联系电话
首页 服务范围 IT行业 ISO27701
服务范围
 └ 常规标准   └ISO9001   └ISO14001   └ISO45001   └HSE   └SA8000   └GB/T27922-2011   └GBT29490   └ISO37001   └ISO37301  └ IT行业   └ISO27001   └ISO20000   └CMMI   └SPAC   └ITSS   └ITIL   └软件著作权   └通信网络代维   └ISO22301   └ISO29151   └GB/T35273   └信息系统业务安全服务资质   └信息安全服务资质   └DCMM   └DSMM   └ISO38505   └ISO27701   └ISO29100   └信息系统建设和服务能力资质   └信息系统服务交付能力等级认证   └信息化建设及服务能力资质   └ISO27799  └ 军工四证   └GJB9001   └涉密/保密等级资格   └武器装备科研生产许可   └武器装备承制单位资格  └ 食品、餐饮行业   └ISO22000   └HACCP  └ 其他行业   └企业信用等级评价   └ISO28000
新闻动态推荐
热点文章推荐

ISO27701隐私信息管理(PIMS)标准解读-运行安全

添加时间:2021-01-25 10:56:22   浏览:

ISO27701隐私信息管理(PIMS)标准解读-运行安全

6.9.1运行规程和责任

6.9.1.1文化化的操作规程

ISO/IEC 27002:2013,12.1.1中规定的控制,实施指南和其他信息适用。

6.9.1.2变更管理

ISO/IEC 27002:2013,12.1.2中规定的控制,实施指南和其他信息适用。

6.9.1.3容量管理

ISO/IEC 27002:2013,12.1.3中规定的控制,实施指南和其他信息适用。

6.9.1.4开发,测试和运营环境的分离

ISO/IEC 27002:2013,12.1.4中规定的控制,实施指南和其他信息适用。

6.9.2恶意软件的控制

6.9.2.1恶意软件控制

适用ISO / IEC 27002:2013 12.2.1中规定的控制,实施指南和其他信息。

6.9.3备份

6.9.3.1信息备份

适用于ISO / IEC 27002:2013、12.3.1和以下其他指南的控制,实施指南和其他信息:

ISO / IEC 27002:2013的远至12.3.1(信息备份)的其他实施指南是:

组织应制定政策,以解决备份,恢复和还原个人身份信息的要求(可以作为整体信息备份策略的一部分)以及任何进一步的要求(例如合同和/或法律要求)以消除个人身份 身份信息包含在为备份要求保留的信息中。

在这方面,特定于Pll的责任可能取决于客户。组织应确保已将与备份有关的服务限制告知客户。

如果组织明确为客户提供备份和还原服务,则组织应向客户提供有关其在备份和还原个人身份信息方面的能力的清晰信息。

一些司法管辖区对个人身份信息的备份频率,备份的审查和测试频率或在这些司法管辖区中运行的个人身份信息的组织的恢复程序提出了具体要求,以证明它们符合这些要求。

在某些情况下,可能由于系统故障,攻击或灾难而需要恢复个人身份信息。恢复个人身份信息(通常从备份媒体)后,需要采取适当的措施以确保将个人身份信息恢复到可以确保个人身份信息完整性和/或个人身份信息不准确的状态确定和/或不完整,并建立解决方案(可能涉及个人身份信息主体)。

组织应具有恢复个人身份信息的程序和记录。个人身份信息恢复工作的日志至少应包含:

--负责修复的人的名字;

--恢复的个人身份信息的描述。

一些司法管辖区规定了个人身份信息恢复工作日志的内容。 组织应该能够证明其符合恢复日志内容的任何适用的特定于辖区的要求。 此类审议的结论应包括在成文的信息中。

本文档中适用于分包的个人身份信息处理的控件涵盖了使用分包商存储已处理的个人身份信息的复制副本或备份副本(请参见6.5.3.3。6.12.1.2)。 在发生与备份和还原有关的物理媒体传输的地方,本文档(6.10.2.1)中的控件也涵盖了这些内容。

6.9.4日志和监视

6.9.4.1事态日志

ISO / IEC 27002:2013,12.4.1中规定的控制,实施指南和其他信息以及以下附加指南适用;

ISO / IEC 27002:2013的12.4.1事件记录的其他实施指南是:

应该建立一个使用连续,自动的监视和警报过程来复查事件日志的过程,或者以手动方式进行事件复查,以指定的,记录的周期性进行这种复查,以识别违规行为并提出补救措施。

在可能的情况下,事件日志应记录对个人身份信息的访问,包括访问者,访问时间,访问哪个FII负责人的个人身份信息,以及由于该事件而进行的更改(如有)更改(添加,修改或删除) ,

如果有多个服务提供商参与提供服务,则在实施本指南时可能会扮演不同或共同的角色。 这些角色应明确定义并包含在文档信息中,并且应解决提供商之间进行任何日志访问的协议。

迄今为止的实施指南个人身份信息处理器:

组织应定义有关是否,何时以及如何向客户提供或使用日志信息的标准。这些标准应提供给客户。

如果组织允许其客户访问由组织控制的日志记录,则组织应实施适当的控制措施,以确保客户只能访问与该客户的活动有关的记录,而不能访问与其他客户的活动有关的任何日志记录,并且不能以任何方式修改日志。

6.9.4.2日志信息的保护

ISO / IEC 27002:2013,12.4.2中规定的控制,实施指南和其他信息以及以下附加指南适用:

ISO / IEC 27002:2013的12,4,2(日志信息保护)的其他实施指南是:

为例如安全监控和操作诊断而记录的日志信息可以包含个人身份信息。应该采取诸如控制访问的措施(请参阅ISO / IEC 27002:2013,9.2.3),以确保仅按预期使用已记录的信息,

应该采用一种程序(最好是自动程序)来确保按照保留计划中的规定删除或取消标识已记录的信息(请参见7.4.7)。

6.9.4.3管理员和操作员日志

适用ISO / IEC 27002:2013 12.4.3中规定的控制,实施指南和其他信息。

6.9.4.4时钟同步

适用ISO / IEC 27002:2013 12.4.4中规定的控制,实施指南和其他信息。

6.9.5运行软件控制

6.9.5.1运行系统的软件安装

适用ISO / IEC 27002:2013,12,5.1中规定的控制,实施指南和其他信息。

6.9.6技术方面的脆弱性管理

6.9.6.1技术方面的脆弱性管理

适用ISO / IEC 27002:2013 12.6.1中规定的控制,实施指南和其他信息,

6.9.6.2软件安装限制

适用ISO / IEC 27002:2013 12.6.2中规定的控制,实施指南和其他信息。

6.9.7信息系统审计的考虑

6.9.7.1信息系统审计的控制

适用ISO / IEC 27002:2013 12.7.1中规定的控制,实施指南和其他信息。

分享到:
上一篇:ISO27701隐私信息管理(PIMS)标准解读-物理和环境安全
下一篇:ISO/IEC 27701认证的目的

相关文章推荐

返回顶部
收缩

  • 付老师:业务咨询
  • 简老师:业务咨询
  • 金老师:业务咨询
  • 徐老师:业务咨询

  • 技术支持

  • 010-83607858
  • 010-83683376