ISO29151標準中PII信息安全事件管理:
ISO29151標準要求組織應對隱私事件的有組織、有效的回應。 因此,組織應該制定和實施隱私事件響應計劃。
ISO29151標準要求組織隱私事件響應計劃應包括:
a) 隱私事件的定義和隱私事件 響應的范圍;
b) 建立一個跨部門的隱私事件響應團隊,開發,實施,測試,執行和審查隱私事件應對計劃(該計劃的批準應由組織內的高級管理人員決定);
c) 為隱私事件響應團隊的所有成員明確規定角色,職責和權限;
d) 在發生跨境事件時,依據國內、國際法規,澄清與外部各自組織承擔的流程;
組織隱私事件響應計劃應包括:
e) 根據組織事件 ,確保所有受內部隱私政策影響的人(例如,員工,承包商) 及時向信息安全官員和負責 PII 保護的人(有時稱為CPO ) 進行快速報告的流程;
f) 評估事故影響,以確定受影響的人、組織的,任何潛在或實際危害的性質、程度;
g) 確定需 要采取的措施來 減輕上述危害并減少危害的過程以防止復發;
h) 確定通知受影響的人,其他指定實體的流程。該通知的時間、形式,以及在什么樣的情況下發出通知。
ISO29151標準要求組織可以選擇將他們的隱私事件響應計劃與他們的安全事件響應計劃進行整合,也可將它們分開。 作為其信息安全事件管理流程的一部分,信息安全事件應引發 PII 控制者進行審查,以確定是否發生了涉及 PII 的數據泄露事件。
信息安全事件可能包括但不限于:對防火墻或邊緣服務器的 ping 攻擊,其他廣播攻擊,端口掃描,登錄嘗試,拒絕服務攻擊, 數據包嗅探。 信息安全事件不一定會導致 PII 的處置設備設施產生可能的或實際的損害。
ISO29151標準要求當 PII 受到損害時,PII 所有者的權益可能不能立即得到保護。司法管轄區可能會對報告或通知提出具體要求(例如,在立法或條例中)。當發生涉及 PII 的安全事件(例如,未經授權的處理、違反合同), 事件的細節,包括組織的建議響應(可能遭受披露),應盡快通知有關當局。當局包括數據保護責任人、執法機構、受事件影響的人。
如果發生隱私違規,組織應向受影響的 PII 所有者提供適當和有效的補救措施,例如更正或刪除不正確的信息。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
