ISO/IEC 27701: 2019 标准详解与实施(10)5.2.3 确定信息安全管理体系的范围

admin
admin
admin
140350
文章
117
评论
2024年12月16日14:09:13评论30 views字数 2626阅读8分45秒阅读模式

点击上方蓝色字“Sky的安全观”关注我们

ISO/IEC 27701: 2019 标准详解与实施(10)5.2.3 确定信息安全管理体系的范围

>>ISO系列标准解读合集<<

ISO/IEC 27001: 2022 标准详解与实施合集(共42篇)

ISO/IEC 27001: 2013 标准详解与实施合集(共47篇)

ISO/IEC 20000-1: 2018 标准详解与实施合集(共48篇)new!

ISO 22301: 2019 标准详解与实施合集(共38篇)new!

>>更多精彩合集,敬请期待<<

5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.3 Determining the scope of the information security management system 确定信息安全管理体系的范围
5.2.3 Determining the scope of the information security management system 确定信息安全管理体系的范围

A requirement additional to ISO/IEC 27001:2013, 4.3 is:
附加到ISO/IEC 27001:2013, 4.3的要求是:

When determining the scope of the PIMS, the organization shall include the processing of PII.
当确定隐私信息管理体系(PIMS)的范围时,组织应将个人身份信息(PII)的处理纳入其中。

NOTE The determination of the scope of the PIMS can require revising the scope of the information security management system, because of the extended interpretation of “information security” according to 5.1.
注,由于依据5.1对“信息安全”的扩展解释,隐私信息管理体系(PIMS)范围的确定,可能需要修订信息安全管理体系的范围。
ISO/IEC 27001:2013, 4.3 确定信息安全管理体系的范围
4.3 确定信息安全管理体系的范围

组织应确定信息安全管理体系的边界和适用性,以建立其范围。

当确定该范围时,组织应考虑:

a) 在4.1 中提及的外部和内部问题;
b) 在4.2 中提及的要求;
c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性
范围应文件化并保持可用性。

【标准理解】

(1)本条款(5.2.3)是以ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”要求,以及本条款(5.2.3)中的附加要求。

(2)应依据5.1要求的通用扩展要求,对5.2.3条款的标题“确定信息安全管理体系的范围”中的“信息安全”进行扩展,需要用“信息安全和隐私”替代“信息安全”。

(3)组织应根据ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”要求,以及本条款(5.2.3)中的附加要求,确定信息安全和隐私管理体系(隐私信息管理体系)的范围(边界和适用性)。

(4)信息安全和隐私管理体系(隐私信息管理体系)的范围中的边界信息通常包括:组织名称(如XX公司等)、组织地址、具体的产品和服务提供过程(如XXX产品设计,生产和销售等过程中的PII的处理)、以及涉及的支持过程(如人力资源,采购,行政,IT)等。

(5)信息安全和隐私管理体系(隐私信息管理体系)的范围中的适用性信息通常指的是ISO/IEC 27701: 2019标准的条款的删减情况。在实施ISO/IEC 27701: 2019时,条款5(即ISO/IEC 27001: 2013中条款4-条款10)是不允许删除的。

(6)在信息安全和隐私管理体系(隐私信息管理体系)范围时,应以5.2.1和5.2..2的输出信息,作为输入信息,以确保信息安全和隐私管理体系(隐私信息管理体系)符合组织的需求。

(7)信息安全和隐私管理体系(隐私信息管理体系)的范围,应进行文件化,如果组织有信息安全和隐私管理手册,可以放入管理手册中。

【行动要点】

(1)建立信息安全和隐私管理体系(隐私信息管理体系)范围管理过程。

(2)形成书面的《PIMS范围管理流程》或《PIMS范围管理程序》,明确信息安全和隐私管理体系(隐私信息管理体系)范围确定流程和要求。

(3)按照《PIMS范围管理流程》或《PIMS范围管理程序》,对信息安全和隐私管理体系(隐私信息管理体系)范围进行确认、评审和更新,并输出相应的记录。

【输出文档】

(1)《PIMS范围管理流程》或《PIMS范围管理程序》(可选)。

(2)书面的信息安全和隐私管理体系(隐私信息管理体系)体系范围。

【审核要点】

(1)是否有对信息安全和隐私管理体系(隐私信息管理体系)的范围进行确定,并能提供书面的记录。

(2)信息安全和隐私管理体系(隐私信息管理体系)的范围是否与4.1和4.2的输出信息,存在不一致的地方。

【附】

(1)ISO/IEC 27001: 2022标准解读(4)正文 4 组织环境/4.3 确定信息安全管理体系范围

(2)ISO/IEC 27001:2013标准解读(5)正文 4 组织环境/4.3 确定信息安全管理体系范围

>>ISO标准过程和文件清单<<

ISO 9001: 2015 过程和文件清单
IATF 16949:2016 过程和文件清单
GB/T 23001: 2017 两化融合管理体系过程和文件清单
ISO/IEC 27701: 2019 过程和文件清单
ISO/IEC 27001: 2022 过程和文件清单
ISO 22301: 2019 过程和文件清单
ISO 14001 和ISO 45001 过程和文件清单
ISO/IEC 42001: 2023 过程和文件清单
ISO 50001: 2018 过程和文件清单

ISO/IEC 20000-1: 2018 过程和文件清单

ISO/SAE 21434: 2021过程和文件清单

ISO 22000: 2018 过程和文件清单new!

>>更多精彩清单,敬请期待<<

ISO/IEC 27701: 2019 标准详解与实施(10)5.2.3 确定信息安全管理体系的范围

原文始发于微信公众号(Sky的安全观):ISO/IEC 27701: 2019 标准详解与实施(10)5.2.3 确定信息安全管理体系的范围

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月16日14:09:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ISO/IEC 27701: 2019 标准详解与实施(10)5.2.3 确定信息安全管理体系的范围https://cn-sec.com/archives/3507615.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息