ISO/IEC29151标准信息安全

目标

确保PII根据风险评估的结果得到适当的保护。

风险评估或PIA的结果，通过适当的控制来保护组织的PIIo

组织应该：

a）在运营，功能和战略层面采用适当的控制措施保护PII,以确保PII的完整性，机密性和可用性，在其生命周期内保护其免受未经授权的访问，销毁，使用，修改，披露；

b）选择个人识别信息处理的适当合同，为PII的处理在组织，物理和技术控制层面提供充分保证，并确保遵守这些控制措施；

c）根据适用的法律要求、安全标准、ISO 31000中描述的系统安全风险评估结果、成本效益分析结果，进行基本安全控制；

d） PII的访问权限制在那些需要这样的访问权来履行其职责的个人，并限制他们只能访问为履行其职责而访问必要的PII；

e）解决通过隐私影响评估和审核流程发现的风险和漏洞；

f）在持续的安全风险管理过程中对控制进行定期审查和重新评估。

安全要求有时是由某些数据隐私法律规定的，在这种情况下，应将这些安全要求传达给数据安全功能责任者，以供实施。

在设计和实施安全控制时应该尽职尽责。