1 Scope 范围 |
1 Scope 范围 This document specifies requirements and provides guidance for establishing, implementing, maintaining and continually improving a Privacy Information Management System (PIMS) in the form of an extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management within the context of the organization. 本文件规定和提供了在组织的环境下建立、运行、维护、持续改进基于以ISO/IEC 27001和ISO/IEC 27002隐私管理的扩展形式的隐私信息管理体系(PIMS)的要求和指南。 This document specifies PIMS-related requirements and provides guidance for PII controllers and PII processors holding responsibility and accountability for PII processing. 本文件规定了隐私信息管理体系(PIMS)相关的要求,并为个人身份信息(PII)处理负有责任的个人身份信息(PII)控制者和处理者提供了指南。 This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations, which are PII controllers and/or PII processors processing PII within an ISMS. 本文件适用于各种类型和各种规模的组织,包括公共和私营公司,政府机构以及非盈利组织,他们是在ISMS框架下处理个人身份信息(PII)的控制者和/或处理者。 |
【标准理解】
(1)ISO/IEC 27701: 2019 明确了以ISO/IEC 27001: 2013为内核建立信息安全和隐私管理体系(隐私信息管理体系)的要求,以及明确了以ISO/IEC 27002: 2013为内核建立信息安全和隐私管理体系(隐私信息管理体系)的指南。
(2)ISO/IEC 27701: 2019 适用于充当个人身份信息(PII)控制者和(或)处理者的各类型组织。这些组织可以利用ISO/IEC 27701: 2019,并在信息安全管理体系的框架下(也就是以ISO/IEC 27001为内核),建立信息安全和隐私管理体系(隐私信息管理体系)。
(3)在实施ISO/IEC 27701: 2019时,应根据组织内外环境和适用法律法规要求,确定组织充当的角色(如PII控制者、或PII处理者,或两者兼之)。
(4)不同地区的法律法规,对PII控制者和PII处理者的定义有所不同。如中国的《中华人民共和国个人信息保护法》等法规,并没有区分PII控制者和PII处理者,而是把两者合并在一起,称之为个人信息处理者;而欧盟的《通用数据保护条例(GDPR)》,则分别对数据控制者和数据处理者进行了定义。