ISO29151标准中PII信息安全事件管理
ISO29151标准中PII信息安全事件管理:
ISO29151标准要求组织应对隐私事件的有组织、有效的回应。 因此,组织应该制定和实施隐私事件响应计划。
ISO29151标准要求组织隐私事件响应计划应包括:
a) 隐私事件的定义和隐私事件 响应的范围;
b) 建立一个跨部门的隐私事件响应团队,开发,实施,测试,执行和审查隐私事件应对计划(该计划的批准应由组织内的高级管理人员决定);
c) 为隐私事件响应团队的所有成员明确规定角色,职责和权限;
d) 在发生跨境事件时,依据国内、国际法规,澄清与外部各自组织承担的流程;
组织隐私事件响应计划应包括:
e) 根据组织事件 ,确保所有受内部隐私政策影响的人(例如,员工,承包商) 及时向信息安全官员和负责 PII 保护的人(有时称为CPO ) 进行快速报告的流程;
f) 评估事故影响,以确定受影响的人、组织的,任何潜在或实际危害的性质、程度;
g) 确定需 要采取的措施来 减轻上述危害并减少危害的过程以防止复发;
h) 确定通知受影响的人,其他指定实体的流程。该通知的时间、形式,以及在什么样的情况下发出通知。
ISO29151标准要求组织可以选择将他们的隐私事件响应计划与他们的安全事件响应计划进行整合,也可将它们分开。 作为其信息安全事件管理流程的一部分,信息安全事件应引发 PII 控制者进行审查,以确定是否发生了涉及 PII 的数据泄露事件。
信息安全事件可能包括但不限于:对防火墙或边缘服务器的 ping 攻击,其他广播攻击,端口扫描,登录尝试,拒绝服务攻击, 数据包嗅探。 信息安全事件不一定会导致 PII 的处置设备设施产生可能的或实际的损害。
ISO29151标准要求当 PII 受到损害时,PII 所有者的权益可能不能立即得到保护。司法管辖区可能会对报告或通知提出具体要求(例如,在立法或条例中)。当发生涉及 PII 的安全事件(例如,未经授权的处理、违反合同), 事件的细节,包括组织的建议响应(可能遭受披露),应尽快通知有关当局。当局包括数据保护责任人、执法机构、受事件影响的人。
如果发生隐私违规,组织应向受影响的 PII 所有者提供适当和有效的补救措施,例如更正或删除不正确的信息。
