Iso 个人身份信息保护实践指南 Information technology -- Security techniques - Codc of practicc for pcrsonally identiliablc information proicction (IS0/IEC 29151:2017) 本指南由上海擎标信息技术服务有限公司译著 ISO/IEC29151:2017 个人身份信息保护实践指南 翻译前言 本作品版权登记号：2018Z11S306859。 本指南翻译单位：上海擎标信息技术服务有限公司。 本指南主要翻译编辑：朱佳、夏旭升。 本指南校对人：DNVGL丁睿，在此表示感谢！ 欢迎各位同仁不客赐教！ 上海擎标服务热线：400-182-7001 更多信息欢迎访问：www.Q-ing.cn ISO/IEC29151:2017 个人身份信息保护实践指南 目录 翻译前言. 前 言.. 引 言 个人身份信息保护实践指南. 1适用范围.. 5 2规范性引用文件 3术语... 5 3.1定义. 5 3.2缩略语.. 4概述. 5 4.1保护PI的目标. 6 4.2PI的保护要求.. 4.3PI的控制. 4.4 选择控制措施 4.5制定组织特定的准则... 4.6牛命周期考虑 4.7本指南的结构.. 1S0/C 29151:2017 与1S0/1C 27002:2013对照版 ISO/[FC 27002:2013.... 1 ISO/[FC：29151:2017（正文） 5信息安全政策， 9 5.1信息安全管理指导. 6 信息安全的组织.. 10- 6.1内部纠织 10- 6.2移动设备和远程1作， 13 7人力资源安全. 16 - 7.1聘用前 - 16 - 7.2在任职期间。 17 - 7.3任用的终止或变更... ..- 20 - 8资产管理... - 20 - 8.1有关资产的责任 ..- 20 - 8.2信息分类.. ..- 22 - 8.3介质处置.. - 24 - 9访问控制.. ..- 26 - 9.1访问控制的业务需求.. ..- 26 - 9.2用户访问管理 ..- 27 -- 9.3用户责任. 9.4用户责任.. ..- 32 - 10密码学.. - 35 - 10.1密码控制 .-35- 11物理和环境安全. 37. 1 ISO/IEC29151:2017 个人身份信息保护实践指南 11.1安全区域. - 37 - 11.2设备 40- 12运行安全 - 45 - 12.1运行规程和责任. ..- 45- 12.2恶意软件防范. - 48 - 12.3备份.. . - 49 - 12.4日志和监视. ..- 50 - 12.5运行软件控制. ..- 52 - 12.6技术脆弱性管理.. 12.7技术脆弱性管理.. ..- 55- 13通信安全 ..- 55 - 13.1网络安全管理.. - 55 - 13.2信息传输 ..- 57 - 14系统获取、开发和维护.. ..- 60 - 14.1信息系统的安全要求. - 60 - 14.2开发和支持过程的安全性.. ..- 63 - 14.3测试数据 68- 15供应商美系..． - 68 - 15.1供应商关系中的信息安全 .- 68 - 15.2供应商服务交付管埋. 16信息安全事件管训.. - 73 - 16.」信息安全市仆的管理和收逊， 73- 17业务连续性管理的信息安全方而. 77 17.1信息安全的连续性 77. 17.2元余.. 79- 8符合.. 79- 18.1符合法伴和合回要求. 79- 18.2信息安个评审 附录A. A.1总则. - 86 - A.2使用和保护PI的一般策略 A.3同意和选择. ..- 87 - A.4目的合法性和指南 - 89 - A.5收集限制.. ..- 90 - A.6数据最小化... ..- 91 - A.7使用、保留和披露限制 ..- 92 - A.8准确性和质量.. ..- 94 - A.9公开性，透明度和通知. A.10PI主体参与和访间.. ..- 97 - A.1问责制.. ...- 98 - A.12信息安全.. .- 101 - A.13隐私合规... -102 - ISO/IEC29151:2017 个人身份信息保护实践指南 前言 ISO（国际标准化组织）和EC（国际电工委员会）构成了全球标准化的专门系统。属 于ISO或IEC成员的国家机构通过各自组织设立的技术委员会参与制定国际标准，以处理 技术活动的特定领域。ISO和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组 织，政府和非政府组织也与ISO和IEC联系，也参与了这项工作。在信息技术领域，ISO 和IEC建立了联合技术委员会ISO/IECJTC1。 ISO/IEC指令第1部分描述了用于开发本文件的程序和用于进一步维护的程序。特别 是应注意不同类型文件所需的不同批准标准。本文件是根据ISO/正EC指令第2部分（见 www.iso.org/directives）的编辑规则起草的。 请注意本文件的某些内容可能成为专利权的主题。ISO和IEC不负责识别任何或全部 此类专利权。在文件制定过程中确定的任何专利权的细节将在导言和/或ISO收到的专利声 明清单中(见www.iso.org/patents） 本文挡中使用的任何商品名称都是为了方使用户而捉供的后息，并不构成认可： 关丁标准的白愿性质的解释、与合格评楚和关的ISO特楚术语和表达的含义以歧关丁 www.iso.org/iso/forcword.himl: 负责该文件的委员会是与TTUJ-T合作的TSO/IFCJITC:1，信息技术，SC:27，TT安个技 求：相同的文本接ITU-TX.1058建议「公布 -1- ISO/IEC29151:2017 个人身份信息保护实践指南 PI--个人身份信息 本指南提供了这样的指导： 随着PI违规数量的增加，收集或处理PI的组织越来越需要这样的指导： 如何保护PI，1）减少隐私泄露风险，2）减少违规。 本指南为PI控制者提供了广泛的信息安全和PI保护控制的指导，这些控制通常应用 于许多处理PI保护的不同组织。 负责本指南文件的联合技术委员会是ISO/IECJTC1SC27委员会（信息技术IT安全 技术委员会）。此处列出的ISO/EC标准系列的其余部分对保护PI的整个过程的其他方 面提供指导或要求： -ISO/IEC27001规定了信息安全管理过程和相关要求，可以作为保护PI的基础。 JS0/TEC27002为组织的信息安全标准和信息安全管理实践提供指导方针、包括控制 的选择：实施和管理，同时考虑到纠的信息安全风险坏境： -TS0:IEC:27009规定广在何特定领域（包括应用领域、市场领域）使用TS0/TEC:27001 的要求：它解释了如何实施IS0IHC2701中的附加要求，控制或格制措施集ISO/[FC27001 的附录A -TS0/IFC27018为2服务中提供个人身份信息处埋的指导准则。 -1S0/1LC29134提供了认别，分析和评估隐私风险的搭导原则：而I80/LC27001与 1S0/IEC27005起提供广识别、分析和评估安全风险的方法。 图1描述了本规范与ISO：IFC标准系列之间的美系。 管理系统/框架 ISO/IEC27001:信息安全管理 ISO/IEC29100：隐私框架 风险管理 控制 ISO/IEC27002:信息安全控制实用规 ISO/IEC27005：信息安全风险管理 则 ISO/IEC29134：隐私影响评估 ITU-TX.1058|ISO/IEC29151:个人身 图1-本规范与ISO/IEC标准系列的关系 本指南根据风险分析的结果来选择控制措施，以制定全面，一致的控制系统。 - 2 - ISO/IEC29151:2017 个人身份信息保护实践指南 控制措施应与PI特定处理的手段相匹配。 本指南包含两部分： 1）主体由第1至18章组成， 2）指南性附录由第1至13章组成。 本指南正文的结构，包括条款主题，反映了ISO/IEC27002的主体。 引言和条款1至4提供了本指南使用的背景。 第5条至第18条的主题映射了ISO027002的主题要素，反映了本指南基于ISO27002的 指导原则，增加了针对PII保护的新控制。ISO/IEC27002中的许多控件在PII控制者的环 境中不需要放大。 但是，在某些情况下，需要额外的实施指导，并在ISO/IEC27002的适当主题（和条款 号）下给出。 指南性附录包含一组扩展的PI的专用控制措施，用于补充ISO27002中给出的控制措 施。 个人身份信息（PI）的11项隐私原则（ISO29100）： -同意和选择； －目的，合法性和指南； 收集限制; 一数锯小化； 使巾，保留和被露限制： -推筛性和质： －公川州，透明度和通： -个人参与和款收： -问贡; ·信息安全； -隐秘合规。 适用范围： A）不同处理领域的应而： 公服务， ·社交网络应用程序， -家用互联网连接设备， -搜索，分析， -将PI作为广告和类似目的用途的使用， -大数据分析， -就业处理： －销售和服务业务管理（企业资源规划，客户关系管理）； B）不同场合的应用： 为个人提供的个人处理平台上（如智能卡，智能手机及其应用程序，智能电表，可 穿戴设备） -在数据传输和收集网络中（例如，通过网络处理手机上定位数据，在某些国家地区 可能被视为PI）， -在一个组织自身的处理基础设施内， -在第三方的处理平台上； C）不同收集特性的应用： -一次性数据收集（例如，注册服务）， -3 -