ISO-IEC 27701.2-2024DIS 信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)- 隱私信息信息管理體系 - 要求和指南（雷澤佳譯2024）

II信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—隱私信息管理體系-要求和指南范圍本標(biāo)準(zhǔn)規(guī)定了建立、實(shí)施、保持和持續(xù)改進(jìn)隱私信息管理體系（PIMS）的要求。本標(biāo)準(zhǔn)提供了實(shí)施本標(biāo)準(zhǔn)中要求的指南。本標(biāo)準(zhǔn)旨在對(duì)個(gè)人可識(shí)別信息（PII）處理負(fù)有責(zé)任和職責(zé)的PII控制者和PII處理者提供指導(dǎo)。本標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織，包括公共和私營(yíng)公司、政府實(shí)體和非營(yíng)利組織。規(guī)范性引用文件下列文件對(duì)于本標(biāo)準(zhǔn)的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本標(biāo)準(zhǔn)。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標(biāo)準(zhǔn)。ISO/IEC29100，信息技術(shù)--安全技術(shù)--隱私框架術(shù)語(yǔ)和定義本標(biāo)準(zhǔn)采用ISO/IEC29100中所確立的術(shù)語(yǔ)和定義及以下術(shù)語(yǔ)和定義。ISO和IEC設(shè)有用于標(biāo)準(zhǔn)化的術(shù)語(yǔ)數(shù)據(jù)庫(kù)，地址如下：ISO在線瀏覽平臺(tái)：/obpIEC電力維基百科：/組織organization為實(shí)現(xiàn)其目標(biāo)（3.6），由職責(zé)、權(quán)限和相互關(guān)系構(gòu)成自身功能的一個(gè)人或一組人。組織的概念包括但不限于個(gè)體經(jīng)營(yíng)者、公司、法人、商行、企事業(yè)單位、行政機(jī)構(gòu)、合營(yíng)公司、慈善機(jī)構(gòu)或研究機(jī)構(gòu)，或上述組織的部分或組合，無(wú)論是否具有法人資格、公有的或私有的。如果組織是較大實(shí)體的一部分，則“組織”一詞僅指屬于隱私信息管理體系（3.4）范圍內(nèi)的較大實(shí)體的那一部分。相關(guān)方（推薦術(shù)語(yǔ)）/利益相關(guān)者（允許使用的術(shù)語(yǔ)）相關(guān)方interestedparty(preferredterm)stakeholder(admittedterm)可能影響決策或活動(dòng)、受決策或活動(dòng)影響，或自認(rèn)為受決策或活動(dòng)影響的個(gè)人或組織（3.1）。最高管理者topmanagement在最高層指揮和控制組織（3.1）的一個(gè)人或一組人。最高管理者在組織內(nèi)有授權(quán)并提供資源的權(quán)力。如果管理體系（3.4）的范圍僅覆蓋組織的一部分，則最高管理者是指指揮和控制該部分組織的一個(gè)人或一組人。管理體系managementsystem組織（3.1）建立方針（3.5）和目標(biāo)（3.6）以及實(shí)現(xiàn)這些目標(biāo)的過(guò)程（3.4.1）的相互關(guān)聯(lián)或相互作用的一組要素。一個(gè)管理體系可以針對(duì)單一的領(lǐng)域或幾個(gè)領(lǐng)域。管理體系的要素包括組織的結(jié)構(gòu)、崗位和職責(zé)、策劃和運(yùn)行。方針policy由組織（3.1）的最高管理者（3.1.1）正式發(fā)布的組織（3.2.1）的宗旨和方向。目標(biāo)objective要實(shí)現(xiàn)的結(jié)果目標(biāo)可以是戰(zhàn)略性的、戰(zhàn)術(shù)性的或操作層面的。目標(biāo)可以涉及不同的領(lǐng)域（如：財(cái)務(wù)的、職業(yè)健康與安全的和環(huán)境的目標(biāo)），它們可以是整個(gè)組織的，也可以特定于某個(gè)項(xiàng)目、產(chǎn)品或過(guò)程（3.8）?？梢圆捎闷渌姆绞奖硎瞿繕?biāo)，例如：采用預(yù)期的結(jié)果、活動(dòng)的目的或運(yùn)行準(zhǔn)則，或使用其它有類似含義的詞（如：目的、終點(diǎn)或指標(biāo)）。在隱私信息管理體系（3.22）環(huán)境中，組織（3.1）制定的隱私信息目標(biāo)與隱私信息方針（3.5）保持一致，以實(shí)現(xiàn)特定的結(jié)果。風(fēng)險(xiǎn)risk不確定性的影響。影響是指偏離預(yù)期，可以是正面的或負(fù)面的。不確定性是指對(duì)某一事件、其后果或可能性缺乏信息、理解或知識(shí)的狀態(tài)，即使是部分缺乏。通常，風(fēng)險(xiǎn)是通過(guò)有關(guān)事件ISO導(dǎo)則73中的定義）和后果（如ISO導(dǎo)則73中的定義），或兩者的組合來(lái)描述其特性的。通常，風(fēng)險(xiǎn)是以某個(gè)事件的后果（包括情況的變化）及其發(fā)生的可能性（ISO導(dǎo)則73中的定義）的組合來(lái)表述的。過(guò)程process利用輸入實(shí)現(xiàn)結(jié)果的相互關(guān)聯(lián)或相互作用的一組活動(dòng)。過(guò)程的結(jié)果稱為輸出，還是稱為產(chǎn)品或服務(wù)，隨相關(guān)語(yǔ)境而定。能力competence應(yīng)用知識(shí)和技能實(shí)現(xiàn)預(yù)期結(jié)果的本領(lǐng)。成文信息documentedinformation組織（3.1）需要控制并保持的信息及其載體。成文信息可以任何格式和載體存在，并可來(lái)自任何來(lái)源。成文信息可涉及：管理體系（3.4），包括相關(guān)過(guò)程（3.8）；為組織運(yùn)行而產(chǎn)生的信息（一組文件）；實(shí)現(xiàn)結(jié)果的證據(jù)（記錄）。績(jī)效performance可測(cè)量的結(jié)果。績(jī)效可能涉及定量的或定性的結(jié)果?？?jī)效可能涉及管理活動(dòng)、過(guò)程（3.8）產(chǎn)品、服務(wù)、系統(tǒng)或組織（3.1）。持續(xù)改進(jìn)continualimprovement提高績(jī)效（3.11）的循環(huán)活動(dòng)。有效性effectiveness完成策劃的活動(dòng)并得到策劃的結(jié)果的程度要求requirement明示的、通常隱含的或必須履行的需求或期望?！巴ǔｋ[含”是指組織（3.1）和相關(guān)方（3.2）的慣例或一般做法，所考慮的需求或期望是不言而喻的。規(guī)定要求是經(jīng)明示的要求，如：在成文信息（3.10）中闡明。符合滿足要求（3.14）。不符合未滿足要求（3.14）。糾正措施correctiveaction為消除不合格（3.16）的原因并防止再發(fā)生所采取的措施審核audit為獲得客觀證據(jù)并對(duì)其進(jìn)行客觀的評(píng)價(jià)，以確定滿足審核準(zhǔn)則的程度所進(jìn)行的系統(tǒng)的和獨(dú)立的過(guò)程（3.8）。審核可以是內(nèi)部（第一方）審核，或外部（第二方或第三方）審核，也可以是多體系審核或聯(lián)合審核。內(nèi)部審核由組織（3.1）自己或外部以組織的名義進(jìn)行?！皩徍俗C據(jù)”和“審核準(zhǔn)則”在ISO19011中定義。測(cè)量measurement確定數(shù)值的過(guò)程（3.8）。監(jiān)視monitoring確定體系、過(guò)程（3.8）或活動(dòng)的狀態(tài)。確定狀態(tài)可能需要檢查、監(jiān)督或密切觀察。PII聯(lián)合控制者jointPIIcontroller與其他一個(gè)或更多PII控制者聯(lián)合決定處理PII的目的和手段的PII控制者。顧客customer能夠或?qū)嶋H接受為其提供的或按其要求提供的產(chǎn)品或服務(wù)的個(gè)人或組織（3.1）。示例：消費(fèi)者、委托人、最終使用者、零售商、內(nèi)部過(guò)程（3.8）的產(chǎn)品或服務(wù)的接收人、受益者和采購(gòu)方。顧客可以是組織內(nèi)部的或外部的。顧客可以是與PII控制者有合同的組織（3.1），或是與PII處理者有合同的PII控制者，或是與分包商有PII處理合同的PII處理者（有關(guān)詳細(xì)信息，見(jiàn)4.2）。隱私信息管理體系privacyinformationmanagementsystemPIMS關(guān)于受PII處理潛在影響的隱私保護(hù)的信息安全管理體系（3.4）。信息安全方案informationsecurityprogramme旨在管理組織（3.1）資產(chǎn)所面臨的風(fēng)險(xiǎn)（3.7），以確保信息的保密性、完整性和可用性的一組方針（3.5）目標(biāo)（3.6）和過(guò)程（3.8）。信息安全方案可以是例如基于ISO/IEC27001的信息安全管理體系。適用性聲明statementofapplicability所有必要控制以及包含或刪減控制的理由的文件。組織可能不需要附錄A中列出的所有控制，甚至可能超出附錄A中的列表，增加組織自身確定的額外控制。組織環(huán)境理解組織及其環(huán)境組織應(yīng)確定與其宗旨相關(guān)，并影響其實(shí)現(xiàn)隱私信息管理體系預(yù)期結(jié)果能力的外部和內(nèi)部因素。組織應(yīng)確定氣候變化是否是一個(gè)相關(guān)因素。組織應(yīng)確定其作為一個(gè)PII控制者（包括作為PII聯(lián)合控制者）和/或PII處理者的角色。組織應(yīng)確定與其環(huán)境相關(guān)的外部和內(nèi)部因素，這些因素影響其實(shí)現(xiàn)隱私信息管理體系預(yù)期結(jié)果的能力。外部和內(nèi)部因素可能包括但不限于：適用的隱私法律；適用的法規(guī)；適用的司法判決；適用的組織環(huán)境、治理、策略和程序；適用的行政決定；適用的合同要求。當(dāng)組織同時(shí)作為兩種角色（即PII控制者和PII處理者）時(shí)，應(yīng)分別確定其角色，對(duì)應(yīng)其每一種角色分別應(yīng)用一組控制。組織角色在每一種PII處理場(chǎng)景中可能不同，因其取決于誰(shuí)決定處理的目的和手段。理解相關(guān)方的需求和期望組織應(yīng)確定：與隱私信息管理體系相關(guān)的相關(guān)方；這些相關(guān)方的相關(guān)要求；其中哪些要求將通過(guò)隱私信息管理體系來(lái)解決。相關(guān)方可能有與氣候變化相關(guān)的要求。組織識(shí)別的相關(guān)方應(yīng)包含那些與組織處理PII相關(guān)的具有利益或責(zé)任的相關(guān)方，包括PII主體。其他相關(guān)方可包括顧客（見(jiàn)4.2）監(jiān)管機(jī)構(gòu)、其他PII控制者、PII處理者及其分包方。根據(jù)組織的角色，“客戶”可以理解為以下任一情況：與PII控制者簽署合同的組織（例如，PII控制者的顧客，也適用于組織是一個(gè)聯(lián)合控制者的情況）；與PII處理者有合同關(guān)系的PII控制者（例如，PII處理者的客戶）；或與處理PII的分包方簽署合同的PII處理者（即，PII處理分包方的顧客者）。在本標(biāo)準(zhǔn)中，與組織存在商業(yè)對(duì)消費(fèi)者（B2C）關(guān)系的個(gè)人被稱為“PII主體”。與處理PII相關(guān)的要求可由法律法規(guī)要求、合同義務(wù)、自行提出的組織目標(biāo)確定。IS0/IEC29100中規(guī)定的隱私原則為處理PII提供了指南。作為正式組織義務(wù)符合性的一個(gè)要素，一些相關(guān)方可期望組織符合特定標(biāo)準(zhǔn)，例如本標(biāo)準(zhǔn)規(guī)定的管理體系和/或任何相關(guān)的規(guī)范。這些相關(guān)方可要求關(guān)于這些標(biāo)準(zhǔn)的符合性的獨(dú)立審核。確定隱私管理體系的范圍組織應(yīng)確定隱私信息管理體系的邊界和適用性，以建立其范圍。在確定這一范圍時(shí)，組織應(yīng)考慮：4.1中提及的外部和內(nèi)部因素；4.2中提及的要求。組織的隱私信息管理體系范圍應(yīng)可獲取，并作為成文信息加以保持。當(dāng)確定隱私信息管理體系范圍時(shí)，組織應(yīng)將PII處理包括在內(nèi)。隱私管理體系組織應(yīng)按照本標(biāo)準(zhǔn)的要求，建立、實(shí)施、保持并持續(xù)改進(jìn)隱私信息管理體系，包括所需的過(guò)程及其相互作用。領(lǐng)導(dǎo)作用領(lǐng)導(dǎo)作用和承諾最高管理者應(yīng)通過(guò)以下活動(dòng)，證實(shí)對(duì)隱私信息管理體系的領(lǐng)導(dǎo)作用和承諾：確保建立隱私方針（見(jiàn)5.2）和隱私目標(biāo)（見(jiàn)6.2），并與組織戰(zhàn)略方向相一致；確保將隱私信息管理體系要求融入組織的過(guò)程中；確保隱私信息管理體系所需的資源是可獲得的；溝通有效的隱私信息管理及符合隱私信息管理體系要求的重要性；確保隱私信息管理體系實(shí)現(xiàn)其預(yù)期結(jié)果；指導(dǎo)和支持相關(guān)人員為隱私信息管理體系的有效性做出貢獻(xiàn)；促進(jìn)持續(xù)改進(jìn)；支持其他相關(guān)管理者在其職責(zé)范圍內(nèi)發(fā)揮領(lǐng)導(dǎo)作用。注：本標(biāo)準(zhǔn)中提及的“業(yè)務(wù)”一詞可廣義地理解為涉及組織存在的目的核心活動(dòng)。隱私方針最高管理者應(yīng)制定隱私方針，隱私方針應(yīng)：與組織宗旨相適應(yīng)；為設(shè)定隱私目標(biāo)提供框架；包括滿足適用要求的承諾；包括對(duì)隱私信息管理體系持續(xù)改進(jìn)的承諾。隱私方針應(yīng)：作為成文信息可獲?。辉诮M織內(nèi)部進(jìn)行溝通；適宜時(shí)，可為相關(guān)方所獲取。角色、職責(zé)和權(quán)限最高管理者應(yīng)確保相關(guān)角色、職責(zé)和權(quán)限在組織內(nèi)得到分配和溝通。最高管理者應(yīng)分配職責(zé)和權(quán)限，以：確保隱私信息管理體系符合本標(biāo)準(zhǔn)的要求；向最高管理者報(bào)告隱私信息管理體系績(jī)效。策劃應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇的措施總則當(dāng)策劃隱私信息管理體系時(shí)，組織應(yīng)考慮4.1中提及的因素和4.2中提及的要求，并確定需要應(yīng)對(duì)的風(fēng)險(xiǎn)和機(jī)遇，以：確保隱私信息管理體系能夠?qū)崿F(xiàn)其預(yù)期結(jié)果；預(yù)防或減少不良影響；實(shí)現(xiàn)持續(xù)改進(jìn)。組織應(yīng)策劃：應(yīng)對(duì)這些風(fēng)險(xiǎn)和機(jī)遇的措施；如何：將這些措施整合到隱私信息管理體系過(guò)程中，并予以實(shí)現(xiàn)；評(píng)價(jià)這些措施的有效性。隱私風(fēng)險(xiǎn)評(píng)估組織應(yīng)規(guī)定并應(yīng)用隱私風(fēng)險(xiǎn)評(píng)估過(guò)程，以：建立并保持隱私風(fēng)險(xiǎn)準(zhǔn)則，包括：風(fēng)險(xiǎn)接受準(zhǔn)則；實(shí)施隱私風(fēng)險(xiǎn)評(píng)估的準(zhǔn)則；確保反復(fù)的隱私風(fēng)險(xiǎn)評(píng)估產(chǎn)生一致的、有效的和可比較的結(jié)果；識(shí)別隱私風(fēng)險(xiǎn)：與隱私信息管理體系范圍內(nèi)的隱私保護(hù)和信息安全風(fēng)險(xiǎn)相關(guān)；確定風(fēng)險(xiǎn)責(zé)任人；分析隱私風(fēng)險(xiǎn)：評(píng)估6.1.2c）1）中所識(shí)別的風(fēng)險(xiǎn)發(fā)生后，對(duì)組織和PII主體可能產(chǎn)生的潛在后果；評(píng)估6.1.2c）1）中所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性；確定風(fēng)險(xiǎn)等級(jí)；評(píng)價(jià)隱私風(fēng)險(xiǎn)。將風(fēng)險(xiǎn)分析結(jié)果與6.1.2a）中建立的風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行比較；為風(fēng)險(xiǎn)應(yīng)對(duì)對(duì)已分析風(fēng)險(xiǎn)進(jìn)行優(yōu)先排序。組織應(yīng)保留有關(guān)隱私風(fēng)險(xiǎn)評(píng)估過(guò)程的成文信息。注：有關(guān)隱私風(fēng)險(xiǎn)評(píng)估過(guò)程的更多信息，請(qǐng)參見(jiàn)ISO/IEC27557。隱私風(fēng)險(xiǎn)應(yīng)對(duì)組織應(yīng)規(guī)定并應(yīng)用隱私風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程，以應(yīng)對(duì)與PII處理相關(guān)的風(fēng)險(xiǎn)，包括對(duì)PII主體的風(fēng)險(xiǎn)以及對(duì)PII安全的威脅，具體通過(guò)以下方式：在考慮風(fēng)險(xiǎn)評(píng)估結(jié)果的基礎(chǔ)上，選擇適合的隱私風(fēng)險(xiǎn)應(yīng)對(duì)方案；確定實(shí)現(xiàn)所選擇的隱私風(fēng)險(xiǎn)應(yīng)對(duì)方案所必需的所有控制；當(dāng)需要時(shí)，組織可設(shè)計(jì)控制，或識(shí)別來(lái)自任何來(lái)源的控制。識(shí)別并將組織實(shí)施的信息安全方案形成文件，包括適當(dāng)?shù)陌踩刂?；ISO/IEC27002提供了可能的信息安全控制清單。如果信息安全方案基于ISO/IEC27001，則本標(biāo)準(zhǔn)的用戶應(yīng)參考ISO/IEC27002，以確保沒(méi)有遺漏必要的信息安全控制。將6.1.3b）確定的控制與附錄A中的控制進(jìn)行比較，并驗(yàn)證沒(méi)有忽略必要的控制；附錄A包含了可能的信息安全控制的清單。本標(biāo)準(zhǔn)使用者可在附錄A的指導(dǎo)下，確保沒(méi)有遺漏必要的控制。附錄A所列的信息安全控制并不是完備的，可能需要額外的隱私控制。組織在考慮Pll處理的安全性時(shí)，可以采用整合的方式處理安全性和隱私性問(wèn)題，例如將安全性和隱私性風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái)，或?qū)⑵渥鳛橛兄丿B領(lǐng)域的獨(dú)立實(shí)體。制定一個(gè)適用性聲明，其中包含：必要的控制（見(jiàn)6.1.3b）、c）和d））；選擇該控制的合理性說(shuō)明；必要的控制是否得到實(shí)施；對(duì)附錄A控制刪減的合理性說(shuō)明。并非附錄A中列出的所有控制都必須包含。刪減任何控制的理由可以包括：風(fēng)險(xiǎn)評(píng)估認(rèn)為這些控制并非必要，或者適用法律法規(guī)（包括適用于PII主體的法律法規(guī)）未要求實(shí)施這些控制（或存在例外情況）。制定隱私風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃；獲得隱私風(fēng)險(xiǎn)負(fù)責(zé)人的批準(zhǔn)隱私風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃，并接受剩余隱私風(fēng)險(xiǎn)；獲得風(fēng)險(xiǎn)責(zé)任人對(duì)隱私風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃以及對(duì)隱私殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)；在實(shí)施b）和c）中確定的控制時(shí)，考慮附錄B中的指導(dǎo)。組織應(yīng)保留有關(guān)信息隱私風(fēng)險(xiǎn)應(yīng)對(duì)過(guò)程的成文信息。隱私目標(biāo)及其實(shí)現(xiàn)的策劃組織應(yīng)在相關(guān)職能和層次上建立隱私目標(biāo)。隱私目標(biāo)應(yīng)：與隱私方針保持一致（見(jiàn)5.2）；可測(cè)量（如可行）；考慮適用的隱私要求；予以監(jiān)視；予以溝通；適時(shí)更新；作為成文信息可獲取。組織應(yīng)保留有關(guān)隱私目標(biāo)的成文信息。在策劃如何實(shí)現(xiàn)隱私目標(biāo)時(shí)，組織應(yīng)確定：要做什么；需要什么資源；由誰(shuí)負(fù)責(zé)；何時(shí)完成；如何評(píng)價(jià)結(jié)果。變更的策劃當(dāng)組織確定需要對(duì)隱私管理體系進(jìn)行變更時(shí)，變更應(yīng)按所策劃的方式實(shí)施。支持資源組織應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)隱私管理體系所需的資源。能力組織應(yīng)：確定在組織控制下從事會(huì)影響組織隱私信息績(jī)效的工作人員的必要能力；基于適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)，確保這些人員是勝任的；適用時(shí)，采取措施以獲得所需的能力，并評(píng)價(jià)所采取措施的有效性；保留適當(dāng)?shù)某晌男畔?，作為人員能力的證據(jù)。注：適當(dāng)措施可包括對(duì)在職人員進(jìn)行培訓(xùn)、輔導(dǎo)或重新分配工作，或者聘用、外包勝任的人員。意識(shí)在組織控制下工作的人員應(yīng)知曉：隱私方針（見(jiàn)5.2）；他們對(duì)隱私管理體系有效性的貢獻(xiàn)，包括改進(jìn)隱私信息績(jī)效帶來(lái)的益處；不符合隱私信息管理體系要求帶來(lái)的后果。溝通組織應(yīng)確定與隱私管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：溝通什么；何時(shí)溝通；與誰(shuí)溝通；如何溝通。成文信息總則組織的隱私管理體系應(yīng)包括：本標(biāo)準(zhǔn)要求的成文信息；組織所確定的、為確保隱私管理體系有效性所需的成文信息。注：對(duì)于不同組織，質(zhì)量管理體系成文信息的多少與詳略程度可以不同，取決于：組織的規(guī)模，以及活動(dòng)、過(guò)程、產(chǎn)品和服務(wù)的類型；過(guò)程及其相互作用的復(fù)雜程度；人員的能力。創(chuàng)建和更新在創(chuàng)建和更新成文信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模簶?biāo)識(shí)和說(shuō)明（如標(biāo)題、日期、作者或索引編號(hào)）；格式（如語(yǔ)言、軟件版本、圖表）和載體（例如紙質(zhì)的、電子的）；評(píng)審和批準(zhǔn)，以保持適宜性和充分性。成文信息的控制應(yīng)控制隱私管理體系和本標(biāo)準(zhǔn)所要求的成文信息，以確保：在需要的場(chǎng)合和時(shí)機(jī)，均可獲得并適用；予以妥善保護(hù)（如防止泄密、不當(dāng)使用或缺失）。為控制成文信息，適用時(shí)，組織應(yīng)進(jìn)行以下活動(dòng)：分發(fā)，訪問(wèn)，檢索和使用；存儲(chǔ)和保護(hù)，包括保持可讀性；更改控制（例如版本控制）；保留和處理。對(duì)于組織確定的策劃和運(yùn)行隱私管理體系所必需的來(lái)自外部的成文信息，組織應(yīng)進(jìn)行適當(dāng)識(shí)別，并予以控制。注：對(duì)成文信息的“訪問(wèn)”可能意味著僅允許查閱，或者意味著允許查閱并授權(quán)修改。運(yùn)行運(yùn)行的策劃和控制組織應(yīng)策劃、實(shí)施和控制滿足要求所需的過(guò)程，并通過(guò)以下方式實(shí)施第6章中確定的措施：為過(guò)程建立準(zhǔn)則；根據(jù)準(zhǔn)則實(shí)施過(guò)程控制。成文信息應(yīng)在必要的范圍內(nèi)可用，以確信這些過(guò)程已按策劃執(zhí)行。組織應(yīng)控制策劃的變更，評(píng)審非預(yù)期變更的后果，必要時(shí)，采取措施減輕不利影響。組織應(yīng)確保與隱私管理體系相關(guān)的、由外部提供的過(guò)程、產(chǎn)品或服務(wù)受控。隱私風(fēng)險(xiǎn)評(píng)估組織應(yīng)考慮6.1.2a）所建立的準(zhǔn)則，按策劃時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí)，實(shí)施隱私風(fēng)險(xiǎn)評(píng)估。組織應(yīng)保留隱私風(fēng)險(xiǎn)評(píng)估結(jié)果的成文信息。隱私風(fēng)險(xiǎn)應(yīng)對(duì)組織應(yīng)實(shí)施隱私風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃。組織應(yīng)保留隱私風(fēng)險(xiǎn)應(yīng)對(duì)結(jié)果的成文信息。績(jī)效評(píng)價(jià)監(jiān)視、測(cè)量、分析和評(píng)價(jià)組織應(yīng)確定：需要監(jiān)視和測(cè)量什么；需要用什么方法進(jìn)行監(jiān)視、測(cè)量、分析和評(píng)價(jià)，以確保結(jié)果有效；何時(shí)實(shí)施監(jiān)視和測(cè)量；何時(shí)對(duì)監(jiān)視和測(cè)量的結(jié)果進(jìn)行分析和評(píng)價(jià)。應(yīng)保留適當(dāng)?shù)某晌男畔?，以作為結(jié)果的證據(jù)。組織應(yīng)評(píng)價(jià)隱私績(jī)效和隱私信息管理體系的有效性。內(nèi)部審核總則組織應(yīng)按照策劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供有關(guān)隱私信息管理體系的下列信息：a）是否符合；組織自身的隱私信息管理體系要求；本標(biāo)準(zhǔn)的要求。b）是否得到有效的實(shí)施和保持。內(nèi)部審核方案組織應(yīng)策劃、制定、實(shí)施和保持（一個(gè)或多個(gè)）審核方案，審核方案包括審核頻次、方法、職責(zé)、策劃要求和報(bào)告。當(dāng)制定內(nèi)部審核方案時(shí)，應(yīng)考慮相關(guān)過(guò)程的重要性和以往審核的結(jié)果。組織應(yīng)：規(guī)定每次審核的審核準(zhǔn)則和范圍；選擇審核員并實(shí)施審核，確保審核過(guò)程的客觀性和公正性；確保將審核結(jié)果報(bào)告至相關(guān)管理者；保留成文信息，作為實(shí)施審核方案以及審核結(jié)果的證據(jù)。管理評(píng)審總則最高管理者應(yīng)按照策劃的時(shí)間間隔對(duì)組織的隱私信息管理體系進(jìn)行評(píng)審，以確保其持續(xù)的適宜性、充分性和有效性。管理評(píng)審輸入管理評(píng)審應(yīng)考慮：以往管理評(píng)審所采取措施的狀況；與隱私信息管理體系相關(guān)的外部和內(nèi)部因素的變化；與隱私信息管理體系相關(guān)的相關(guān)方需求和期望的變化；有關(guān)信息安全績(jī)效的反饋，包括以下方面的趨勢(shì)：不符合和糾正措施；監(jiān)視和測(cè)量結(jié)果；審核結(jié)果。持續(xù)改進(jìn)的機(jī)會(huì)。管理評(píng)審輸出管理評(píng)審輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更隱私信息管理體系的任何需求。成文信息應(yīng)保留并可獲取，作為管理評(píng)審結(jié)果的證據(jù)。改進(jìn)持續(xù)改進(jìn)組織應(yīng)持續(xù)改進(jìn)隱私信息管理體系的適宜性、充分性和有效性。不符合及糾正措施當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：對(duì)不符合做出反應(yīng)，適用時(shí)：采取措施以控制和糾正不符合；處置后果；通過(guò)下列活動(dòng)，評(píng)價(jià)是否需要采取措施，以消除產(chǎn)生不合格的原因，避免其再次發(fā)生或者在其他場(chǎng)合發(fā)生：評(píng)審不符合；確定不符合的原因；確定是否存在或可能發(fā)生類似的不符合；實(shí)施所需的措施；評(píng)審所采取的糾正措施的有效性；需要時(shí)變更質(zhì)量管理體系；糾正措施應(yīng)與不符合所產(chǎn)生的影響相適應(yīng)。應(yīng)保留成文信息，作為下列事項(xiàng)的證據(jù)：不符合的性質(zhì)以及隨后所采取的措施；糾正措施的結(jié)果。關(guān)于附錄的進(jìn)一步信息附錄A列出了組織作為PII控制者（無(wú)論其是否聘用PII處理者，以及是否與其他PII控制者聯(lián)合行動(dòng)），或作為PII處理者（無(wú)論其是否將PII的處理分包給獨(dú)立的PII處理者，包括作為PII處理者的分包商處理PII的情況），或同時(shí)作為PII控制者和處理者時(shí)，隱私信息管理體系的參考控制目標(biāo)和控制。附錄B列出了實(shí)施附錄A中列出的控制的隱私信息管理體系實(shí)施指南。附錄C包含了與ISO/IEC29100的對(duì)應(yīng)關(guān)系。附錄D包含了本標(biāo)準(zhǔn)中控制與歐盟《通用數(shù)據(jù)保護(hù)條例》的對(duì)應(yīng)關(guān)系。附錄E包含了與ISO/IEC27018和ISO/IEC29151的對(duì)應(yīng)關(guān)系。附錄F展示了本版ISO/IEC27701中的控制與2019年版的對(duì)應(yīng)關(guān)系。（規(guī)范性附錄）PII控制者的控制目標(biāo)和控制措施本附件旨在為擔(dān)任PII控制者或PII處理者，或同時(shí)擔(dān)任兩者的組織提供使用指南。在隱私信息管理體系的實(shí)施中，并非本附錄中列出的所有控制目標(biāo)和控制措施都需要包含在內(nèi)。對(duì)于刪減的任何控制目標(biāo)，應(yīng)在適用性聲明中給出合理性說(shuō)明（見(jiàn)6.1.3f））。刪減的合理性說(shuō)明可以包括：通過(guò)風(fēng)險(xiǎn)評(píng)估認(rèn)為這些控制不是必要的，或者根據(jù)適用的法律法規(guī)（或法律法規(guī)下的例外情況）不需要這些控制。表A.1針對(duì)PII控制者，表A.2針對(duì)PII處理者，表A.3則涉及PII控制者和PII處理者共同的安全控制。注：表A.1、A.2和A.3中“控制參考”下的引用是指附件B中的相應(yīng)條款編號(hào)（例如，關(guān)于控制A.1.2.2的指南可在B.1.2.2中找到）。表A.1：PII控制者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.1.2.2識(shí)別目的并形成文件組織應(yīng)識(shí)別擬處理PII的特定目的并形成文件。A.1.2.3識(shí)別合法性基礎(chǔ)組織應(yīng)針對(duì)已識(shí)別的PII處理目的，確定相關(guān)合法性依據(jù)并形成文件、遵守相關(guān)合法基礎(chǔ)。A.1.2.4確定何時(shí)以及如何獲得同意組織應(yīng)針對(duì)是否、何時(shí)和如何獲得PII主體對(duì)處理PII的同意確定過(guò)程并形成文件，該過(guò)程應(yīng)能夠證實(shí)。A.1.2.5獲取并記錄同意組織應(yīng)按形成文件的過(guò)程獲得和記錄PII主體的同意。A.1.2.6隱私影響評(píng)估當(dāng)策劃新的PII處理或?qū)ΜF(xiàn)有PII處理進(jìn)行變更時(shí)，組織應(yīng)評(píng)估進(jìn)行隱私影響評(píng)估的需求并在適當(dāng)時(shí)實(shí)施。A.1.2.7與PII處理者的合同組織應(yīng)與任何其使用的PII處理者簽署書面合同，就確保他們與PII處理者的合同明確附件A（見(jiàn)表A.2）中適當(dāng)控制的實(shí)施。A.1.2.8PII聯(lián)合控制者組織應(yīng)與任何聯(lián)合PII控制者確定處理PII（包括PII保護(hù)和安全要求）的各自角色和職責(zé)。A.1.2.9與處理PII相關(guān)的記錄組織應(yīng)確定并安全地維護(hù)必要的記錄，以支持其處理PII的義務(wù)。。A.1.3.2確定并履行對(duì)于PlI主體的義務(wù)組織應(yīng)確定并記錄其對(duì)PII主體與處理其PII相關(guān)的法律法規(guī)和業(yè)務(wù)義務(wù)，并提供履行這些義務(wù)的方法。A.1.3.3確定PII主體所需的信息組織應(yīng)確定并記錄要提供給PII主體的有關(guān)其PII處理的信息和提供此類信息的時(shí)機(jī)。A.1.3.4向PII主體提供信息關(guān)于識(shí)別PII控制者和對(duì)PII處理的描述，組織應(yīng)向PII主體提供明確的和易于獲取的信息。A.1.3.5提供修改或撤回同意的機(jī)制組織應(yīng)為PII主體提供修改或撤回同意的機(jī)制。A.1.3.6提供反對(duì)PII處理的機(jī)制組織應(yīng)為PII主體提供反對(duì)處理其PII的機(jī)制。A.1.3.7訪問(wèn)、糾正和/或擦除組織應(yīng)實(shí)施策略、程序或機(jī)制已履行其對(duì)于PII主體訪問(wèn)、糾正和/或擦除其PII的義務(wù)。A.1.3.8PII控制者告知第三方的義務(wù)組織應(yīng)將與其共享PII相關(guān)的任何修改，撤回或反對(duì)告知已與之共享PII的第三方，并實(shí)施適當(dāng)?shù)牟呗?、程序或機(jī)制進(jìn)行告知。A.1.3.9提供被處理PII副本組織應(yīng)能夠在PII主體請(qǐng)求時(shí)向其提供所處理的PII副本。A.1.3.10處理請(qǐng)求組織應(yīng)定義處理和響應(yīng)PII主體的合法請(qǐng)求的策略和程序并形成文件。A.1.3.11自動(dòng)化決策組織應(yīng)識(shí)別和說(shuō)明由組織僅基于自動(dòng)處理PII做出與PII主體相關(guān)的決策所產(chǎn)生的對(duì)PII主體的義務(wù)，包括法律義務(wù)。A.1.4.2有限收集組織應(yīng)將PII的收集限制在與識(shí)別的目的相關(guān)、適當(dāng)和必要的最低限度。A.1.4.3有限處理組織應(yīng)將PII的處理限制在對(duì)于已識(shí)別的目的充分、相關(guān)和必要的程度。A.1.4.4準(zhǔn)確性和質(zhì)量組織應(yīng)確保在PII的整個(gè)生命周期內(nèi)PII為達(dá)到處理目的所必需的準(zhǔn)確、完整和最新，并形成文件。A.1.4.5PII最小化目標(biāo)組織應(yīng)定義數(shù)據(jù)最小化目標(biāo)以及用于滿足這些目標(biāo)的機(jī)制（如去標(biāo)識(shí)化），并形成文件。A.1.4.6PII去標(biāo)識(shí)化和處理結(jié)束時(shí)的刪除組織應(yīng)刪除PII或?qū)⑵涑尸F(xiàn)為不允許識(shí)別或重新識(shí)別PII主體的形式，只要原始PII不再需要用于識(shí)別的目的。A.1.4.7臨時(shí)文件組織應(yīng)確保作為處理PII的結(jié)果創(chuàng)建的臨時(shí)文件在文件規(guī)定的時(shí)限內(nèi)按形成文件的程序得到處理（如擦除或銷毀）。A.1.4.8保留組織保留PII不應(yīng)超過(guò)PII處理目的所需的時(shí)間。A.1.4.9處置組織應(yīng)有形成文件的策略、程序或機(jī)制處置PII。A.1.4.10PII傳輸控制組織應(yīng)對(duì)通過(guò)數(shù)據(jù)傳輸網(wǎng)絡(luò)傳輸（例如發(fā)送到另一個(gè)組織）的PII進(jìn)行適當(dāng)?shù)目刂疲源_保數(shù)據(jù)到達(dá)其預(yù)期目的地。PII共享、轉(zhuǎn)移和披露目標(biāo)：確定PII共享、向其他司法轄區(qū)或第三方傳輸和/或披露時(shí)是否遵從適用義務(wù)，并形成文件。A.1.5.2識(shí)別跨司法轄區(qū)轉(zhuǎn)移Pll的依據(jù)組織應(yīng)識(shí)別在不同司法轄區(qū)傳輸PII的相關(guān)依據(jù)并形成文件。A.1.5.3可向其轉(zhuǎn)移PII數(shù)據(jù)的國(guó)家和國(guó)際組織組織應(yīng)規(guī)定PII可能被傳輸?shù)膰?guó)家和國(guó)際組織并形成文件。A.1.5.4PII轉(zhuǎn)移記錄組織應(yīng)記錄PII轉(zhuǎn)移到第三方或從第三方轉(zhuǎn)移，并確保與這些相關(guān)的合作，以支持未來(lái)與其對(duì)PII主體的義務(wù)相關(guān)的請(qǐng)求。A.1.5.5向第三方披露PlI的記錄組織應(yīng)記錄PII向第三方的披露，包括披露了什么PII，披露給了誰(shuí)，以及披露的時(shí)間。表A.2：PII處理者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.2.2.2顧客協(xié)議相關(guān)時(shí)，組織應(yīng)確保處理PII的合同說(shuō)明組織在協(xié)助客戶履行義務(wù)方面的作用（考慮到處理的性質(zhì)和組織可獲得的信息）A.2.2.3組織的目的組織應(yīng)確保代表顧客處理的PII僅為顧客書面指令中闡述的目的處理。A.2.2.4營(yíng)銷與廣告用途組織不應(yīng)在獲得適當(dāng)?shù)腜II主體同意之前將其按合同處理的PII用于市場(chǎng)營(yíng)銷和廣告的目的。組織不應(yīng)將提供此類同意作為獲得服務(wù)的條件。A.2.2.5侵權(quán)指令如果組織認(rèn)為一項(xiàng)處理指令違反適用的法律和/法規(guī)，組織應(yīng)告知顧客。A.2.2.6顧客義務(wù)組織應(yīng)向顧客提供適當(dāng)?shù)男畔ⅲ诡櫩湍軌蜃C實(shí)其履行了義務(wù)。A.2.2.7與處理PII相關(guān)的記錄組織應(yīng)為代表顧客執(zhí)行的PII處理確定和保持關(guān)于支持證實(shí)其義務(wù)的符合性的必要的記錄（按適用合同中的規(guī)定）。A.2.3.2履行對(duì)PII主體的義務(wù)控制組織應(yīng)向顧客提供遵從其與PII主體相關(guān)的義務(wù)的方法。A.2.4.2臨時(shí)文件控制組織應(yīng)確保作為PII處理結(jié)果創(chuàng)建的臨時(shí)文件按形成文件的程序在書面規(guī)定的時(shí)限內(nèi)預(yù)計(jì)處置（如擦除或銷毀）。A.2.4.3歸還、轉(zhuǎn)移或處置PlI組織應(yīng)提供以安全方式歸還、轉(zhuǎn)移和/或處置PII的能力。應(yīng)使其顧客可獲得組織的策略。A.2.4.4II傳輸控制組織應(yīng)對(duì)在數(shù)據(jù)傳輸網(wǎng)絡(luò)中傳輸?shù)腜II實(shí)行適當(dāng)?shù)目刂埔源_保數(shù)據(jù)到達(dá)預(yù)期的目的地。PII共享、轉(zhuǎn)移和披露目標(biāo)：確定PII共享、向其他司法轄區(qū)或第三方轉(zhuǎn)移和/或披露是否符合使用義務(wù)，并形成文件。A.2.5.2跨司法轄區(qū)轉(zhuǎn)移PII的依據(jù)組織應(yīng)及時(shí)告知顧客PII在司法管轄區(qū)之間傳輸?shù)囊罁?jù)以及這方面的任何預(yù)期變更，以便顧客有能力反對(duì)此類變更或終止合同。A.2.5.3可向其轉(zhuǎn)移PlI的國(guó)家和國(guó)際組織組織應(yīng)規(guī)定PII可能轉(zhuǎn)移的國(guó)家和國(guó)際組織并形成文件。A.2.5.4向第三方披露PII的記錄組織應(yīng)記錄向第三方進(jìn)行的PII披露，包括：向誰(shuí)、何時(shí)、披露了什么PII。A.2.5.5lI披露請(qǐng)求的通知組織應(yīng)將任何具有法律約束力的PII披露請(qǐng)求通知客戶。A.2.5.6具有法律約束力的PII披露組織應(yīng)拒絕任何不具有法律約束力的PII披露請(qǐng)求，在進(jìn)行任何PII披露之前咨詢相應(yīng)顧客，接受任何合同商定的相應(yīng)顧客已授權(quán)的PII披露。A.2.5.7披露用于處理PII的分包方組織應(yīng)在任何使用分包方處理PII之前向顧客披露。A.2.5.8使用分包方處理PII組織應(yīng)僅按顧客合同使用分包方處理PII。A.2.5.9變更處理PII的分包方在具有通用的書面授權(quán)時(shí)，組織就告知顧客有關(guān)添加或更換分包方以處理PII的任何預(yù)期更改，從而使客戶有機(jī)會(huì)反對(duì)此類更改。表A.3：PII控制者和處理者的控制目標(biāo)和控制措施控制參考控制標(biāo)題控制內(nèi)容A.3.3信息安全策略應(yīng)規(guī)定、與PII處理相關(guān)的信息安全策略，由管理層批準(zhǔn)、發(fā)布并傳達(dá)給相關(guān)人員和相關(guān)方并獲得其認(rèn)可，同時(shí)應(yīng)按策劃間隔和在發(fā)生重大變化時(shí)進(jìn)行評(píng)審。A.3.4信息安全角色與職責(zé)應(yīng)根據(jù)組織需求規(guī)定并分配與PII處理相關(guān)的信息安全角色與職責(zé)。A.3.5信息分類應(yīng)根據(jù)組織的信息安全需求，考慮PII，基于保密性、完整性、可用性和相關(guān)方要求對(duì)信息進(jìn)行分類。A.3.6信息標(biāo)記應(yīng)根據(jù)組織采用的信息分類方案，制定并實(shí)施一套慮PII的適當(dāng)?shù)男畔?biāo)記程序。A.3.7信息傳遞組織內(nèi)部以及組織與其他方之間所有類型的信息傳遞設(shè)施都應(yīng)當(dāng)有與PII處理相關(guān)的信息傳遞的規(guī)則、程序或協(xié)議。A.3.8身份管理應(yīng)管理與PII處理相關(guān)的身份的整個(gè)生命周期。A.3.9訪問(wèn)權(quán)限應(yīng)根據(jù)組織關(guān)于訪問(wèn)控制的特定主題策略和規(guī)則來(lái)提供、評(píng)審、修改和刪除對(duì)與PII處理相關(guān)的PII和其他相關(guān)的訪問(wèn)權(quán)限。A.3.10在供方協(xié)議中強(qiáng)調(diào)信息安全應(yīng)建立與PII處理相關(guān)的信息安全要求，并根據(jù)供方關(guān)系的類型與每個(gè)供方達(dá)成一致。A.3.11信息安全事件管理策劃和準(zhǔn)備組織應(yīng)通過(guò)規(guī)定、建立和溝通信息安全事件管理過(guò)程、角色和職責(zé)，以策劃和準(zhǔn)備好管理與PII處理相關(guān)的信息安全事件。A.3.12信息安全事件響應(yīng)應(yīng)根據(jù)成文程序?qū)εcPII處理相關(guān)的信息安全事件進(jìn)行響應(yīng)。A.3.13法律法規(guī)、監(jiān)管和合同要求應(yīng)當(dāng)識(shí)別、記錄和更新與PII處理相關(guān)的信息安全的法律法規(guī)、監(jiān)管和合同要求以及組織滿足這些要求的方法。A.3.14記錄保護(hù)應(yīng)防止與PII處理相關(guān)的記錄丟失、毀壞、偽造、未經(jīng)授權(quán)的訪問(wèn)和未經(jīng)授權(quán)的發(fā)布。A.3.15信息安全獨(dú)立評(píng)審組織管理與PII處理相關(guān)的信息安全的方法及其實(shí)施（包括人員、流程和技術(shù)），應(yīng)在策劃的時(shí)間間隔或發(fā)生重大變化時(shí)進(jìn)行獨(dú)立評(píng)審。A.3.16遵守信息安全策略、規(guī)則和標(biāo)準(zhǔn)應(yīng)定期評(píng)審組織的信息安全策略、與PII處理相關(guān)的主題策略、規(guī)則和標(biāo)準(zhǔn)遵守情況。A.3.17信息安全意識(shí)、教育和培訓(xùn)組織的人員和相關(guān)方，應(yīng)按其工作職能并與PII處理相關(guān)，接受關(guān)于組織的信息安全策略、主題策略和程序的適當(dāng)?shù)?、定期更新的信息安全意識(shí)、教育和培訓(xùn)。A.3.18保密或不披露協(xié)議反映組織PII保護(hù)需求的保密或不披露協(xié)議應(yīng)當(dāng)由員工和其他相關(guān)方識(shí)別、形成文件、定期評(píng)審和簽署。A.3.19桌面清理和屏幕清理應(yīng)規(guī)定并適當(dāng)強(qiáng)制針對(duì)紙張和可移動(dòng)存儲(chǔ)介質(zhì)的桌面清理規(guī)則，以及信息處理設(shè)施的屏幕清理規(guī)則。A.3.20存儲(chǔ)介質(zhì)應(yīng)根據(jù)組織的分類方案和處理要求，在采購(gòu)、使用、運(yùn)輸和作廢的整個(gè)生命周期中對(duì)含有PII的存儲(chǔ)介質(zhì)進(jìn)行管理。A.3.21設(shè)備的安全處置或再利用應(yīng)驗(yàn)證包含PII的存儲(chǔ)介質(zhì)的設(shè)備，以確保任何敏感數(shù)據(jù)和許可軟件在處置或再利用之前已被刪除或安全覆蓋。A.3.22用戶終端設(shè)備存儲(chǔ)在用戶終端設(shè)備上、由用戶終端設(shè)備處理或可通過(guò)用戶終端設(shè)備訪問(wèn)的PII應(yīng)受到保護(hù)。A.3.23安全身份認(rèn)證應(yīng)基于信息訪問(wèn)限制，實(shí)施與PII處理相關(guān)的安全身份認(rèn)證技術(shù)和程序。A.3.24信息備份應(yīng)維護(hù)和定期測(cè)試與PII處理相關(guān)的信息、軟件和系統(tǒng)的備份副本。A.3.25日志應(yīng)生成、存儲(chǔ)、保護(hù)和分析記錄PII處理相關(guān)活動(dòng)、異常、故障和其他相關(guān)事態(tài)的日志。A.3.26密碼技術(shù)的使用應(yīng)規(guī)定和實(shí)施與PII處理相關(guān)的有效使用加密技術(shù)的規(guī)則，包括加密密鑰管理。A.3.27安全開發(fā)生命周期應(yīng)該建立和應(yīng)用與PII處理相關(guān)的軟件和系統(tǒng)安全開發(fā)的規(guī)則。A.3.28應(yīng)用服務(wù)安全要求在開發(fā)或采購(gòu)應(yīng)用服務(wù)時(shí)，應(yīng)識(shí)別、詳述和審批與PII處理相關(guān)的信息安全要求。A.3.29安全系統(tǒng)架構(gòu)和工程原則應(yīng)建立、記錄、保持與PII處理相關(guān)的安全系統(tǒng)工程的原則，并將其應(yīng)用于任何信息系統(tǒng)開發(fā)活動(dòng)。A.3.30外包開發(fā)組織應(yīng)指導(dǎo)、監(jiān)視和評(píng)審與外包的PII處理系統(tǒng)開發(fā)相關(guān)的活動(dòng)。A.3.31測(cè)試信息應(yīng)適當(dāng)選擇、保護(hù)和管理與PII處理相關(guān)的測(cè)試信息。（規(guī)范性附錄）PII控制者和處理者實(shí)施指南PII控制者實(shí)施指南總則本條款中的增補(bǔ)內(nèi)容為PII控制者提供了隱私信息管理體系指南。本條款中記錄的實(shí)施指南與表A.1中列出的控制措施相關(guān)。收集和處理的條件目標(biāo)按適用司法轄區(qū)的合法性依據(jù)，以及明確規(guī)定的和合法的目的，確定處理合法并形成文件。確定并記錄目的控制組織應(yīng)識(shí)別擬處理PII的特定目的并形成文件。實(shí)施指南組織應(yīng)確保PII主體理解其PII擬被處理的目的。將此目的明確形成文件并與PII主體溝通是組織的責(zé)任。沒(méi)有明確陳述的處理目的同意和選擇不能適當(dāng)給予。處理PII的目的（一個(gè)或多個(gè)）的文件應(yīng)足夠清晰和詳細(xì)，要求提供給PII主體的信息應(yīng)能用（見(jiàn)B.1.3.3）。這包括為獲得同意所必需的信息（見(jiàn)B.1.2.4），以及策略和程序的記錄（見(jiàn)B.1.2.9）.其他信息在部署云計(jì)算服務(wù)時(shí)，IS0/IEC19944中的分類法對(duì)于描述PII處理目的提供術(shù)語(yǔ)可能有幫助。識(shí)別合法性基礎(chǔ)控制組織應(yīng)針對(duì)已識(shí)別的PII處理目的，確定相關(guān)合法性依據(jù)并形成文件、遵守相關(guān)合法基礎(chǔ)。實(shí)施指南一些司法轄區(qū)要求組織能夠證實(shí)其在處理PII前其合法性已正確建立。處理PII的合法性依據(jù)可包括：PII主體的同意；履行合同；遵守法律義務(wù)；保護(hù)PII主體的重要利益；為公眾利益而執(zhí)行的任務(wù)；PII控制者的合法利益。組織應(yīng)針對(duì)每一PII處理活動(dòng)將此依據(jù)形成文件（見(jiàn)B.1.2.9）組織的合法權(quán)益可包括，例如：信息安全目標(biāo)，應(yīng)與隱私保護(hù)有關(guān)的對(duì)PII主體的義務(wù)取得平衡。每當(dāng)根據(jù)PII的性質(zhì)（例如健康信息）或相關(guān)PII主體（例如與兒童相關(guān)的PII）定義了特殊類別的PII時(shí)，組織應(yīng)將這些類別的PII納入其分類方案中。無(wú)論何時(shí)規(guī)定PII的特殊分類，無(wú)論是按PII的性質(zhì)（如健康信息）或按PII主體的關(guān)注度（例如與兒童相關(guān)的PII），組織將在其分類方案中包含這些類別。這些類別中的PII分類可因不同司法轄區(qū)而不同，可因不同行業(yè)采用的監(jiān)管制度不同而變化，因此組織需要了解適用于PII的分類得到執(zhí)行。使用特殊分類的PII還可采用更為嚴(yán)格的控制。PII處理目的的變更和延伸可能要求升級(jí)和/或修訂合法性依據(jù)。這還會(huì)要求獲得PII主體的額外同意。確定何時(shí)以及如何獲得同意控制組織應(yīng)針對(duì)是否、何時(shí)和如何獲得PII主體對(duì)處理PII的同意確定過(guò)程并形成文件，該過(guò)程應(yīng)能夠證實(shí)。實(shí)施指南除非有其他合法理由，否則處理PII可能需要獲得同意。組織應(yīng)明確何時(shí)需要獲得同意以及獲得同意的要求并形成文件。將處理目的與有關(guān)是否以及如何獲得同意的信息相關(guān)聯(lián)可能很有用。在一些司法轄區(qū)對(duì)于如何收集和記錄同意有具體要求（如不與其他協(xié)議捆綁）。除此之外，特定類型的數(shù)據(jù)收集（例如用于科學(xué)研究）和特定類型的PII主體，如兒童，可能需要附加的要求。組織應(yīng)考慮此類要求并將如何使同意滿足這些要求的機(jī)制形成文件。獲取并記錄同意控制組織應(yīng)按形成文件的過(guò)程獲得和記錄PII主體的同意。實(shí)施指南組織應(yīng)獲得和記錄PII主體的同意，使用的方式應(yīng)可按需求提供同意的詳細(xì)信息（例如，同意的時(shí)間，PII主體的身份，以及同意的陳述）。在同意過(guò)程之前提供給PII主體的信息應(yīng)遵循B.1.3.4的指南。同意應(yīng)：自由給予；與具體處理目的關(guān)聯(lián)；清晰明確無(wú)歧義。隱私影響評(píng)估 控制當(dāng)策劃新的PII處理或?qū)ΜF(xiàn)有PII處理進(jìn)行變更時(shí)，組織應(yīng)評(píng)估進(jìn)行隱私影響評(píng)估的需求并在適當(dāng)時(shí)實(shí)施。實(shí)施指南PII處理產(chǎn)生對(duì)PII主體的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)應(yīng)通過(guò)隱私影響評(píng)估予以評(píng)估。一些司法轄區(qū)規(guī)定了強(qiáng)制進(jìn)行隱私影響評(píng)估的情形。評(píng)估準(zhǔn)則可以包括對(duì)PII主體、大規(guī)模處理特殊類別的PII（如健康相關(guān)信息，種族或民族出身，政治觀點(diǎn)，宗教或哲學(xué)信仰，工會(huì)會(huì)員資格，基因數(shù)據(jù)或生物特征數(shù)據(jù)）或大規(guī)模系統(tǒng)性監(jiān)測(cè)公共區(qū)域產(chǎn)生法律影響的自動(dòng)化決策。組織應(yīng)確定完成隱私影響評(píng)估所必需的要素。這些可包括處理的PII的類型清單，何處存儲(chǔ)PII，何處可轉(zhuǎn)移PII。在這種情況下，數(shù)據(jù)流圖和數(shù)據(jù)圖也很有幫助（有關(guān)可以為隱私影響或其他風(fēng)險(xiǎn)評(píng)估提供信息輸入的PII處理記錄的詳細(xì)信息，請(qǐng)參見(jiàn)B.1.2.9）。其他信息與PII處理相關(guān)的影響評(píng)估指南可見(jiàn)IS0/IEC29134。與PII處理者的合同 控制組織應(yīng)與任何其使用的PII處理者簽署書面合同，就確保他們與PII處理者的合同明確附件A（見(jiàn)表A.2）中適當(dāng)控制的實(shí)施。實(shí)施指南組織和任何代表其處理PII的處理者之間的合同應(yīng)考慮信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程（見(jiàn)6.1.2）和由PII處理者處理的PII的范圍，要求PII處理者實(shí)施附錄A（見(jiàn)表A.2）規(guī)定的適當(dāng)控制措施。默認(rèn)情況下，應(yīng)假定附錄A（見(jiàn)表A.2）中規(guī)定的所有控制措施都相關(guān)。如果組織決定不要求PII處理者實(shí)施附件A（見(jiàn)表A.2）中某個(gè)控制措施，應(yīng)說(shuō)明刪減的合理性（見(jiàn)6.1.3）。合同可對(duì)每一方的職責(zé)給予不同定義，但是，為了與本標(biāo)準(zhǔn)一致，應(yīng)在形成文件的信息中考慮和包含所有的控制措施。PII聯(lián)合控制者控制組織應(yīng)與任何聯(lián)合PII控制者確定處理PII（包括PII保護(hù)和安全要求）的各自角色和職責(zé)。實(shí)施指南PII處理的角色和職責(zé)應(yīng)以透明的方式確定。這些角色和職責(zé)應(yīng)記錄在合同或任何類似的約束性文件中，其中包含聯(lián)合處理PII的條款和條件。在一些司法轄區(qū)，此類協(xié)議稱為數(shù)據(jù)共享協(xié)議。聯(lián)合PII控制者協(xié)議可包括（該清單并非明確詳盡的全部?jī)?nèi)容清單）：PII共享的目的/聯(lián)合PII控制者關(guān)系；作為聯(lián)合PII控制者關(guān)系一部分的組織（PII控制者）的身份；按照協(xié)議擬共享和/或轉(zhuǎn)移和處理的PII類別；處理操作（例如轉(zhuǎn)移、使用）的概述；各自角色和職責(zé)的描述；負(fù)責(zé)實(shí)施PII保護(hù)的技術(shù)和組織安全措施的職責(zé)；發(fā)生PII違規(guī)事件時(shí)的職責(zé)界定（例如，由誰(shuí)通知、何時(shí)通知、相互通報(bào)）；PII的保留或處置條款；未遵守協(xié)議的責(zé)任；如何履行對(duì)PII主體的義務(wù)；如何向PII主體提供涵蓋聯(lián)合PII控制者之間協(xié)議要點(diǎn)的信息；PII主體如何獲取其有權(quán)接收的其他信息；為PII主體提供的聯(lián)絡(luò)點(diǎn)。與處理PII相關(guān)的記錄組織應(yīng)確定并安全地維護(hù)必要的記錄，以支持其處理PII的義務(wù)。實(shí)施指南維護(hù)PII處理記錄信息的一種方法是編制一份組織執(zhí)行PII處理活動(dòng)的清單。此類清單可包括：處理類型；處理目的；PII類別和PII主體（如兒童）的描述；已經(jīng)或?qū)⒁蚱渑禤II的接收者的類別，包括第三方國(guó)家或國(guó)際組織接收者；技術(shù)和組織安全措施的一般描述；隱私影響評(píng)估報(bào)告。該清單應(yīng)指定一個(gè)負(fù)責(zé)人，以確保其準(zhǔn)確性和完整性。對(duì)于PII主體的義務(wù)目標(biāo)確保向PII主體提供有關(guān)其PII處理的適當(dāng)信息，并履行對(duì)PII主體與處理其PII相關(guān)的任何其他適用義務(wù)。確定并履行對(duì)于PlI主體的義務(wù)控制組織應(yīng)確定并記錄其對(duì)PII主體與處理其PII相關(guān)的法律法規(guī)和業(yè)務(wù)義務(wù)，并提供履行這些義務(wù)的方法。實(shí)施指南對(duì)于PII主體的義務(wù)和支持性方法因司法轄區(qū)而不同。組織應(yīng)確保提供適當(dāng)?shù)氖侄?，以可訪問(wèn)和及時(shí)的方式履行對(duì)PII主體的義務(wù)。應(yīng)向PII主體提供明確的文件，說(shuō)明履行對(duì)他們的義務(wù)的程度和方式，以及他們可以解決其請(qǐng)求的最新聯(lián)絡(luò)點(diǎn)。應(yīng)以與用于收集PII和同意的方式類似的方式提供聯(lián)系點(diǎn)（例如，如果通過(guò)電子郵件或網(wǎng)站收集PII，則聯(lián)系點(diǎn)應(yīng)通過(guò)電子郵件或網(wǎng)站提供，而不是電話或傳真等替代方式）。確定PII主體所需的信息控制組織應(yīng)確定并記錄要提供給PII主體的有關(guān)其PII處理的信息和提供此類信息的時(shí)機(jī)。實(shí)施指南組織應(yīng)確定何時(shí)將信息提供給PII主體（例如，在處理之前，在被請(qǐng)求后的特定時(shí)間等）以及擬提供信息類型的法律法規(guī)和/業(yè)務(wù)要求。根據(jù)要求，信息可以采用通知的形式?？商峁┙oPII主體的信息的類型示例包括：關(guān)于處理目的的信息（見(jiàn)B.1.2.2）；PII控制者或其代表的聯(lián)系方式；關(guān)于處理的合法性依據(jù)的信息（見(jiàn)B.1.2.3）；關(guān)于何處獲取PII的信息，如果不能直接從PII主體獲?。魂P(guān)于提供PII是否是法定或合同要求的信息，以及適當(dāng)時(shí)，未提供PII可能產(chǎn)生的后果；B.1.3.2中確定的對(duì)PII主體的義務(wù)相關(guān)信息，以及PII主體如何從中受益，特別是關(guān)于訪問(wèn)、修改、更正、請(qǐng)求刪除、接收其PII副本以及反對(duì)處理的信息；關(guān)于PII主體如何撤回同意的信息（見(jiàn)B.1.3.5）；關(guān)于PII轉(zhuǎn)移的信息；關(guān)于PII接收者或接收者類別的信息；關(guān)于PII保留期限的信息；關(guān)于使用基于PII自動(dòng)處理的自動(dòng)化決策的信息；關(guān)于提出投訴的權(quán)利以及如何提出此類投訴的信息；關(guān)于提供信息的頻率（例如，“即時(shí)”通知、組織定義的頻率）的信息。關(guān)于提供信息的頻率的信息（如“及時(shí)”通知、組織規(guī)定的頻率等）。如果處理PII的目的變更或延伸，組織應(yīng)提供更新后的信息。向PII主體提供信息控制關(guān)于識(shí)別PII控制者和對(duì)PII處理的描述，組織應(yīng)向PII主體提供明確的和易于獲取的信息。實(shí)施指南組織應(yīng)以及時(shí)、簡(jiǎn)潔、完整、透明、易懂且易于獲取的形式，使用適合目標(biāo)受眾的清晰明了的語(yǔ)言，向PII主體提供B.1.3.3中詳細(xì)列出的信息。組織應(yīng)使用適合目標(biāo)受眾的清晰明了的語(yǔ)言，以及時(shí)、簡(jiǎn)潔、完整、透明、易懂和易于訪問(wèn)的形式向PII主體提供B.1.3.3中詳述的信息。適用時(shí)，該信息應(yīng)在收集PII時(shí)提供。信息應(yīng)永久可訪問(wèn)。注：通過(guò)提供預(yù)期處理的可視化概覽，圖標(biāo)和圖像可以對(duì)PII主體有所幫助。提供修改或撤回同意的機(jī)制控制組織應(yīng)為PII主體提供修改或撤回同意的機(jī)制。實(shí)施指南組織應(yīng)告知PII主體有關(guān)其可在任意時(shí)間撤銷同意的權(quán)利（這可因司法轄區(qū)而不同），并提供操作的機(jī)制。用于撤銷同意的機(jī)制取決于系統(tǒng)；可能時(shí)，該機(jī)制應(yīng)與用來(lái)獲得同意的機(jī)制一致。例如，如果同意是通過(guò)Email或網(wǎng)站獲得的，撤銷同意的機(jī)制應(yīng)相同，而不是電話或傳真這樣的替代方案。修改同意可包括對(duì)PII的處理施加限制，包括限制PII控制者在有些情況下刪除PII。一些司法轄區(qū)對(duì)PII主體何時(shí)以及如何修改或撤銷同意有限制性要求。組織應(yīng)按記錄同意相似的方式記錄任何撤銷或變更同意的請(qǐng)求。任何同意的變更都應(yīng)通過(guò)適當(dāng)?shù)南到y(tǒng)傳達(dá)給授權(quán)用戶和相關(guān)第三方。組織應(yīng)規(guī)定響應(yīng)時(shí)間，并按規(guī)定的時(shí)間處理請(qǐng)求。其他信息當(dāng)特定PII處理的同意撤銷時(shí)，所有在撤銷同意之前已執(zhí)行的PII處理通常認(rèn)為是適當(dāng)?shù)?，但此類處理的結(jié)果不應(yīng)再用于新的處理。例如，如果一個(gè)PII主體撤銷其對(duì)于畫像的同意，不應(yīng)再使用或咨詢其畫像。提供反對(duì)PII處理的機(jī)制控制組織應(yīng)為PII主體提供反對(duì)處理其PII的機(jī)制。實(shí)施指南一些司法管轄區(qū)賦予PII主體對(duì)其PII處理提出異議的權(quán)利。受此類司法管轄區(qū)法律或法規(guī)約束的組織應(yīng)確保保留PII主體行使此權(quán)利的記錄。組織應(yīng)記錄與PII主體對(duì)處理提出異議相關(guān)的法律和監(jiān)管要求（例如，對(duì)出于直接營(yíng)銷目的處理PII提出的異議）。組織應(yīng)向主體提供在這些情況下提出異議的能力的相關(guān)信息。提出異議的機(jī)制可能各不相同，但應(yīng)與所提供的服務(wù)類型相一致（如，在線服務(wù)應(yīng)在線提供此能力）。訪問(wèn)、糾正和/或擦除控制組織應(yīng)實(shí)施策略、程序或機(jī)制已履行其對(duì)于PII主體訪問(wèn)、糾正和/或擦除其PII的義務(wù)。實(shí)施指南組織應(yīng)實(shí)施相關(guān)策略、程序或機(jī)制，以便在PII主體提出請(qǐng)求時(shí)，能夠使其在不無(wú)故拖延的情況下訪問(wèn)、糾正和/或擦除其PII。組織應(yīng)規(guī)定響應(yīng)時(shí)間，并按此時(shí)間處理請(qǐng)求。任何糾正或擦除應(yīng)在系統(tǒng)中傳達(dá)/或告知授權(quán)用戶，并傳遞至已向其轉(zhuǎn)移了PII的第三方（見(jiàn)B.1.3.8）。注：B.1.5.4中規(guī)定的控制所生成的成文信息可在此方面提供幫助。組織應(yīng)實(shí)施策略、程序或機(jī)制，以便在PII主體對(duì)數(shù)據(jù)的準(zhǔn)確性或更正存在爭(zhēng)議時(shí)使用。這些策略、程序或機(jī)制應(yīng)包括告知PII主體進(jìn)行了哪些更改，以及無(wú)法進(jìn)行更正的原因（如適用）。一些司轄區(qū)對(duì)于何時(shí)和如何PII主體可請(qǐng)求更正或擦除其PII有限制。組織應(yīng)確定這些限制是否適用，并及時(shí)了解這些限制。PII控制者告知第三方的義務(wù)控制組織應(yīng)將與其共享PII相關(guān)的任何修改，撤回或反對(duì)告知已與之共享PII的第三方，并實(shí)施適當(dāng)?shù)牟呗浴⒊绦蚧驒C(jī)制進(jìn)行告知。實(shí)施指南組織應(yīng)采取適當(dāng)步驟，考慮到現(xiàn)有技術(shù)，將任何對(duì)共享的PII的同意修改、撤回或異議通知第三方。組織應(yīng)采取適當(dāng)?shù)牟襟E，考慮可用的技術(shù)，將與共享PII相關(guān)的任何修改或撤回同意或反對(duì)告知已與之共享PII的第三方。法律要求可能適用。組織應(yīng)確定和保持與第三方的積極溝通渠道。可將相關(guān)職責(zé)分配給負(fù)責(zé)其運(yùn)行和維護(hù)的具體人員。在通知第三方時(shí)，組織應(yīng)監(jiān)視他們對(duì)收到信息的確認(rèn)。由于對(duì)PII主體的義務(wù)而導(dǎo)致的變更可包括修改或撤銷同意，請(qǐng)求更改、擦除或限制處理，或PII主體請(qǐng)求的對(duì)PII處理的異議。提供被處理PII副本控制組織應(yīng)能夠在PII主體請(qǐng)求時(shí)向其提供所處理的PII副本。實(shí)施指南組織應(yīng)提供一份其所處理的PII副本，該副本應(yīng)是結(jié)構(gòu)化的、常用形式的、PII主體可訪問(wèn)的格式。一些司法管轄區(qū)定義了組織應(yīng)以允許移植到PII主體或PII控制者接收方（通常是結(jié)構(gòu)化、常用和機(jī)器可讀）的格式提供所處理的PII副本的情況。組織應(yīng)確保向一個(gè)PII主體提供的任何PII副本僅與該P(yáng)II主體相關(guān)。如果請(qǐng)求的PII已根據(jù)保留和處理政策（如B.1.4.8所述）被刪除，則PII控制者應(yīng)告知PII主體其所請(qǐng)求的PII已被刪除。當(dāng)組織不再能夠識(shí)別PII主體（如由于去標(biāo)識(shí)化過(guò)程），組織不應(yīng)僅為了實(shí)施該控制措施尋求（再）識(shí)別PII主體。然而，在一些司法轄區(qū)，合法請(qǐng)求可能要求向PII主體請(qǐng)求額外信息，以實(shí)現(xiàn)重新識(shí)別和隨后的披露。技術(shù)可行時(shí)，按PII主體的請(qǐng)求從一個(gè)組織向另一個(gè)組織轉(zhuǎn)移PII副本也是可能的。處理請(qǐng)求控制組織應(yīng)定義處理和響應(yīng)PII主體的合法請(qǐng)求的策略和程序并形成文件。實(shí)施指南合法請(qǐng)求可包括請(qǐng)求一份所處理的PII副本，或提出投訴。一些司法轄區(qū)允許組織在某些情形下收取一定費(fèi)用（如過(guò)多或重復(fù)的請(qǐng)求）。請(qǐng)求應(yīng)在適當(dāng)?shù)囊?guī)定的響應(yīng)時(shí)間內(nèi)處理。一些司法轄區(qū)根據(jù)請(qǐng)求的復(fù)雜性和數(shù)量定義響應(yīng)時(shí)間，以及有延遲時(shí)告知PII主體的要求。應(yīng)在隱私策略中規(guī)定適當(dāng)?shù)捻憫?yīng)時(shí)間。自動(dòng)化決策控制組織應(yīng)識(shí)別和說(shuō)明由組織僅基于自動(dòng)處理PII做出與PII主體相關(guān)的決策所產(chǎn)生的對(duì)PII主體的義務(wù)，包括法律義務(wù)。實(shí)施指南一些司法轄區(qū)針對(duì)僅給予自動(dòng)化處理PII做出的決策對(duì)PII主體有重大影響的情況，規(guī)定了對(duì)PII主體的特定義務(wù)，例如通知存在自動(dòng)化決策、允許PII主體對(duì)此類決策提出異議，或獲得人為干預(yù)。注：在一些司法轄區(qū)，有些PII處理不可完全自動(dòng)化。在這些司法轄區(qū)運(yùn)營(yíng)的組織應(yīng)考慮遵守這些義務(wù)。隱私設(shè)計(jì)和默認(rèn)隱私目標(biāo)確保過(guò)程和系統(tǒng)的設(shè)計(jì)使得收集和處理（包括使用、披露、保留、傳輸和處置）僅限于識(shí)別的目的所必需。有限收集控制組織應(yīng)將PII的收集限制在與識(shí)別的目的相關(guān)、適當(dāng)和必要的最低限度。實(shí)施指南組織應(yīng)僅收集與既定目的相稱、相關(guān)且必要的PII（個(gè)人可識(shí)別信息）。這包括限制組織間接收集（例如，通過(guò)網(wǎng)頁(yè)日志、系統(tǒng)日志）的PII數(shù)量。組織應(yīng)將PII的收集限制在對(duì)于已識(shí)別的目的充分、相關(guān)和必要的程度。這包括限制組織間接收集（如通過(guò)網(wǎng)站日志、系統(tǒng)日志等）的PII數(shù)量。默認(rèn)隱私指當(dāng)存在任何PII的收集和處理選擇時(shí)，每一項(xiàng)應(yīng)默認(rèn)關(guān)閉，且僅在PII主體明確選擇時(shí)開啟。有限處理控制組織應(yīng)將PII的處理限制在對(duì)于已識(shí)別的目的充分、相關(guān)和必要的程度。實(shí)施指南限制PII的處理應(yīng)通過(guò)信息安全和隱私方針（見(jiàn)5.2）以及采用和遵守的形成文件的程序來(lái)管理。對(duì)PII的處理，包括：披露；PII的存儲(chǔ)期限；誰(shuí)能夠訪問(wèn)其PII。應(yīng)默認(rèn)限制在對(duì)于已識(shí)別的最小必要的程度。準(zhǔn)確性和質(zhì)量控制組織應(yīng)確保在PII的整個(gè)生命周期內(nèi)PII為達(dá)到處理目的所必需的準(zhǔn)確、完整和最新，并形成文件。實(shí)施指南組織應(yīng)實(shí)施策略、程序或機(jī)制，使其處理的PII的不準(zhǔn)確性最小化。應(yīng)具備策略、程序或機(jī)制響應(yīng)PII不準(zhǔn)確的情況。這些策略、程序或機(jī)制應(yīng)包含在形成文件的信息中（如通過(guò)技術(shù)系統(tǒng)配置，等）并在PII整個(gè)生命周期中應(yīng)用。其他信息有關(guān)PII處理生命周期的更多信息，請(qǐng)參見(jiàn)ISO/IEC29101:2018，6.2。PII最小化目標(biāo)控制組織應(yīng)定義數(shù)據(jù)最小化目標(biāo)以及用于滿足這些目標(biāo)的機(jī)制（如去標(biāo)識(shí)化），并形成文件。實(shí)施指南組織應(yīng)確定特定PII以及收集和處理的PII數(shù)量相對(duì)于識(shí)別的目的如何受到限制。這可包括使用去標(biāo)識(shí)化技術(shù)或其他最小化技術(shù)。已識(shí)別的目的（見(jiàn)B.1.2.2）可能要求處理尚未去標(biāo)識(shí)化的PII，對(duì)此組織應(yīng)能夠描述此類處理。在其他情況下，已識(shí)別的目的不要求處理原始PII，且對(duì)于已去標(biāo)識(shí)化的PII的處理對(duì)于已識(shí)別的目的可能已經(jīng)足夠。這種情況下，組織應(yīng)定義PII需要關(guān)聯(lián)到PII主體的程度并形成文件，以及設(shè)計(jì)的處理PII的機(jī)制和技術(shù)，使去標(biāo)識(shí)化和/或最小化目標(biāo)可實(shí)現(xiàn)。用于最小化PII的機(jī)制取決于處理類型和處理所用系統(tǒng)。組織應(yīng)將用于實(shí)施數(shù)據(jù)最小化的任何機(jī)制（技術(shù)系統(tǒng)配置，等）形成文件。當(dāng)處理去標(biāo)識(shí)化數(shù)據(jù)對(duì)于目的足夠時(shí)，組織應(yīng)記錄旨在及時(shí)實(shí)施組織設(shè)定的去標(biāo)識(shí)化目標(biāo)的任何機(jī)制（技術(shù)系統(tǒng)配置，等）。例如，移除與PII主體關(guān)聯(lián)的屬性可足以允許組織實(shí)現(xiàn)其識(shí)別的目的。在其他情況下，其他去標(biāo)識(shí)化技術(shù)，例如泛化（e.g.取整）或隨機(jī)化技術(shù)（例如噪聲添加）可用于實(shí)現(xiàn)充分水平的去標(biāo)識(shí)化。有關(guān)去標(biāo)識(shí)化技術(shù)的更多信息，請(qǐng)參見(jiàn)ISO/IEC20889。關(guān)于云計(jì)算，ISO/IEC19444提供了數(shù)據(jù)識(shí)別限定符的定義，數(shù)據(jù)識(shí)別限定符可用于對(duì)數(shù)據(jù)識(shí)別PII主體或?qū)II主體與PII中的一組特征關(guān)聯(lián)的程度進(jìn)行分類。PII去標(biāo)識(shí)化和處理結(jié)束時(shí)的刪除控制組織應(yīng)刪除PII或?qū)⑵涑尸F(xiàn)為不允許識(shí)別或重新識(shí)別PII主體的形式，只要原始PII不再需要用于識(shí)別的目的。實(shí)施指南當(dāng)預(yù)計(jì)不會(huì)進(jìn)行進(jìn)一步處理PII時(shí)，組織應(yīng)具有擦除PII的機(jī)制，或者，只要生成的去標(biāo)識(shí)化數(shù)據(jù)不能合理地允許重新識(shí)別PII主體，就可以使用一些去標(biāo)識(shí)化技術(shù)。臨時(shí)文件控制控制組織應(yīng)確保作為處理PII的結(jié)果創(chuàng)建的臨時(shí)文件在文件規(guī)定的時(shí)限內(nèi)按形成文件的程序得到處理（如擦除或銷毀）。實(shí)施指南組織應(yīng)進(jìn)行定期檢查，使不用的臨時(shí)文件在所識(shí)別的時(shí)限內(nèi)刪除。其他信息信息系統(tǒng)可在其正常運(yùn)行中創(chuàng)建臨時(shí)文件。此類文件特定于系統(tǒng)或應(yīng)用程序，但可以包括與數(shù)據(jù)庫(kù)更新和其他應(yīng)用程序軟件的操作相關(guān)的文件系統(tǒng)回滾日志和臨時(shí)文件。臨時(shí)文件在相關(guān)信息處理任務(wù)完成后不再需要，但有些情況下不能刪除。這些文件繼續(xù)使用的時(shí)長(zhǎng)并不總是很確定，不過(guò)“垃圾收集”程序應(yīng)確定相關(guān)文件并確定自上次使用它們以來(lái)的時(shí)間。保留控制組織保留PII不應(yīng)超過(guò)PII處理目的所需的時(shí)間。實(shí)施指南組織應(yīng)考慮保留PII不超過(guò)必要的時(shí)間的要求，為其保留的信息開發(fā)和維護(hù)保存計(jì)劃。此類計(jì)劃應(yīng)考慮法律法規(guī)和業(yè)務(wù)要求。當(dāng)這些要求相互沖突時(shí)，需在適當(dāng)?shù)姆桨钢羞M(jìn)行業(yè)務(wù)決策（基于風(fēng)險(xiǎn)評(píng)估）。處置控制組織應(yīng)有形成文件的策略、程序或機(jī)制處置PII。實(shí)施指南PII處置技術(shù)的選擇取決于多種因素，處置技術(shù)的特性和結(jié)果（例如產(chǎn)生的物理介質(zhì)的顆粒度或恢復(fù)電子介質(zhì)上已經(jīng)刪除信息的能力）各不相同。選擇適當(dāng)處置技術(shù)時(shí)考慮的因素包括但不限于，擬處置的PII的性質(zhì)和范圍，是否有元數(shù)據(jù)關(guān)聯(lián)PII，以及存儲(chǔ)PII的物理介質(zhì)的特性。PII傳輸控制控制組織應(yīng)對(duì)通過(guò)數(shù)據(jù)傳輸網(wǎng)絡(luò)傳輸（例如發(fā)送到另一個(gè)組織）的PII進(jìn)行適當(dāng)?shù)目刂?，以確保數(shù)據(jù)到達(dá)其預(yù)期目的地。實(shí)施指南PII傳輸需要受控，通常是通過(guò)確保僅授權(quán)人員具有傳輸系統(tǒng)的訪問(wèn)權(quán)限，并遵從適當(dāng)?shù)倪^(guò)程（包括保留審計(jì)日志）以確保被傳輸?shù)腜II無(wú)受損并傳輸?shù)秸_的接收者。PII共享、轉(zhuǎn)移和披露目標(biāo)確定PII共享、向其他司法轄區(qū)或第三方傳輸和/或披露時(shí)是否遵從適用義務(wù)，并形成文件。識(shí)別跨司法轄區(qū)轉(zhuǎn)移Pll的依據(jù)控制組織應(yīng)識(shí)別在不同司法轄區(qū)傳輸PII的相關(guān)依據(jù)并形成文件。實(shí)施指南PII傳輸可能受法律和/或法規(guī)的約束，具體取決于數(shù)據(jù)要傳輸?shù)降乃痉ㄝ爡^(qū)或國(guó)際組織（以及數(shù)據(jù)的來(lái)源地）。組織應(yīng)將此類要求作為傳輸依據(jù)予以遵守并記錄。一些司法轄區(qū)可能要求制定監(jiān)管機(jī)構(gòu)評(píng)審信息傳輸協(xié)議。在此類司法轄區(qū)運(yùn)營(yíng)的組織應(yīng)了解任何此類要求。注：當(dāng)傳輸發(fā)生在特定司法轄區(qū)，適用法律法規(guī)對(duì)于發(fā)送者和接收者同樣適用?？上蚱滢D(zhuǎn)移PII數(shù)據(jù)的國(guó)家和國(guó)際組織控制組織應(yīng)規(guī)定PII可能被傳輸?shù)膰?guó)家和國(guó)際組織并形成文件。實(shí)施指南正常運(yùn)行中可能向其傳輸PII的國(guó)家和國(guó)際組織的身份應(yīng)對(duì)顧客可用。因使用分包PII處理產(chǎn)生的國(guó)家身份應(yīng)包含在內(nèi)。所包含的國(guó)家應(yīng)與B.1.5.2相關(guān)聯(lián)加以考慮。在正常運(yùn)行之外，可能會(huì)出現(xiàn)應(yīng)執(zhí)法機(jī)構(gòu)要求而進(jìn)行的轉(zhuǎn)移案件，其國(guó)家身份無(wú)法事先指定，或適用司法管轄區(qū)禁止以保護(hù)執(zhí)法調(diào)查的機(jī)密性（見(jiàn)B.1.5.2、B.2.5.5和B.2.5.6）。PII轉(zhuǎn)移記錄控制組織應(yīng)記錄PII轉(zhuǎn)移到第三方或從第三方轉(zhuǎn)移，并確保與這些相關(guān)的合作，以支持未來(lái)與其對(duì)PII主體的義務(wù)相關(guān)的請(qǐng)求。實(shí)施指南記錄可以包括從第三方轉(zhuǎn)移已因PII控制者管理其義務(wù)而被修改的PII或轉(zhuǎn)移給第三方以執(zhí)行PII主體的合法請(qǐng)求，包括擦除PII的請(qǐng)求（例如在撤銷同意后）。組織應(yīng)定義這些記錄保留期的策略。對(duì)于這些轉(zhuǎn)移記錄，組織應(yīng)應(yīng)用數(shù)據(jù)最小化原則，嚴(yán)格限于僅保存需要的信息。向第三方披露PlI的記錄控制組織應(yīng)記錄PII向第三方的披露，包括披露了什么PII，披露給了誰(shuí)，以及披露的時(shí)間。實(shí)施指南PII可在正常運(yùn)行期間披露。這些披露應(yīng)予以記錄。任何增加的向第三方的披露，例如來(lái)自合法調(diào)查或外部審計(jì)的那些披露也應(yīng)予以記錄。記錄應(yīng)包括披露的來(lái)源和進(jìn)行披露的授權(quán)的來(lái)源。PII處理者的實(shí)施指南總則本條款中的增補(bǔ)內(nèi)容為PII處理者提供了隱私信息管理體系指南。本條款中記錄的實(shí)施指南與表A.2中列出的控制項(xiàng)相關(guān)。收集和處理的條件目標(biāo)根據(jù)適用的司法管轄區(qū)的合法性依據(jù)，并具有明確定義和合法的目的，確定PII處理的合法性并予以記錄。顧客協(xié)議控制相關(guān)時(shí)，組織應(yīng)確保處理PII的合同說(shuō)明組織在協(xié)助客戶履行義務(wù)方面的作用（考慮到處理的性質(zhì)和組織可獲得的信息）實(shí)施指南組織和顧客之間的合同應(yīng)包含以下任何相關(guān)的內(nèi)容，并取決于顧客的角色（PII控制者或PII處理者）（該清單并非明確詳盡的全部?jī)?nèi)容清單）：設(shè)計(jì)隱私和默認(rèn)隱私（見(jiàn)B.1.4和B.2.4）；實(shí)現(xiàn)安全處理；向監(jiān)管機(jī)構(gòu)報(bào)告涉及PII的違規(guī)事件；通知顧客和PII主體涉及PII的違規(guī)事件；進(jìn)行隱私影響評(píng)估（PIA）；如果需要事先與相關(guān)PII保護(hù)機(jī)構(gòu)協(xié)商，則PII處理者提供協(xié)助的保證。一些司法轄區(qū)要求合同包含處理的標(biāo)的物和持續(xù)時(shí)間、處理的性質(zhì)和目的、PII的類型和PII主體的類別。組織的目的控制組織應(yīng)確保代表顧客處理的PII僅為顧客書面指令中闡述的目的處理。實(shí)施指南組織與顧客之間的合同應(yīng)包含，但不限于，服務(wù)擬實(shí)現(xiàn)的目標(biāo)和時(shí)間框架。為實(shí)現(xiàn)顧客的目的，可能存在技術(shù)原因，為什么組織適合確定處理PII的方法，與客戶的一般說(shuō)明一致，但沒(méi)有客戶的明確說(shuō)明。例如，為了高效地利用網(wǎng)絡(luò)或處理容量，可能根據(jù)一定的PII主體的特征分配特定的處理資源是必要的。組織應(yīng)允許顧客驗(yàn)證其與目的規(guī)范和限制原則的符合性。這也確保了組織或任何其分包方?jīng)]有為顧客書面指令表述的之外的目的處理PII。營(yíng)銷與廣告用途控制組織不應(yīng)在獲得適當(dāng)?shù)腜II主體同意之前將其按合同處理的PII用于市場(chǎng)營(yíng)銷和廣告的目的。組織不應(yīng)將提供此類同意作為獲得服務(wù)的條件。實(shí)施指南PII處理者對(duì)顧客合同要求的符合性應(yīng)形成文件，特別是策劃市場(chǎng)營(yíng)銷和/或廣告時(shí)。組織不應(yīng)堅(jiān)持在未公平獲得PII主體明確同意的情況下包含營(yíng)銷和/或廣告。注：該控制措施是8.2.2通用控制措施的附加措施，并不替代或超越B.2.2.3。侵權(quán)指令控制如果組織認(rèn)為一項(xiàng)處理指令違反適用的法律和/法規(guī)，組織應(yīng)告知顧客。實(shí)施指南組織驗(yàn)證指令是否違反法律法規(guī)的能力取決于技術(shù)環(huán)境、指令本身，以及組織與顧客之間的合同。顧客義務(wù)控制組織應(yīng)向顧客提供適當(dāng)?shù)男畔?，使顧客能夠證實(shí)其履行了義務(wù)。實(shí)施指南顧客需要的信息可以包括組織是否允許并有助于客戶進(jìn)行的審核或其他授權(quán)或客戶同意的審核。與處理PII相關(guān)的記錄控制組織應(yīng)為代表顧客執(zhí)行的PII處理確定和保持關(guān)于支持證實(shí)其義務(wù)的符合性的必要的記錄（按適用合同中的規(guī)定）。實(shí)施指南一些司法轄區(qū)可能要求組織記錄如下的信息：代表每一顧客所執(zhí)行的處理的分類；向第三方或國(guó)際組織的PII轉(zhuǎn)移；技術(shù)的和組織的安全措施的一般描述。對(duì)于PII主體的義務(wù)目標(biāo)確保為PII主體提供了關(guān)于處理其PII的適當(dāng)?shù)男畔?，履行任何與處理其PII相關(guān)的對(duì)于PII主體的適用義務(wù)。履行對(duì)PII主體的義務(wù)控制控制組織應(yīng)向顧客提供遵從其與PII主體相關(guān)的義務(wù)的方法。實(shí)施指南PII控制者的義務(wù)可由法律法規(guī)或合同規(guī)定。這些義務(wù)可包括客戶利用組織的服務(wù)來(lái)履行這些義務(wù)的事項(xiàng)。例如，這可包括及時(shí)糾正或擦除PII。當(dāng)顧客依賴組織的信息或技術(shù)方法以利于履行對(duì)PII主體的義務(wù)，相關(guān)信息或技術(shù)方法應(yīng)在合同中予以規(guī)定。隱私設(shè)計(jì)和默認(rèn)隱私目標(biāo)確保過(guò)程和系統(tǒng)的設(shè)計(jì)使得PII的收集和處理（包括適用、披露、保留、傳輸和處置）限制在已識(shí)別的目的所必要的程度。臨時(shí)文件控制控制組織應(yīng)確保作為PII處理結(jié)果創(chuàng)建的臨時(shí)文件按形成文件的程序在書面規(guī)定的時(shí)限內(nèi)預(yù)計(jì)處置（如擦除或銷毀）。實(shí)施指南組織應(yīng)進(jìn)行定期的驗(yàn)證，不用的臨時(shí)文件在規(guī)定的時(shí)限內(nèi)刪除。其他信息信息系統(tǒng)可在其正常運(yùn)行進(jìn)程中創(chuàng)建臨時(shí)文件。此類文件對(duì)系統(tǒng)或應(yīng)用是特定的，但可能包含與數(shù)據(jù)庫(kù)升級(jí)和其他應(yīng)用軟件運(yùn)行關(guān)聯(lián)的文檔系統(tǒng)回滾日志和臨時(shí)文件。臨時(shí)文件在相關(guān)信息處理任務(wù)完成后不再需要，但有些情況下它們不能被刪除。這些文件保持在用的時(shí)長(zhǎng)不是總能確定的，但是一個(gè)“垃圾收集”程序應(yīng)識(shí)別相關(guān)文件并確定自上次使用以來(lái)已有多長(zhǎng)時(shí)間。歸還、轉(zhuǎn)移或處置PlI 控制組織應(yīng)提供以安全方式歸還、轉(zhuǎn)移和/或處置PII的能力。應(yīng)使其顧客可獲得組織的策略。實(shí)施指南在有些時(shí)間點(diǎn)，PII可能需要以某種方式進(jìn)行處置。這可能涉及將PII歸還顧客、轉(zhuǎn)移至另一個(gè)組織或PII控制者（例如，由于合并）、刪除或銷毀、去標(biāo)識(shí)化或歸檔。歸還傳輸和/或處置PII的能力應(yīng)以安全的方式管理。組織應(yīng)提供必要的保證，使顧客能夠確保根據(jù)合同處理的PII（由組織及其任何分包商）在不再為顧客已明確的目的所需時(shí)，能夠從存儲(chǔ)的任何地方（包括用于備份和業(yè)務(wù)連續(xù)性的地方）被擦除。組織應(yīng)針對(duì)PII處置開發(fā)和實(shí)施策略，并在顧客請(qǐng)求時(shí)使顧客可獲得該策略。策略應(yīng)涵蓋合同終止后、PII處置前的PII保存期，以保護(hù)顧客免于因合同意外失效而丟失PII。注：本控制和指南在保留原則（見(jiàn)B.1.4.8）下也同樣適用。II傳輸控制控制組織應(yīng)對(duì)在數(shù)據(jù)傳輸網(wǎng)絡(luò)中傳輸?shù)腜II實(shí)行適當(dāng)?shù)目刂埔源_保數(shù)據(jù)到達(dá)預(yù)期的目的地。實(shí)施指南PII的傳輸需受控，通常通過(guò)確保只有經(jīng)過(guò)授權(quán)的人員才能訪問(wèn)傳輸系統(tǒng)，并遵循適當(dāng)?shù)倪^(guò)程（包括保留審計(jì)數(shù)據(jù)）以確保PII無(wú)受損并傳輸?shù)秸_的接收者。傳輸控制要求可包含在PII處理者與顧客的合同中。若沒(méi)有與傳輸相關(guān)的合同要求，組織也可在傳輸前征求客戶的意見(jiàn)。PII共享、轉(zhuǎn)移和披露目標(biāo)確定PII共享、向其他司法轄區(qū)或第三方轉(zhuǎn)移和/或披露是否符合使用義務(wù)，并形成文件。跨司法轄區(qū)轉(zhuǎn)移PII的依據(jù)控制組織應(yīng)及時(shí)告知顧客PII在司法管轄區(qū)之間傳輸?shù)囊罁?jù)以及這方面的任何預(yù)期變更，以便顧客有能力反對(duì)此類變更或終止合同。實(shí)施指南PII在司法轄區(qū)之間轉(zhuǎn)移可能受法律法規(guī)的約束，這取決于擬向其傳輸PII的司法轄區(qū)或組織（以及源自哪里）。作為傳輸?shù)囊罁?jù)，組織應(yīng)將此類要求形成文件。組織應(yīng)告知顧客任何PII的轉(zhuǎn)移，包括向以下相關(guān)方的轉(zhuǎn)移：供方；其他相關(guān)方；其他國(guó)家或國(guó)際組織。發(fā)生變更時(shí)，組織應(yīng)按商定的時(shí)間框架事先告知顧客，告知時(shí)顧客能夠反對(duì)此類變更或終止合同。組織與顧客之間的合同可規(guī)定關(guān)于組織可不告知顧客自行實(shí)施變更的條款。在這些情況下，應(yīng)設(shè)定限制條件（如組織可不告知顧客而變更供方，但不能將PII轉(zhuǎn)移至其他國(guó)家）。在PII跨國(guó)轉(zhuǎn)移時(shí)，如“范式合同條款”“約束性公司規(guī)則”或“隱私跨境規(guī)則”形式的協(xié)議，涉及的國(guó)家以及此類協(xié)議應(yīng)用的場(chǎng)景應(yīng)予以識(shí)別。可向其轉(zhuǎn)移PlI的國(guó)家和國(guó)際組織控制組織應(yīng)規(guī)定PII可能轉(zhuǎn)移的國(guó)家和國(guó)際組織并形成文件。實(shí)施指南在正常運(yùn)行中可能向哪些國(guó)家和國(guó)際組織傳輸個(gè)人可識(shí)別信息（PII）的情況應(yīng)向客戶公開。使用分包的PII處理服務(wù)時(shí)所涉及的國(guó)家也應(yīng)包括在內(nèi)。在考慮所包括的國(guó)家時(shí)，應(yīng)參照B.2.5.2的要求。正常運(yùn)行之外，有些情況下可能按執(zhí)法機(jī)構(gòu)要求轉(zhuǎn)移數(shù)據(jù)，此時(shí)國(guó)家不能事先指定，或由于使用司法轄區(qū)為保護(hù)執(zhí)法調(diào)查的保密性所禁止（見(jiàn)B.1.5.2、B.2.5.5和B.2.5.6）。向第三方披露PII的記錄控制組織應(yīng)記錄向第三方進(jìn)行的PII披露，包括：向誰(shuí)、何時(shí)、披露了什么PII。實(shí)施指南PII可能在正常運(yùn)行進(jìn)程期間披露。這些披露應(yīng)予以記錄。任何對(duì)第三方的額外的披露，如由于合法調(diào)查或外部審計(jì)而產(chǎn)生的披露，也應(yīng)予以記錄。記錄應(yīng)包括披露的來(lái)源和進(jìn)行披露的授權(quán)的來(lái)源。PII披露請(qǐng)求的通知控制組織應(yīng)將任何具有法律約束力的PII披露請(qǐng)求通知客戶。實(shí)施指南組織可能會(huì)收到具有法律約束力的披露PII的請(qǐng)求（如來(lái)自執(zhí)法機(jī)構(gòu)）。此時(shí)，組織應(yīng)按照商定的程序（可包含在顧客合同中）在商定的時(shí)間框架內(nèi)通知顧客任何此類請(qǐng)求。有些情況下，具有法律約束力的請(qǐng)求包含組織不可將事態(tài)通知任何人的要求（可能禁止披露的一個(gè)例子是根據(jù)刑法禁止，以保護(hù)執(zhí)法調(diào)查的保密性）。具有法律約束力的PII披露控制組織應(yīng)拒絕任何不具有法律約束力的PII披露請(qǐng)求，在進(jìn)行任何PII披露之前咨詢相應(yīng)顧客，接受任何合同商定的相應(yīng)顧客已授權(quán)的PII披露。實(shí)施指南與實(shí)施本控制措施相關(guān)的細(xì)節(jié)可包含在顧客合同中。此類請(qǐng)求可能源自多種來(lái)源，包括法庭、特別法庭、行政機(jī)構(gòu)。這可能在任何司法轄區(qū)發(fā)生。披露用于處理PII的分包方控制組織應(yīng)在任何使用分包方處理PII之前向顧客披露。實(shí)施指南關(guān)于使用分包方處理PII的條款應(yīng)包含在顧客合同中。所披露的信息應(yīng)涵蓋使用分包方的事實(shí)和相關(guān)分包方的名稱。披露的信息還應(yīng)包括分包方可轉(zhuǎn)移數(shù)據(jù)的國(guó)家和國(guó)際組織（見(jiàn)B.2.5.3），以及分包方為履行或超越組織義務(wù)所必需使用的方法（見(jiàn)B.2.5.8）。當(dāng)對(duì)公眾披露的分包方信息被評(píng)估以增加超越可接受限度的風(fēng)險(xiǎn)，應(yīng)按不泄露協(xié)議和/或按顧客請(qǐng)求進(jìn)行披露。顧客應(yīng)了解到上述信息是可獲得的。這并不涉及PII可轉(zhuǎn)移的國(guó)家清單。該清單應(yīng)在所有情況下向顧客披露，采取的方式應(yīng)允許他們告知適當(dāng)?shù)腜II主體。使用分包方處理PII控制組織應(yīng)僅按顧客合同使用分包方處理PII。實(shí)施指南當(dāng)組織將PII處理分包部分或全部給另一個(gè)組織，在分包方處理PII之前要求獲得顧客的書面授權(quán)。這可以是以顧客合同中適當(dāng)條款的形式，或可以是一份特定的“一次性”協(xié)議。組織應(yīng)與任何用來(lái)代表其處理PII的分包方簽署書面合同，且應(yīng)確保其與分包方的合同明確附錄A（見(jiàn)表A.2）中適用控制措施的實(shí)施?？紤]信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程（見(jiàn)6.1.2）和由PII處理者處理的PII的范圍，組織與任何代表其處理PII的分包方之間的合同應(yīng)要求分包方實(shí)施附錄B中規(guī)定的適用控制措施。默認(rèn)情況下，應(yīng)假定附錄B中規(guī)定的所有控制措施都相關(guān)。如果組織決定不要求分包方實(shí)施某個(gè)附錄A（見(jiàn)表A.2）中的控制措施，組織應(yīng)就除外給出合理性說(shuō)明。合同定義的各方職責(zé)可不相同，為與本標(biāo)準(zhǔn)一致，所有的控制措施應(yīng)考慮包含在形成文件的信息中。變更處理PII的分包方控制在具有通用的書面授權(quán)時(shí)，組織就告知顧客有關(guān)添加或更換分包方以處理PII的任何預(yù)期更改，從而使客戶有機(jī)會(huì)反對(duì)此類更改。實(shí)施指南當(dāng)組織變更其分包部分或全部PII處理的分包方組織時(shí)，在使用新的分包方處理PII之前，要求得到顧客的書面授權(quán)。這可以是顧客合同中的適當(dāng)條款，或可以是特定的“一次性”協(xié)議。PII控制者和處理者的實(shí)施指南目標(biāo)確保PII息處理的安全性?？倓t本條款的增補(bǔ)內(nèi)容構(gòu)成了針對(duì)PII控制者和處理者的隱私信息管理體系指南。本條款中記錄的實(shí)施指南與表A.3中列出的控制相關(guān)。除非表A.3中的特定條款另有規(guī)定，或由組織根據(jù)適用的司法管轄區(qū)確定，否則對(duì)PII控制者和處理者適用相同的指南。信息安全策略控制應(yīng)規(guī)定、與PII處理相關(guān)的信息安全策略，由管理層批準(zhǔn)、發(fā)布并傳達(dá)給相關(guān)人員和相關(guān)方并獲得其認(rèn)可，同時(shí)應(yīng)按策劃間隔和在發(fā)生重大變化時(shí)進(jìn)行評(píng)審。實(shí)施指南無(wú)論是分別制定隱私策略，或通過(guò)增強(qiáng)信息安全策略，組織應(yīng)生成一份關(guān)于支持并承諾實(shí)現(xiàn)適用PII保護(hù)法律法規(guī)要求、符合組織與其伙伴、分包方及其適用的第三方（顧客、供方，等）的合同條款的符合性的說(shuō)明，其中應(yīng)明確界定各方的責(zé)任。任何處理PII的組織，無(wú)論其是PII控制者或PII處理者，應(yīng)在開發(fā)和維護(hù)信息安全策略時(shí)考慮適用的PII保護(hù)法律法規(guī)。信息安全角色與職責(zé)控制應(yīng)根據(jù)組織需求規(guī)定并分配與PII處理相關(guān)的信息安全角色與職責(zé)。實(shí)施指南組織應(yīng)為顧客就處理PII事宜指定一個(gè)聯(lián)絡(luò)點(diǎn)。如組織是PII控制者，為PII主體就處理其PII事宜指定一個(gè)聯(lián)絡(luò)點(diǎn)（參見(jiàn)B.1.3.4）。組織應(yīng)指派一名或多名人員負(fù)責(zé)開發(fā)、實(shí)施、維護(hù)和監(jiān)視組織范圍的治理和隱私方案，以確保符合所有有關(guān)PII處理的適用法律法規(guī)要求。適當(dāng)時(shí)，該負(fù)責(zé)人應(yīng)：保持獨(dú)立性立并直接向組織適當(dāng)層級(jí)的管理層報(bào)告，以確保有效管理隱私風(fēng)險(xiǎn)；參與管理所有與PII處理相關(guān)的事項(xiàng)；是數(shù)據(jù)保護(hù)法律法規(guī)和實(shí)踐方面的專家；擔(dān)當(dāng)監(jiān)管機(jī)構(gòu)的聯(lián)絡(luò)點(diǎn)；向組織的最高管理層和員工通報(bào)其有關(guān)PII處理的義務(wù)；就組織進(jìn)行的隱私影響評(píng)估提供建議。注：在有些司法轄區(qū)，該人員稱之為數(shù)據(jù)保護(hù)官，當(dāng)要求配備這樣的職位時(shí)，同時(shí)規(guī)定其職位角色。該職位可由員工擔(dān)任，也可外包。信息分類控制應(yīng)根據(jù)組織的信息安全需求，考慮PII，基于保密性、完整性、可用性和相關(guān)方要求對(duì)信息進(jìn)行分類。實(shí)施指南組織的信息分類方案應(yīng)明確將PII作為其實(shí)施方案的一部分。在整體分類方案中考慮PII是理解組織處理哪些PII（例如類型、特殊類別）、這些PII存儲(chǔ)在哪里以及它可以通過(guò)哪些系統(tǒng)流動(dòng)的關(guān)鍵。信息標(biāo)記控制應(yīng)根據(jù)組織采用的信息分類方案，制定并實(shí)施一套慮PII的適