台上; C)不同收集特性的应用: -一次性数据收集(例如,注册服务), -3 -

pdf文档 上海擎标翻译 ISO 29151 个人身份信息保护实践指南 中文版

文档预览
中文文档 106 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共106页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
上海擎标翻译 ISO 29151 个人身份信息保护实践指南 中文版 第 1 页 上海擎标翻译 ISO 29151 个人身份信息保护实践指南 中文版 第 2 页 上海擎标翻译 ISO 29151 个人身份信息保护实践指南 中文版 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-10-19 08:02:00上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。