集团新闻
ISO/IEC 27701: 2019 标准详解与实施(3)4.1 本文件结构
发布时间: 2024-12-12 13:10 更新时间: 2024-12-12 13:10
| 4 General 总则/4.1 Structure of this document 本文件结构 |
4.1 Structure of this document 本文件结构 This is a sector-specific document related to ISO/IEC 27001:2013 and to ISO/IEC 27002:2013. 本文件是一个特定领域的文件,且与ISO/IEC 27001:2013和ISO/IEC 27002:2013相关。 This document focuses on PIMS-specific requirements. Compliance with this document is based on adherence to these requirements and with the requirements in ISO/IEC 27001:2013. This document extends the requirements of ISO/IEC 27001:2013 to take into account the protection of privacy of PII principals as potentially affected by the processing of PII, in addition to information security. For a better understanding, implementation guidance and other information regarding the requirements is included. 本文件关注隐私信息管理体系的特定要求。符合本文件是基于遵守这些要求和ISO/IEC 27001:2013中的要求。本文件扩展了ISO/IEC 27001:2013的要求,除信息安全外,还考虑到个人身份信息(PII)主体的隐私保护可能受到个人身份信息(PII)处理的影响。为了更好地理解,还包括了关于要求的实现指南和其他信息。 Clause 5 gives PIMS-specific requirements and other information regarding the information security requirements in ISO/IEC 27001 appropriate to an organization acting as either a PII controller or a PII processor. 条款5提供了隐私信息管理体系(PIMS)特定的要求以及ISO/IEC 27001中关于信息安全要求的其他信息,这些要求适用于作为个人身份信息(PII)控制者或处理者的组织。 NOTE 1 For completeness, Clause 5 contains a subclause for each of the clauses containing requirements in ISO/IEC 27001:2013, even in cases where there are no PIMS-specific requirements or other information. 注1,为了完整性,即使在没有隐私信息管理体系(PIMS)特定要求或其他信息的情况下,条款5也为ISO/IEC 27001:2013中每个要求条款添加了1个子条款。 Clause 6 gives PIMS-specific guidance and other information regarding the information security controls in ISO/IEC 27002 and PIMS-specific guidance for an organization acting as either a PII controller or a PII processor. 条款6提供了隐私信息管理体系(PIMS)特定的指南和ISO/IEC 27002中关于信息安全控制的其他信息,以及适用于作为个人身份信息(PII)控制者或处理者的组织的隐私信息管理体系(PIMS)特定的指南。 NOTE 2 For completeness, Clause 6 contains a subclause for each of the clauses containing objectives or controls in ISO/IEC 27002:2013, even in cases where there is no PIMS-specific guidance or other information. 注2,为了完整性,即使在没有隐私信息管理体系(PIMS)特定指南或其他信息的情况下,条款6也为ISO/IEC 27002:2013中每个目标或控制条款添加了1个子条款。 Clause 7 gives additional ISO/IEC 27002 guidance for PII controllers, and Clause 8 gives additional ISO/IEC 27002 guidance for PII processors. 条款7提供了适用于个人身份信息(PII)控制者的附加的ISO/IEC 27002指南,条款8提供了适用于个人身份信息(PII)处理者的附加的ISO/IEC 27002指南。 Annex A lists the PIMS-specific control objectives and controls for an organization acting as a PII controller (whether it employs a PII processor or not, and whether acting jointly with another PII controller or not). 附录A列出了适用于作为个人身份信息(PII)控制者的组织(不论该组织是否雇佣了个人身份信息(PII)处理者,以及是否与其他个人身份信息(PII)控制者共同扮演个人身份信息(PII)控制者的角色)的隐私信息管理体系(PIMS)特定控制目标和控制项。 Annex B lists the PIMS-specific control objectives and controls for an organization acting as a PII processor (whether it subcontracts the processing of PII to a separate PII processor or not, and including those processing PII as subcontractors to PII processors). 附录B列出了适用于作为个人身份信息(PII)处理者的组织(不论该组织是否将个人身份信息(PII)的处理分包给独立的个人身份信息(PII)处理者,以及包括那些作为分包商处理个人身份信息(PII)的处理者)的隐私信息管理体系(PIMS)特定控制目标和控制项。 Annex C contains a mapping to ISO/IEC 29100. 附录C涵盖了映射到ISO/IEC 29100的内容。 Annex D contains a mapping of the controls in this document to the European Union General Data Protection Regulation. 附录D涵盖了本文件中的控制项映射到《欧盟通用数据保护条例(GDPR)》的内容。 Annex E contains a mapping to ISO/IEC 27018 and ISO/IEC 29151. 附录E涵盖了映射到ISO/IEC 27018和ISO/IEC 29151的内容。 Annex F explains how ISO IEC 27001 and ISO/IEC 27002 are extended to the protection of privacy when processing PII. 附录F说明了当处理个人身份信息(PII)时,ISO IEC 27001和ISO/IEC 27002是如何被扩展至隐私保护的。 |
【标准理解】
(1)4.1是对ISO/IEC 27701: 2019主要内容和其文件结构说明性条款。
(2)ISO/IEC 27701: 2019是一个关于信息安全管理特定领域——隐私信息管理要求和指南的文件,并且是以ISO/IEC 27001: 2013 和 ISO/IEC 27002: 2013为内核的。
(3)要符合ISO/IEC 27701: 2019要求,需要符合ISO/IEC 27001: 2013要求,并且同时要符合本文件有关隐私信息管理的扩展要求。
(4)条款5是以ISO/IEC 27001: 2013为内核,并扩展了隐私信息管理的相关要求。
(5)条款6是以ISO/IEC 27002: 2013为内核,并扩展了隐私信息管理相关的指南。
(6)条款7是在ISO/IEC 27002: 2013基础上,针对PII控制者扩展的隐私信息管理特定的控制和指南。
(7)条款8是在ISO/IEC 27002: 2013基础上,针对PII处理者扩展的隐私信息管理特定的控制和指南。
(8)附录A是对应的条款7,是针对PII控制者扩展的隐私信息管理特定的控制目标和控制项。
(9)附录B是对应的条款8,是针对PII处理者扩展的隐私信息管理特定的控制目标和控制项。
(10)ISO/IEC 27701: 2019的附录A和附录B,与ISO/IEC 27001附录A是一样的,同样需要通过适用声明进行选择。
(11)ISO/IEC 27701: 2019文件中,同时包含了要求和指南性文字,在实施或审核ISO/IEC 27701: 2019时,只能以要求性文字为依据,不能以指南性文字为依据,就好比,实施或审核ISO/IEC 27001时,只能以ISO/IEC 27001正文和适用性声明为依据,不能以指南性标准ISO/IEC 27003和ISO/IEC 27002为依据。
其他新闻
- ISO/IEC 27701: 2019 标准详解与实施(2)1 范围 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(7)5.1 总则 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(6)4.4 顾客 2024-12-12
- ISO/IEC 27701: 2019 标准详解与实施(8)5.2.1 理解组织及其环境 2024-12-12
- DSMM之数据处理安全 2024-12-11
- DSMM数据安全能力成熟度模型【解读】 2024-12-11
- DSMM认证详细介绍 2024-12-11
- CCRC认证是什么?仅需6步即可 2024-12-11
- DSMM认证的办理流程 2024-12-11
- 南京:DSMM数据安全管理能力成熟度 2024-12-11
- 高效办理DSMM认证:如何挑选合适的合作机构 2024-12-11
- DSMM评估流程申请条件有哪些 2024-12-11
- 满足什么条件可以申请DSMM 2024-12-11
- 南京:DSMM申报相关注意事项 2024-12-11
- 第二类医疗器械经营许可证办理流程详解 2024-12-11
