5 PIMS-specific re related toISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization组织环境/5.2.2 Understanding the needs and expectations of interestedparties 理解相关方的需求和期望
5.2.2 Understanding the needs and expectations ofinterested parties 理解相关方的需求和期望
A re additional to ISO/IEC 27001:2013, 4.2 is:
附加到ISO/IEC 27001:2013, 4.2的要求是:
The organization shall include among its interestedparties (see ISO/IEC 27001:2013, 4.2), those parties havinginterests or responsibilities associated with the processing ofPII, including the PII principals.
组织应将与个人身份信息(PII)处理相关联的利益或责任方(包括个人身份信息(PII)主体)纳入其相关方(见ISO/IEC27001:2013, 4.2)之中。
NOTE 1 Other interested parties can include customers (see 4.4),supervisory authorities, other PII controllers, PII processors andtheir subcontractors.
注1,其他相关方可以包括顾客(见4.4),监管机构,其他的个人身份信息(PII)控制者,个人身份信息(PII)处理者以及其分包商。
NOTE 2 Re relevant to the processing of PII can bedetermined by legal and regulatory re, by contractualobligations and by self-imposed organizational objectives. Theprivacy principles set out in ISO/IEC 29100 provide guidanceconcerning the processing of PII.
注2,有关个人身份信息(PII)处理的要求可以由法律法规要求,合同义务,以及组织自定的目标来确定。ISO/IEC29100阐述的隐私准则为个人身份信息(PII)的处理提供了指南。
NOTE 3 As an element to demonstrate compliance to theorganization's obligations, some interested parties can expect thatthe organization be in conformity with specific standards, such asthe Management System specified in this document, and/or anyrelevant set of specifications. These parties can call forindependently audited compliance to these standards.
注3,一些相关方可以期望组织符合特定的标准,如本文件要求的管理体系,和/或任何的相关规范,这是展示遵守组织义务的一个要素。
ISO/IEC 27001:2013, 4.2理解相关方的需求和期望
4.2 理解相关方的需求和期望
组织应确定:
a) 与信息安全管理体系有关的相关方;
b) 这些相关方与信息安全有关的要求
注:相关方的要求可能包括法律法规要求和合同义务。
【标准理解】
(1)本条款(5.2.2)是以ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”为内核,在实施ISO/IEC27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.2理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求。
(2)组织应按照ISO/IEC 27001: 2013中的“4.2理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求,识别出与信息安全和隐私管理的相关方,以及这些相关方的要求。
(3)相关方可以是政府,社区,员工,顾客,供应商,PII主体,其他的PII控制者和PII处理者等。而与信息安全和隐私管理有关的主要相关方有政府,PII主体,顾客,和供应商。通常会提出相关方要求的相关方主要是政府(如与PII有关的法律法规),顾客(如隐私管理协议,要求遵守GDPR要求等),PII主体(如清除数据要求等),PII控制者(如隐私管理协议,要求遵守GDPR要求等)。
(4)组织应识别出信息安全和隐私管理有关的适用法律法规清单,以及顾客对隐私信息管理的要求。
(5)组织应识别和收集PII主体的要求。
(6)当组织仅充当PII处理者,或PII处理分包商时,应识别PII控制者或PII处理者的隐私管理要求。
(7)要注意的是,本条款也仅仅是要求输出信息安全和隐私管理适用法律法规清单,顾客隐私信息要求清单以及PII主体要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求。这一点,很多人也是没有理清楚。
【行动要点】
(1)建立相关方要求管理过程。
(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确管控相关方要求的范围(如法律法规要求、顾客要求、PII主体要求、PII控制者要求等),以及相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等。
(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出信息安全和隐私管理的适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单等,并定期对其进行监视和评审,必要时,对其进行更新。
【输出文档】
(1)《相关方要求管理流程》或《相关方要求管理程序》。
(2)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单监视和评审记录。
【审核要点】
(1)是否建立相关方要求管理过程,并形成书面的二阶文件。
(2)是否按照文件输出信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。
(3)是否定期对信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单进行监视和评审,能否提供相关监视和评审的记录。
