ISO/IEC 29151-2017《個(gè)人身份信息保護(hù)實(shí)踐指南》

　　ISO/IEC 29151-2017《個(gè)人身份信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)制定了控制目標(biāo)，控制措施和指導(dǎo)方針以滿足與保護(hù)個(gè)人身份信息(PII) 有關(guān)的風(fēng)險(xiǎn)評(píng)估和隱私影響評(píng)估所確定的要求。ISO/IEC 29151-2017《個(gè)人身份信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)基于ISO/IEC 27002的指導(dǎo)原則，考慮了組織在信息安全風(fēng)險(xiǎn)環(huán)境中可能適用的處理PII的要求。

　　PII保護(hù)要求有三個(gè)主要來源：

　　— 與保護(hù)個(gè)人身份信息有關(guān)的法律，法定，監(jiān)管當(dāng)局和合同要求

　　包括：組織、貿(mào)易伙伴，承包商、服務(wù)提供商必須遵守的PII要求;

　　— 風(fēng)險(xiǎn)評(píng)估

　　組織的總體業(yè)務(wù)戰(zhàn)略和目標(biāo)，對(duì)組織和PII主體的風(fēng)險(xiǎn)(即安全風(fēng)險(xiǎn)和隱私風(fēng)險(xiǎn))進(jìn)行評(píng)估;

　　— 公司策略

　　組織也可以自愿選擇超越以前要求所產(chǎn)生的制度。

　　ISO/IEC 29151-2017《個(gè)人身份信息保護(hù)實(shí)踐指南》標(biāo)準(zhǔn)適用于所有類型和規(guī)模的作為PII控制者的組織(如ISO/IEC29100所定義)，包括公共和私營公司，政府實(shí)體和處理PII的非營利組織。