ISO27701隐私信息管理(PIMS)标准解读-信息安全风险处理
添加时间:2021-01-08 09:46:22 浏览:
ISO27701隐私信息管理(PIMS)标准解读-信息安全风险处理
ISO/IEC 27001:2013 6,1.3中规定的要求适用,并增加以下内容:
ISO/IEC 27001:2013,6.13 c)细化如下:
应将ISO/IEC 27001:2013 6.1.3 b)中确定的控制措施与附件A和/或附件B和ISO/IEC 27001:2013附件A中的控制措施进行比较,以确认没有省略任何必要的控制措施。
在评估ISO/IEC 27001:2013附录A中控制目标和控制措施对风险处理的适用性时,应在信息安全风险以及与处理信息相关的风险的范围内考虑控制目标和控制措施。 个人身份信息,包括对个人身份信息负责人的风险。
ISO/IEC 27001:2013,6.1.3 d)细化如下:
—必要的控制[见ISO/IEC 27001:2013,6.1.3 b)和c]];
-为将其包括在内的理由;
—是否实施了必要的控制;
—根据组织对其角色的确定,排除附件A和/或附件B和ISO / IEC 27001:2013,附件A中的任何控件的理由(请参阅5.2.1)。
并非附件中列出的所有控制目标和控制措施都需要包含在个人信息管理体系的实现中。 排除理由可以包括风险评估认为没有必要的控制措施,以及法律和/或法规(包括适用于个人身份信息主体的法律和/或法规)不要求(或根据某些例外情况)的情况。
