点击上方蓝色字“Sky的安全观”关注我们
>>ISO系列标准解读合集<<
ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)
ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)
ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)new!
ISO 22301: 2019 标准详解与实施合集(共38篇)new!
>>更多精彩合集,敬请期待<<
| 5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望 |
| 5.2.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望
A requirement additional to ISO/IEC 27001:2013, 4.2 is: 组织应将与个人身份信息(PII)处理相关联的利益或责任方(包括个人身份信息(PII)主体)纳入其相关方(见ISO/IEC 27001:2013, 4.2)之中。 NOTE 1 Other interested parties can include customers (see 4.4), supervisory authorities, other PII controllers, PII processors and their subcontractors. NOTE 2 Requirements relevant to the processing of PII can be determined by legal and regulatory requirements, by contractual obligations and by self-imposed organizational objectives. The privacy principles set out in ISO/IEC 29100 provide guidance concerning the processing of PII. NOTE 3 As an element to demonstrate compliance to the organization's obligations, some interested parties can expect that the organization be in conformity with specific standards, such as the Management System specified in this document, and/or any relevant set of specifications. These parties can call for independently audited compliance to these standards. |
| ISO/IEC 27001:2013, 4.2 理解相关方的需求和期望 |
| 4.2 理解相关方的需求和期望 a) 与信息安全管理体系有关的相关方; b) 这些相关方与信息安全有关的要求 注:相关方的要求可能包括法律法规要求和合同义务。 |
【标准理解】
(1)本条款(5.2.2)是以ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求。
(2)组织应按照ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求,识别出与信息安全和隐私管理的相关方,以及这些相关方的要求。
(3)相关方可以是政府,社区,员工,顾客,供应商,PII主体,其他的PII控制者和PII处理者等。而与信息安全和隐私管理有关的主要相关方有政府,PII主体,顾客,和供应商。通常会提出相关方要求的相关方主要是政府(如与PII有关的法律法规),顾客(如隐私管理协议,要求遵守GDPR要求等),PII主体(如清除数据要求等),PII控制者(如隐私管理协议,要求遵守GDPR要求等)。
(4)组织应识别出信息安全和隐私管理有关的适用法律法规清单,以及顾客对隐私信息管理的要求。
(5)组织应识别和收集PII主体的要求。
(6)当组织仅充当PII处理者,或PII处理分包商时,应识别PII控制者或PII处理者的隐私管理要求。
(7)要注意的是,本条款也仅仅是要求输出信息安全和隐私管理适用法律法规清单,顾客隐私信息要求清单以及PII主体要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求。这一点,很多人也是没有理清楚。
【行动要点】
(1)建立相关方要求管理过程。
(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确管控相关方要求的范围(如法律法规要求、顾客要求、PII主体要求、PII控制者要求等),以及相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等。
(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出信息安全和隐私管理的适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单等,并定期对其进行监视和评审,必要时,对其进行更新。
【输出文档】
(1)《相关方要求管理流程》或《相关方要求管理程序》。
(2)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单监视和评审记录。
【审核要点】
(1)是否建立相关方要求管理过程,并形成书面的二阶文件。
(2)是否按照文件输出信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)是否定期对信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单进行监视和评审,能否提供相关监视和评审的记录。
【附】
(1)ISO/IEC 27001: 2022标准解读(3)正文 4 组织环境/4.2 理解相关方的需求和期望
(2)ISO/IEC 27001:2013标准解读(4)正文 4 组织环境/4.2 理解相关方的需求和期望
>>ISO标准过程和文件清单<<
>>更多精彩清单,敬请期待<<
原文始发于微信公众号(Sky的安全观):ISO/IEC 27701: 2019 标准详解与实施(9)5.2.2 理解相关方的需求和期望
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论