ISO

ISO/IEC 29101:2018将视线转移到了PII，首先描述了PII生命周期的概念，包含了收集、传输、使用、存储、销毁五个阶段；其次以数据主体、组织和数据处理者的角度，从隐私设置层、身份和访问管理层、个人可识别信息层三个层面展开，提出了组织、角色和交互三种结构视图，并对ISO/IEC 29100中的隐私原则予以对应。该标准对设计和维护处理PII的系统具有指导意义。

在过去的几年中，由于涉及个人识别信息（PII）的许多信息安全事件影响到个人和组织，我们目睹了巨大的创纪录损失。各种事件的一些例子涉及法律责任、身份盗窃和恢复成本。因此，各组织应实施一项国际信息安全标准，该标准为如何保护其隐私网络和PII提供了指导，以适应处理PII的信息和通信技术（ICT）使用的增加。

嗯，我想，最后我发现了ISO和相关标准研究的局限性。我认为商业顾问的目的是执行标准，而不是设计新标准或最佳实践。顾问可能会声称并相信他们遵循某种标准，这已经足够了。

参考：

• –ISO 21500:2012和PMBoK 5信息系统项目管理流程，瓦拉约（2016）
• –教授ISO/IEC 12207软件生命周期过程：严肃的游戏方法，Aydan（2016）
• –比较ISO/IEC 12207和CMMI-DEV：朝向ISO/IEC 15504-7的映射，Baldassarre（2009）

ISO 33000过程改进、评估、成熟度模型

ISO 20000标准的名称是IT service management standards，IT服务管理标准，ISO 20000标准是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

ISO 20000标准的管理系统包含有13个流程以及框架图示如下：