5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 Context of the organization 组织环境/5.2.1 Understanding the organization and its context 理解组织及其环境    

5.2.1 Understanding the organization and its context 理解组织及其环境

A requirement additional to ISO/IEC 27001:2013, 4.1 is:
附加到ISO/IEC 27001:2013, 4.1的要求是：

The organization shall determine its role as a PII controller (including as a joint PII controller) and/or a PII processor.
组织应确定其作为个人身份信息（PII）控制者（包括共同个人身份信息（PII）控制者）和/或个人身份信息（PII）处理者的角色。

The organization shall determine external and internal factors that are relevant to its context and that affect its ability to achieve the intended outcome(s) of its PIMS. For example, these can include:
组织应确定与其环境相关的，且影响其实现隐私信息管理体系（PIMS）预期结果能力的外部和内部因素。例如，这些因素可以包括：

— applicable privacy legislation;
—适用的隐私法律；

— applicable regulations;
—适用的法规；

— applicable judicial decisions;
—适用的司法判决；

— applicable organizational context, governance, policies and procedures;
—适用的组织环境，治理，策略和程序；

— applicable administrative decisions;
—适用的管理决策；

— applicable contractual requirements.
—适用的合同要求。

Where the organization acts in both roles (e.g. a PII controller and a PII processor), separate roles shall be determined, each of which is the subject of a separate set of controls.
当组织扮演双重角色时（例如，个人身份信息（PII）控制者和处理者），则应分开确定两个角色，每个角色都对应一组独立的控制。

NOTE The role of the organization can be different for each instance of the processing of PII, since it depends on who determines the purposes and means of the processing.
注，对于不同的个人身份信息（PII）处理的实例，组织扮演的角色可以是不同的，因为这取决于谁决定处理的意图和方式。

   

ISO/IEC 27001:2013, 4.1 理解组织及其环境    

4.1 理解组织及其环境

组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部事项。

注：确定这些问题涉及到建立组织的外部和内部环境，在ISO 31000:2009 的5.3节考虑了这一事项。

   

【标准理解】

（1）本条款（5.2.1）是以ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”为内核，在实施ISO/IEC 27701: 2019时，需要同时满足ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求，以及本条款（5.2.1）中的附加要求。

（2）组织依据本条款（5.2.1）中的附加要求，确定组织在处理PII方面的角色，如PII控制者、或PII处理者、或两者兼之。

（3）当组织同时充当PII控制者和PII处理者时，两个角色需要分开确定，并在5.4.1.3分别输出PII控制者和PII处理者对应的适用性声明（SOA）。

（4）组织应按照ISO/IEC 27001: 2013中的“4.1 理解组织及其环境”要求，以及本条款（5.2.1）中的附加要求，输出影响实现隐私信息管理体系预期结果的外部和内部因素清单。输出该清单，可以以组织战略，业务目标，隐私信息管理体系预期结果，以及组织充当的角色等作为输入信息。

（5）内外因素可以包括：经济因素，社会因素，政治因素，技术因素，市场因素，组织文化，组织治理水准，组织财务因素，人员素质，隐私信息管理体系预期结果，以及本条款（5.2.1）中的附加要求中提到的适用的隐私法律法规，适用的司法判决，适用的组织环境，治理，策略和程序，适用的管理决策，适用的合同要求等。

（6）组织应定期对外部和内部因素清单进行监视和评审。

（7）要特别注意的是，本条款要求仅仅是输出外部和内部因素清单，而对于这些因素的风险和机遇的分析，以及应对这些风险和机遇的措施的制定，则是5.4.1.1的要求，很多人对于这一点可能有点理不清。

【行动要点】

（1）建立组织环境分析管理过程。

（2）形成书面的《组织环境分析管理流程》或《组织环境分析管理程序》，明确外部和内部环境因素识别的时机，频率，职责，以及其收集途径，监视和评审要求等。

（3）按照《组织环境分析管理流程》或《组织环境分析管理程序》，对外部和内部环境因素的识别，监视和评审进行控制，并输出相应的记录。

【输出文档】

（1）《组织环境分析管理流程》或《组织环境分析管理程序》。

（2）外部和内部环境因素清单，及其监视和评审记录

（3）书面的组织角色分析和确认记录，及其监视和评审记录。

【审核要点】

（1）是否建立组织环境分析管理过程，形成书面的二阶文件。

（2）是否输出外部和内部环境因素清单。

（3）是否定期对外部和内部环境因素清单进行监视和评审，能否提供相关记录。

（4）是否有对组织在处理PII方面充当的角色进行分析和确认，能否提供相关书面的记录。