文章总结： 本文解读ISO/IEC27701条款8.4.2，要求组织建立安全机制以归还、转移或销毁PII，包括备份数据。需制定并公开处置策略，明确合同终止后的保留期限，确保数据在不再需要时被彻底删除。该控制属于隐私设计范畴，建议与相关条款合并实施以强化合规性。 综合评分： 95 文章分类： 技术标准,数据安全,政策法规

【前14篇免费】ISO/IEC 27701: 2019 标准详解与实施（188）8.4.2 个人身份信息的归还，转移或处置

原创

27001.CN

Sky的安全观

2025年12月29日 11:57 广东

点击上方蓝色字“Sky的安全观”关注我们

资料交流，请私“加群”

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集（共42篇）

ISO/IEC 27001: 2013 标准详解与实施合集（共47篇）

ISO/IEC 20000-1: 2018 标准详解与实施合集（共48篇）

ISO 22301: 2019 标准详解与实施合集（共38篇）

ISO 9001: 2015 标准详解与实施合集（共45篇）new!

ISO 14001: 2015 标准详解与实施合集（共26篇）new!

ISO 45001: 2018 标准详解与实施合集（共30篇）new!

>>更多精彩合集，敬请期待<<

ISO/IEC 27001: 2022 换版不求人

ISO/IEC 27001: 2022 咨询辅导服务内容

华为供应链信息安全审核应对方案

华为供应链网络安全审核应对方案

独家：ISO/IEC 27001: 2022全新文件提供和指导

【直播预告】企业信息安全负责人必修系列课程（第一季）

| | | — | | 8 Additional ISO/IEC 27002 guidance for PII processors 附加到ISO/IEC 27002的个人身份信息（PII）处理者的指南/8.4 Privacy by design and privacy by default 隐私设计和隐私默认保护/8.4.2 Return, transfer or disposal of PII 个人身份信息（PII）的归还，转移或处置 | | 8.4.2 Return, transfer or disposal of PII 个人身份信息（PII）的归还，转移或处置 Control 控制 The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer. 组织应提供以安全的方式归还，转移和/或处置个人身份信息的能力。组织也应向顾客提供其策略。 Implementation guidance 实施指南 At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it. The capability for the return, transfer and/or disposal of PII should be managed in a secure manner. 有的时候，个人身份信息可能需要以某种方式被处置。这可能涉及将个人身份信息（PII）归还给顾客，将其转移至另一组织或个人身份信息（PII）控制者（例如，由于合并），删除或销毁个人身份信息（PII），个人身份信息（PII）去标识化，或将其归档。宜以安全的方式管理个人身份信息（PII）的归还、转移和/或处置能力。 The organization should provide the assurance necessary to allow the customer to ensure that PII processed under a contract is erased (by the organization and any of its subcontractors) from wherever they are stored, including for the purposes of backup and business continuity, as soon as they are no longer necessary for the identified purposes of the customer. 组织宜提供必要的保证，以允许顾客确保在合同中处理的个人身份信息（PII）从存储的任何地方删除（由组织及其所有的分包商），包括因备份和业务连续性目的而存储的，只要其不再因顾客表明的目的而需要。 The organization should develop and implement a policy in respect to the disposal of PII and should make this policy available to customer when requested. 组织宜编制和实施个人身份信息（PII）处置的策略，并当需要时，将该策略提供给顾客。 The policy should cover the retention period for PII before its disposal after termination of a contract, to protect the customer from losing PII through an accidental lapse of the contract. 该策略宜涵盖个人身份信息（PII）在合同终止之后，其处置之前的保留期限，以保护顾客不因合同意外失效而丢失个人身份信息（PII）。 NOTE This control and guidance is also relevant under the retention principle (see 7.4.7). 注，该控制和指南在保存原则下也是适宜的（见7.4.7）。 |

【标准理解】

（1）ISO/IEC 27701: 2019条款8.4是属于隐私设计和隐私默认保护管理过程，因此可以将8.4中的所有子条款要求合并在一起进行实施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sky的安全观 27001.CN《【前14篇免费】ISO/IEC 27701: 2019 标准详解与实施（188）8.4.2 个人身份信息的归还，转移或处置》