贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
ISO/IEC 27701: 2019 标准详解与实施(3)4.1 本文件结构

4 General 总则/4.1 Structure of this document 本文件结构

4.1 Structure of this document 本文件结构

This is a sector-specific document related to ISO/IEC 27001:2013 and to ISO/IEC 27002:2013.
本文件是一个特定领域的文件,且与ISO/IEC 27001:2013和ISO/IEC 27002:2013相关。

This document focuses on PIMS-specific requirements. Compliance with this document is based on adherence to these requirements and with the requirements in ISO/IEC 27001:2013. This document extends the requirements of ISO/IEC 27001:2013 to take into account the protection of privacy of PII principals as potentially affected by the processing of PII, in addition to information security. For a better understanding, implementation guidance and other information regarding the requirements is included.
本文件关注隐私信息管理体系的特定要求。符合本文件是基于遵守这些要求和ISO/IEC 27001:2013中的要求。本文件扩展了ISO/IEC 27001:2013的要求,除信息安全外,还考虑到个人身份信息(PII)主体的隐私保护可能受到个人身份信息(PII)处理的影响。为了更好地理解,还包括了关于要求的实现指南和其他信息。

Clause 5 gives PIMS-specific requirements and other information regarding the information security requirements in ISO/IEC 27001 appropriate to an organization acting as either a PII controller or a PII processor.
条款5提供了隐私信息管理体系(PIMS)特定的要求以及ISO/IEC 27001中关于信息安全要求的其他信息,这些要求适用于作为个人身份信息(PII)控制者或处理者的组织。

NOTE 1 For completeness, Clause 5 contains a subclause for each of the clauses containing requirements in ISO/IEC 27001:2013, even in cases where there are no PIMS-specific requirements or other information.
注1,为了完整性,即使在没有隐私信息管理体系(PIMS)特定要求或其他信息的情况下,条款5也为ISO/IEC 27001:2013中每个要求条款添加了1个子条款。

Clause 6 gives PIMS-specific guidance and other information regarding the information security controls in ISO/IEC 27002 and PIMS-specific guidance for an organization acting as either a PII controller or a PII processor.
条款6提供了隐私信息管理体系(PIMS)特定的指南和ISO/IEC 27002中关于信息安全控制的其他信息,以及适用于作为个人身份信息(PII)控制者或处理者的组织的隐私信息管理体系(PIMS)特定的指南。

NOTE 2 For completeness, Clause 6 contains a subclause for each of the clauses containing objectives or controls in ISO/IEC 27002:2013, even in cases where there is no PIMS-specific guidance or other information.
注2,为了完整性,即使在没有隐私信息管理体系(PIMS)特定指南或其他信息的情况下,条款6也为ISO/IEC 27002:2013中每个目标或控制条款添加了1个子条款。

Clause 7 gives additional ISO/IEC 27002 guidance for PII controllers, and Clause 8 gives additional ISO/IEC 27002 guidance for PII processors.
条款7提供了适用于个人身份信息(PII)控制者的附加的ISO/IEC 27002指南,条款8提供了适用于个人身份信息(PII)处理者的附加的ISO/IEC 27002指南。

Annex A lists the PIMS-specific control objectives and controls for an organization acting as a PII controller (whether it employs a PII processor or not, and whether acting jointly with another PII controller or not).
附录A列出了适用于作为个人身份信息(PII)控制者的组织(不论该组织是否雇佣了个人身份信息(PII)处理者,以及是否与其他个人身份信息(PII)控制者共同扮演个人身份信息(PII)控制者的角色)的隐私信息管理体系(PIMS)特定控制目标和控制项。

Annex B lists the PIMS-specific control objectives and controls for an organization acting as a PII processor (whether it subcontracts the processing of PII to a separate PII processor or not, and including those processing PII as subcontractors to PII processors).
附录B列出了适用于作为个人身份信息(PII)处理者的组织(不论该组织是否将个人身份信息(PII)的处理分包给独立的个人身份信息(PII)处理者,以及包括那些作为分包商处理个人身份信息(PII)的处理者)的隐私信息管理体系(PIMS)特定控制目标和控制项。

Annex C contains a mapping to ISO/IEC 29100.
附录C涵盖了映射到ISO/IEC 29100的内容。

Annex D contains a mapping of the controls in this document to the European Union General Data Protection Regulation.
附录D涵盖了本文件中的控制项映射到《欧盟通用数据保护条例(GDPR)》的内容。

Annex E contains a mapping to ISO/IEC 27018 and ISO/IEC 29151.
附录E涵盖了映射到ISO/IEC 27018和ISO/IEC 29151的内容。

Annex F explains how ISO IEC 27001 and ISO/IEC 27002 are extended to the protection of privacy when processing PII.
附录F说明了当处理个人身份信息(PII)时,ISO IEC 27001和ISO/IEC 27002是如何被扩展至隐私保护的。


【标准理解】

(1)4.1是对ISO/IEC 27701: 2019主要内容和其文件结构说明性条款。

(2)ISO/IEC 27701: 2019是一个关于信息安全管理特定领域——隐私信息管理要求和指南的文件,并且是以ISO/IEC 27001: 2013 和 ISO/IEC 27002: 2013为内核的。

(3)要符合ISO/IEC 27701: 2019要求,需要符合ISO/IEC 27001: 2013要求,并且同时要符合本文件有关隐私信息管理的扩展要求。

(4)条款5是以ISO/IEC 27001: 2013为内核,并扩展了隐私信息管理的相关要求。

(5)条款6是以ISO/IEC 27002: 2013为内核,并扩展了隐私信息管理相关的指南。

(6)条款7是在ISO/IEC 27002: 2013基础上,针对PII控制者扩展的隐私信息管理特定的控制和指南。

(7)条款8是在ISO/IEC 27002: 2013基础上,针对PII处理者扩展的隐私信息管理特定的控制和指南。

(8)附录A是对应的条款7,是针对PII控制者扩展的隐私信息管理特定的控制目标和控制项。

(9)附录B是对应的条款8,是针对PII处理者扩展的隐私信息管理特定的控制目标和控制项。

(10)ISO/IEC 27701: 2019的附录A和附录B,与ISO/IEC 27001附录A是一样的,同样需要通过适用声明进行选择。

(11)ISO/IEC 27701: 2019文件中,同时包含了要求和指南性文字,在实施或审核ISO/IEC 27701: 2019时,只能以要求性文字为依据,不能以指南性文字为依据,就好比,实施或审核ISO/IEC 27001时,只能以ISO/IEC 27001正文和适用性声明为依据,不能以指南性标准ISO/IEC 27003和ISO/IEC 27002为依据。

发布时间:2024-12-12
展开全文
拨打电话 微信咨询 发送询价