a)组织;
b)技术;
c)业务目标和过程;
d)已识别的威胁;
e)实施控制的有效性;
f)外部事件,例如法律或规章环境的变化、合同责任的变化以及社会环境的变化。
1. 通过建立信息安全和隐私管理组织,启动和控制公司信息安全工作的实施,批准信息安全和隐私方针与策略,确定信息安全和隐私管理手册人员和职责分工,协调整个隐私信息管理体系的有效运行。
2. 公司还需要建立与服务客户、安全服务厂商、上级监管单位、外部安全咨询专家、个人信息控制者、个人信息处理者、个人信息处理分包商等外部组织的联系,以便跟踪行业趋势,学习各类先进的个人信息安全技术和管理手段。
3. 公司将不可避免地需要与外界进行业务往来和信息沟通,经常需要向外部组织开放其信息资产和信息处理设施。因此,需要对由于外部组织访问而带来的安全风险进行评估,并根据风险水平,在必要时与外部组织签订保密协议,向其声明公司的信息安全和隐私方针与策略,确定所需的安全控制措施。
公司应产生一个关于支持和承诺实现个人信息安全声明,声明公司遵守适用的法律法规监管和合同约定,并明确公司及其合作伙伴、其分包商及其适用的第三方(客户、供应商等)之间关于个人信息安全的责任。