ISO27701隐私信息管理(PIMS)标准解读-文件结构
ISO27701隐私信息管理(PIMS)标准解读-文件结构
ISO27701标准是一份与ISO/IEC 27001:2013和ISO/IEC 27002:2013相关的部门专门性文件。
ISO27701标准着重于个人信息管理体系的特定要求。遵守这些要求的依据是遵守这些要求以及ISO/IEC 27001:2013中的要求。ISO27701标准扩展了ISO/IEC 27001:2013的要求,以考虑到个人身份信息主体的隐私保护以及信息安全,这些隐私可能会受到处理个人身份信息的影响。为了更好地理解,ISO27701标准包括了实施指南和有关要求的其他信息。
第5条:给出了特定于个人信息管理体系的要求以及有关ISO/IEC 27001中信息安全要求的其他信息,适用于充当个人身份信息控制器或个人身份信息处理器的组织。
注1:为完整起见,即使在没有针对个人信息管理体系的特定要求或其他信息的情况下,第5条对于包含ISO/IEC 27001:2013中要求的每个条款都包含一个小节。
第6条:针对充当个人身份信息控制器或信息安全管理体系处理器的组织,提供了有关ISO/IEC 27002中有关信息安全控制的个人信息管理体系特定指南和其他信息,以及有关个人信息管理体系特定指南。
注2:为完整起见,即使在没有个人信息管理体系的特定指南或其他信息的情况下,第6条对于包含目标或控制的每条也包含一个小节。
第7条:为个人身份信息控制器提供了额外的ISO/IEC 27002指南,第8条为个人身份信息处理器提供了额外的ISO/IEC 27002指南。
附件A:列出了充当个人身份信息控制者的组织特定于个人信息管理体系的控制目标和控制,(是否使用个人身份信息处理器,以及是否与其他个人身份信息控制者共同行动)。
附件B:列出了作为个人身份信息处理者的组织的特定于个人信息管理体系的控制目标和控制(无论是否将对个人身份信息的处理分包给单独的个人身份信息处理者,并且包括那些处理个人身份的处理者信息作为个人身份信息处理器的分包商)。
附件C包含对ISO/IEC 29100的映射。
附件D包含了本文档中的控件到欧盟通用数据保护条例的映射。
附件E包含对ISO/IEC 27018和ISO/IEC 29151的映射。
附件F解释了在处理个人身份信息时,如何将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。
