5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望

5.2.2 Understanding the needs and expectations of interested parties 理解相关方的需求和期望

A requirement additional to ISO/IEC 27001:2013, 4.2 is:
附加到ISO/IEC 27001:2013, 4.2的要求是:

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.
组织应将与个人身份信息(PII)处理相关联的利益或责任方(包括个人身份信息(PII)主体)纳入其相关方(见ISO/IEC 27001:2013, 4.2)之中。

NOTE 1 Other interested parties can include customers (see 4.4), supervisory authorities, other PII controllers, PII processors and their subcontractors.
注1,其他相关方可以包括顾客(见4.4),监管机构,其他的个人身份信息(PII)控制者,个人身份信息(PII)处理者以及其分包商。

NOTE 2 Requirements relevant to the processing of PII can be determined by legal and regulatory requirements, by contractual obligations and by self-imposed organizational objectives. The privacy principles set out in ISO/IEC 29100 provide guidance concerning the processing of PII.
注2,有关个人身份信息(PII)处理的要求可以由法律法规要求,合同义务,以及组织自定的目标来确定。ISO/IEC 29100阐述的隐私准则为个人身份信息(PII)的处理提供了指南。

NOTE 3 As an element to demonstrate compliance to the organization’s obligations, some interested parties can expect that the organization be in conformity with specific standards, such as the Management System specified in this document, and/or any relevant set of specifications. These parties can call for independently audited compliance to these standards.
注3,一些相关方可以期望组织符合特定的标准,如本文件要求的管理体系,和/或任何的相关规范,这是展示遵守组织义务的一个要素。

ISO/IEC 27001:2013, 4.2 理解相关方的需求和期望

4.2 理解相关方的需求和期望

组织应确定:
a) 与信息安全管理体系有关的相关方;
b) 这些相关方与信息安全有关的要求
注:相关方的要求可能包括法律法规要求和合同义务。

【标准理解】

(1)本条款(5.2.2)是以ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求。

(2)组织应按照ISO/IEC 27001: 2013中的“4.2 理解相关方的需求和期望”要求,以及本条款(5.2.2)中的附加要求,识别出与信息安全和隐私管理的相关方,以及这些相关方的要求。

(3)相关方可以是政府,社区,员工,顾客,供应商,PII主体,其他的PII控制者和PII处理者等。而与信息安全和隐私管理有关的主要相关方有政府,PII主体,顾客,和供应商。通常会提出相关方要求的相关方主要是政府(如与PII有关的法律法规),顾客(如隐私管理协议,要求遵守GDPR要求等),PII主体(如清除数据要求等),PII控制者(如隐私管理协议,要求遵守GDPR要求等)。

(4)组织应识别出信息安全和隐私管理有关的适用法律法规清单,以及顾客对隐私信息管理的要求。

(5)组织应识别和收集PII主体的要求。

(6)当组织仅充当PII处理者,或PII处理分包商时,应识别PII控制者或PII处理者的隐私管理要求。

(7)要注意的是,本条款也仅仅是要求输出信息安全和隐私管理适用法律法规清单,顾客隐私信息要求清单以及PII主体要求清单,而对于清单中的要求相关风险和机遇的分析,以及应对这些风险和机遇的措施的制定,则是5.4.1.1的要求。这一点,很多人也是没有理清楚。

【行动要点】

(1)建立相关方要求管理过程。

(2)形成书面的《相关方要求管理流程》或《相关方要求管理程序》,明确管控相关方要求的范围(如法律法规要求、顾客要求、PII主体要求、PII控制者要求等),以及相关方要求识别途径,时机和频率,以及相关方要求清单的监视和评审要求等。

(3)按照《相关方要求管理流程》或《相关方要求管理程序》,输出信息安全和隐私管理的适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单等,并定期对其进行监视和评审,必要时,对其进行更新。

【输出文档】

(1)《相关方要求管理流程》或《相关方要求管理程序》。

(2)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。

(3)信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单监视和评审记录。

【审核要点】

(1)是否建立相关方要求管理过程,并形成书面的二阶文件。

(2)是否按照文件输出信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单。

(3)是否定期对信息安全和隐私适用法律法规清单、顾客信息安全和隐私要求清单、PII主体要求清单、以及PII控制者(或PII处理者)要求清单进行监视和评审,能否提供相关监视和评审的记录。

【附】

(1)ISO/IEC 27001: 2022标准解读(3)正文 4 组织环境/4.2 理解相关方的需求和期望

(2)ISO/IEC 27001:2013标准解读(4)正文 4 组织环境/4.2 理解相关方的需求和期望