点击上方蓝色字“Sky的安全观”关注我们
>>ISO系列标准解读合集<<
ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)
ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)
ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)new!
ISO 22301: 2019 标准详解与实施合集(共38篇)new!
>>更多精彩合集,敬请期待<<
5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.1 Understanding the organization and its context 理解组织及其环境 |
|
ISO/IEC 27001:2013, 4.1 理解组织及其环境 |
|
【标准理解】
(1)本条款(5.2.1)是以ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求,以及本条款(5.2.1)中的附加要求。
(2)组织依据本条款(5.2.1)中的附加要求,确定组织在处理PII方面的角色,如PII控制者、或PII处理者、或两者兼之。
(3)当组织同时充当PII控制者和PII处理者时,两个角色需要分开确定,并在5.4.1.3分别输出PII控制者和PII处理者对应的适用性声明(SOA)。
(4)组织应按照ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求,以及本条款(5.2.1)中的附加要求,输出影响实现隐私信息管理体系预期结果的外部和内部因素清单。输出该清单,可以以组织战略,业务目标,隐私信息管理体系预期结果,以及组织充当的角色等作为输入信息。
(5)内外因素可以包括:经济因素,社会因素,政治因素,技术因素,市场因素,组织文化,组织治理水准,组织财务因素,人员素质,隐私信息管理体系预期结果,以及本条款(5.2.1)中的附加要求中提到的适用的隐私法律法规,适用的司法判决,适用的组织环境,治理,策略和程序,适用的管理决策,适用的合同要求等。
(6)组织应定期对外部和内部因素清单进行监视和评审。
(7)要特别注意的是,本条款要求仅仅是输出外部和内部因素清单,而对于这些因素的风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求,很多人对于这一点可能有点理不清。
【行动要点】
(1)建立组织环境分析管理过程。
(2)形成书面的《组织环境分析管理流程》或《组织环境分析管理程序》,明确外部和内部环境因素识别的时机,频率,职责,以及其收集途径,监视和评审要求等。
(3)按照《组织环境分析管理流程》或《组织环境分析管理程序》,对外部和内部环境因素的识别,监视和评审进行控制,并输出相应的记录。
【输出文档】
(1)《组织环境分析管理流程》或《组织环境分析管理程序》。
(2)外部和内部环境因素清单,及其监视和评审记录
(3)书面的组织角色分析和确认记录,及其监视和评审记录。
【审核要点】
(1)是否建立组织环境分析管理过程,形成书面的二阶文件。
(2)是否输出外部和内部环境因素清单。
(3)是否定期对外部和内部环境因素清单进行监视和评审,能否提供相关记录。
(4)是否有对组织在处理PII方面充当的角色进行分析和确认,能否提供相关书面的记录。
【附】
(1)ISO/IEC 27001: 2022标准解读(2)——正文 4 组织环境/4.1 理解组织及其环境
(2)ISO/IEC 27001:2013标准解读(3)——正文 4 组织环境/4.1 理解组织及其环境
>>ISO标准过程和文件清单<<
>>更多精彩清单,敬请期待<<
原文始发于微信公众号(Sky的安全观):ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论