ISO29151管理体系认证的文件更新

在编写适用性声明的同时也需要根据隐私风险评估结果和29151条款的内容更新管理体系文件。可以参考以下体系文件更新：

a《信息安全管理方针与政策》中增加了隐私保护政策，包括：

1.隐私保护遵循的法律法规

2.隐私保护组织架构说明

3.隐私政策内容要求

4.pii信息收集/处理/存储/传输的要求

5.隐私安全评估

6.pii信息对外披露或分包处理的要求

7.隐私保护培训

b《数据安全管理办法》、《敏感信息管理规范》中增加pii信息保护的说明

1.对于pii信息收集、使用、存储和传输提出具体的安全防护措施要求，如pii敏感数据在数据库中加密存储，应用系统前端脱敏展示等；

2.涉及pii信息处理的应用系统按照隐私默认原则设计，并在上线前由安全部进行检查。

c 隐私政策更新

隐私政策参考国标gbt 35273-2017《信息安全技术-个人信息安全规范》的隐私政策模板来编写，需要根据业务变化定期更新（主要是个人信息收集使用、共享场景的描述）。