ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境

admin 2024年12月12日09:29:38评论10 views字数 3236阅读10分47秒阅读模式

点击上方蓝色字“Sky的安全观”关注我们

ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)

ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)

ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)new!

ISO 22301: 2019 标准详解与实施合集(共38篇)new!

>>更多精彩合集,敬请期待<<

5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.1 Understanding the organization and its context 理解组织及其环境
5.2.1 Understanding the organization and its context 理解组织及其环境A requirement additional to ISO/IEC 27001:2013, 4.1 is:附加到ISO/IEC 27001:2013, 4.1的要求是:

The organization shall determine its role as a PII controller (including as a joint PII controller) and/or a PII processor.组织应确定其作为个人身份信息(PII)控制者(包括共同个人身份信息(PII)控制者)和/或个人身份信息(PII)处理者的角色。The organization shall determine external and internal factors that are relevant to its context and that affect its ability to achieve the intended outcome(s) of its PIMS. For example, these can include:组织应确定与其环境相关的,且影响其实现隐私信息管理体系(PIMS)预期结果能力的外部和内部因素。例如,这些因素可以包括:— applicable privacy legislation;—适用的隐私法律;— applicable regulations;—适用的法规;— applicable judicial decisions;—适用的司法判决;— applicable organizational context, governance, policies and procedures;—适用的组织环境,治理,策略和程序;— applicable administrative decisions;—适用的管理决策;— applicable contractual requirements.—适用的合同要求。Where the organization acts in both roles (e.g. a PII controller and a PII processor), separate roles shall be determined, each of which is the subject of a separate set of controls.当组织扮演双重角色时(例如,个人身份信息(PII)控制者和处理者),则应分开确定两个角色,每个角色都对应一组独立的控制。NOTE The role of the organization can be different for each instance of the processing of PII, since it depends on who determines the purposes and means of the processing.注,对于不同的个人身份信息(PII)处理的实例,组织扮演的角色可以是不同的,因为这取决于谁决定处理的意图和方式。
ISO/IEC 27001:2013, 4.1 理解组织及其环境
4.1 理解组织及其环境

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部事项。注:确定这些问题涉及到建立组织的外部和内部环境,在ISO 31000:2009 的5.3节考虑了这一事项。

【标准理解】

(1)本条款(5.2.1)是以ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求,以及本条款(5.2.1)中的附加要求。

(2)组织依据本条款(5.2.1)中的附加要求,确定组织在处理PII方面的角色,如PII控制者、或PII处理者、或两者兼之。

(3)当组织同时充当PII控制者和PII处理者时,两个角色需要分开确定,并在5.4.1.3分别输出PII控制者和PII处理者对应的适用性声明(SOA)。

(4)组织应按照ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求,以及本条款(5.2.1)中的附加要求,输出影响实现隐私信息管理体系预期结果的外部和内部因素清单。输出该清单,可以以组织战略,业务目标,隐私信息管理体系预期结果,以及组织充当的角色等作为输入信息。

(5)内外因素可以包括:经济因素,社会因素,政治因素,技术因素,市场因素,组织文化,组织治理水准,组织财务因素,人员素质,隐私信息管理体系预期结果,以及本条款(5.2.1)中的附加要求中提到的适用的隐私法律法规,适用的司法判决,适用的组织环境,治理,策略和程序,适用的管理决策,适用的合同要求等。

(6)组织应定期对外部和内部因素清单进行监视和评审。

(7)要特别注意的是,本条款要求仅仅是输出外部和内部因素清单,而对于这些因素的风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求,很多人对于这一点可能有点理不清。

【行动要点】

(1)建立组织环境分析管理过程。

(2)形成书面的《组织环境分析管理流程》或《组织环境分析管理程序》,明确外部和内部环境因素识别的时机,频率,职责,以及其收集途径,监视和评审要求等。

(3)按照《组织环境分析管理流程》或《组织环境分析管理程序》,对外部和内部环境因素的识别,监视和评审进行控制,并输出相应的记录。

【输出文档】

(1)《组织环境分析管理流程》或《组织环境分析管理程序》。

(2)外部和内部环境因素清单,及其监视和评审记录

(3)书面的组织角色分析和确认记录,及其监视和评审记录。

【审核要点】

(1)是否建立组织环境分析管理过程,形成书面的二阶文件。

(2)是否输出外部和内部环境因素清单。

(3)是否定期对外部和内部环境因素清单进行监视和评审,能否提供相关记录。

(4)是否有对组织在处理PII方面充当的角色进行分析和确认,能否提供相关书面的记录。

【附】

(1)ISO/IEC 27001: 2022标准解读(2)——正文 4 组织环境/4.1 理解组织及其环境

(2)ISO/IEC 27001:2013标准解读(3)——正文 4 组织环境/4.1 理解组织及其环境

>>ISO标准过程和文件清单<<

ISO 9001: 2015 过程和文件清单
IATF 16949:2016 过程和文件清单
GB/T 23001: 2017 两化融合管理体系过程和文件清单
ISO/IEC 27701: 2019 过程和文件清单
ISO/IEC 27001: 2022 过程和文件清单
ISO 22301: 2019 过程和文件清单
ISO 14001 和ISO 45001 过程和文件清单
ISO/IEC 42001: 2023 过程和文件清单
ISO 50001: 2018 过程和文件清单

ISO/IEC 20000-1: 2018 过程和文件清单

ISO/SAE 21434: 2021过程和文件清单

ISO 22000: 2018 过程和文件清单new!

>>更多精彩清单,敬请期待<<

ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境

原文始发于微信公众号(Sky的安全观):ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月12日09:29:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境https://cn-sec.com/archives/3498204.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息