ISO27701隐私信息管理(PIMS)标准解读-资产管理
ISO27701隐私信息管理(PIMS)标准解读-资产管理
6.5.1资产责任
6.5.1.1资产清单
适用ISO/IEC 27002:2013,8.1.1中规定的控制,实施指南和其他信息。
6.5.1.2资产所有权
适用ISO/IEC 27002:2013 8.1.2中规定的控制,实施指南和其他信息。
6.5.1.3可接受的资产使用
适用ISO/IEC 27002:2013,8.1.3中规定的控制,实施指南和其他信息。
6.5.1.4资产归还
适用ISO/IEC 27002:2013,8.1.4中规定的控制,实施指南和其他信息。
6.5.2信息分级
6.5.2.1信息分级
ISO/IEC 27002:2013第8.2.1节中规定的控制,实施指南和其他信息以及以下附加指南适用:
ISO/IEC 27002:2013的8.2.1,信息分类的附加实施指南:
组织的信息分类系统应明确将个人身份信息视为其实施方案的一部分。 在整体分类系统中考虑个人身份信息对于理解组织所处理的个人身份信息(例如类型,特殊类别),此类个人身份信息的存储位置以及可流通的系统是必不可少的。
6.5.2.2信息标记
适用于ISO/IEC 27002:2013、8.2.2和以下附加指南的控制,实施指南和其他信息。
ISO/IEC 27002:2013的8.2.2信息标签的附加实施指南是:
组织应确保受其控制的人员了解个人身份信息的定义以及如何识别属于个人身份信息的信息。
6.5.2.3资产的处理
适用ISO/IEC 27002:2013 8.2.3中规定的控制,实施指南和其他信息。
6.5.3介质处理
6.53.1移动介质处理
ISO/IEC 27002:2013、8.3.1中所述的控制,实施指南和其他信息以及以下附加指南适用:
ISO/IEC 27002:2013的8.3.1“移动介质处理”的其他实施指南是:
组织应记录任何可移动介质处理和/或设备用于存储个人身份信息的情况。在可行的情况下,组织应使用可移动的物理介质和/或存储个人身份信息时允许进行加密的设备,应仅在不可避免的情况下使用未加密的介质,并且在使用未加密的介质和/或设备的情况下,组织应实施程序 以及补偿控制措施(例如,防篡改包装)以减轻对个人身份信息的风险。
ISO/IEC 27002:2013的8,3.1(可移动媒体的管理)的其他其他信息:
在组织的物理范围之外带走的可移动介质容易丢失,损坏和不适当的访问。对可移动媒体进行加密可为个人身份信息增加一定程度的保护,如果可移动媒体受到威胁,则可降低安全性和隐私风险。
6.5.3.2介质处理
适用于ISO/IEC 27002:2013、8.3.2和以下附加指南的控制,实施指南和其他信息。
ISO/IEC 27002:2013的第8.3.2节“媒体处理”的其他实施指南是:
处置存储有个人身份信息的可移动媒体时,应在文件化信息中包括安全的处置程序,并应执行相应的处理程序,以确保无法访问以前存储的个人身份信息。
6.5.3.3物理介质的转移
适用于ISO/IEC 27002:2013、8.3.3和以下附加指南的控制,实施指南和其他信息:
ISO/IEC 27002:2013的8.3.3(物理介质的转移)的其他实施指南:
如果使用物理介质传输信息,则应建立一个系统来记录包含个人身份信息的传入和传出物理介质,包括物理介质的类型,授权的发送者/接收者,日期和时间以及数量。物理介质。在可能的情况下,应采取其他措施,例如加密,以确保只能在目的地而不是传输中访问数据。
组织应在离开其场所之前,对包含个人身份信息的物理介质进行授权程序,并确保除授权人员外,其他任何人都无法访问该个人身份信息。
注意:要确保通常无法访问离开组织场所的物理媒体上的个人身份信息,一种可能的措施是对有关的个人身份信息进行加密,并将解密功能限制于授权人员。
