详细介绍
| 5 PIMS-specific requirements related toISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization组织环境/5.2.2 Understanding the needs and expectations of interestedparties 理解相关方的需求和期望 |
5.2.2 Understanding the needs and expectations ofinterested parties 理解相关方的需求和期望 A requirement additional to ISO/IEC 27001:2013, 4.2 is: 附加到ISO/IEC 27001:2013, 4.2的要求是: The organization shall include among its interestedparties (see ISO/IEC 27001:2013, 4.2), those parties havinginterests or responsibilities associated with the processing ofPII, including the PII principals. 组织应将与个人身份信息(PII)处理相关联的利益或责任方(包括个人身份信息(PII)主体)纳入其相关方(见ISO/IEC27001:2013, 4.2)之中。 NOTE 1 Other interested parties can include customers (see 4.4),supervisory authorities, other PII controllers, PII processors andtheir subcontractors. 注1,其他相关方可以包括顾客(见4.4),监管机构,其他的个人身份信息(PII)控制者,个人身份信息(PII)处理者以及其分包商。 NOTE 2 Requirements relevant to the processing of PII can bedetermined by legal and regulatory requirements, by contractualobligations and by self-imposed organizational objectives. Theprivacy principles set out in ISO/IEC 29100 provide guidanceconcerning the processing of PII. 注2,有关个人身份信息(PII)处理的要求可以由法律法规要求,合同义务,以及组织自定的目标来确定。ISO/IEC29100阐述的隐私准则为个人身份信息(PII)的处理提供了指南。 NOTE 3 As an element to demonstrate compliance to theorganization's obligations, some interested parties can expect thatthe organization be in conformity with specific standards, such asthe Management System specified in this document, and/or anyrelevant set of specifications. These parties can call forindependently audited compliance to these standards. 注3,一些相关方可以期望组织符合特定的标准,如本文件要求的管理体系,和/或任何的相关规范,这是展示遵守组织义务的一个要素。 |
| ISO/IEC 27001:2013, 4.2理解相关方的需求和期望 |
4.2 理解相关方的需求和期望 组织应确定: a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求 注:相关方的要求可能包括法律法规要求和合同义务。 |
【标准理解】
(1)本条款(5.2.2)是以ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”为内核,在实施ISO/IEC27701: 2019时,需要满足ISO/IEC 27001: 2013中的“4.2理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求。
(2)组织应按照ISO/IEC 27001: 2013中的“4.2理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求,识别出与信息安全和隐私管理的相关方,以及这些相关方的要求。
(3)相关方可以是政府,社区,员工,顾客,供应商,PII主体,其他的PII控制者和PII处理者等。而与信息安全和隐私管理有关的主要相关方有政府,PII主体,顾客,和供应商。通常会提出相关方要求的相关方主要是政府(如与PII有关的法律法规),顾客(如隐私管理协议,要求遵守GDPR要求等),PII主体(如清除数据要求等),PII控制者(如隐私管理协议,要求遵守GDPR要求等)。
(4)组织应识别出信息安全和隐私管理有关的适用法律法规清单,以及顾客对隐私信息管理的要求。
(5)组织应识别和收集PII主体的要求。
(6)当组织仅充当PII处理者,或PII处理分包商时,应识别PII控制者或PII处理者的隐私管理要求。
(7)要注意的是,本条款也仅仅是要求输出信息安全和隐私管理适用法律法规清单,顾客隐私信息要求清单以及PII主体要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求。这一点,很多人也是没有理清楚。
【行动要点】
(1)建立相关方要求管理过程。
(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确管控相关方要求的范围(如法律法规要求、顾客要求、PII主体要求、PII控制者要求等),以及相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等。
(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出信息安全和隐私管理的适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单等,并定期对其进行监视和评审,必要时,对其进行更新。
【输出文档】
(1)《相关方要求管理流程》或《相关方要求管理程序》。
(2)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单监视和评审记录。
【审核要点】
(1)是否建立相关方要求管理过程,并形成书面的二阶文件。
(2)是否按照文件输出信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)是否定期对信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单进行监视和评审,能否提供相关监视和评审的记录。
| 成立日期 | 2016年11月10日 | ||
| 主营产品 | ISO体系、17025实验室认可、CMA资质、涉密信息系统集成、ITSS、CMMI、CS、CCRC、军工三证、国军标体系、测绘资质、安防资质、承装修试-5级、特种设备生产许可证、各类生产许可证及备案、高新技术企业、双软认定、专项基金、知识产权 | ||
| 公司简介 | 贯标集团成立于2000年,是经国家认证认可监督管理委员会批准、按照国际标准化组织互认制度设立的全国首家认证咨询机构,中国认证认可协会常务理事单位、认证咨询专业委员会会长单位。二十多年来专业从事各类管理体系认证、产品认证、实验室认证、军方资质、IT类资质、建工资质认定、高新企业及涉密、测绘、安防等资质认定,生产许可证、特种设备许可证及各类管理培训。集团现有客户五万余家,下设“南京贯标认证咨询有限公司 ... | ||
- 三保一评测评机构要求对于网络安全保护工作中涉及的等级保护工作、分级保护工作、密码管理工作及关基保护工... 2024-12-12
- 信息安全等级保护备案资质标准【1】定义:信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开... 2024-12-12
- 【等级保护资质】详细介绍等级保护一般指信息安全等级保护等级保护一般指信息安全等级保护信息安全等级保护,是... 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(4)4.2 4General总则/4.2ApplicationofISO/IEC27001:... 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(3)4.1 本文件结构4General总则/4.1Structureofthisdocument本文件... 2024-12-12