ISO27701隐私信息管理(PIMS)标准解读-信息安全组织
6.3.1内部组织
6.3.1.1信息安全角色和职责
ISO/IEC 27002:2013、6.1.1中所述的控制,实施指南和其他信息以及以下附加指南适用:
ISO/IEC 27002:2013的6.1.1(信息安全角色和职责)的其他实施指南:
组织应指定一个联系点,供客户使用,以处理个人身份信息。 当组织是个人身份信息控制者时,请为个人身份信息负责人指定有关其个人身份信息处理的联系点(请参见7.3.2]。
组织应任命一个或多个负责制定,实施,维护和监视组织范围内的治理和隐私计划的人员,以确保遵守有关处理个人身份信息的所有适用法律和法规。
负责人应酌情:
-独立并直接向组织的适当管理级别报告,以确保有效管理隐私风险;
-参与所有与处理个人身份信息有关的问题的管理;
-精通数据保护立法,法规和实践;
-充当监督机构的联络点;
-通知组织的高层管理人员和雇员有关处理个人身份信息的义务;
-提供有关组织进行的隐私影响评估的建议。
注意:在某些辖区中,此人称为数据保护官,它定义了何时需要这种职位以及他们的职位和角色。 该职位可以由工作人员履行或外包。
6.3.1.2信息安全角色和责任
适用ISO/IEC 27002:2013 6.1.2中规定的控制,实施指南和其他信息。
6.3.1.3与职能机构的联系
适用ISO/IEC 27002:2013 6.1.3中规定的控制,实施指南和其他信息。
6.3.1.4与特定相关方的联系
适用ISO/IEC 27002:2013 6,1.4中规定的控制,实施指南和其他信息,
6.3.1.5项目管理中的信息安全
适用ISO/IEC 27002:2013 6,1.5中规定的控制,实施指南和其他信息,
6.3.2移动设备和远程办公
6.3.2.1移动设备政策
适用于ISO/IEC 27002:2013、6.2.1和以下附加指南的控制,实施指南和其他信息。
ISO/IEC 27002:2013的6.2.1(移动设备策略)的其他实施指南是:
组织应确保使用移动设备不会导致损害个人身份信息。
6.3.2.2远程办公
适用ISO/IEC 27002:2013 6.2.2中规定的控制,实施指南和其他信息。
