ISO/IEC 27701: 2019 标准详解与实施（10）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.3 确定信息安全管理体系的范围

5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 Context of the organization 组织环境/5.2.3 Determining the scope of the information security management system 确定信息安全管理体系的范围

5.2.3 Determining the scope of the information security management system 确定信息安全管理体系的范围

A requirement additional to ISO/IEC 27001:2013, 4.3 is:
附加到ISO/IEC 27001:2013, 4.3的要求是：

When determining the scope of the PIMS, the organization shall include the processing of PII.
当确定隐私信息管理体系（PIMS）的范围时，组织应将个人身份信息（PII）的处理纳入其中。

NOTE The determination of the scope of the PIMS can require revising the scope of the information security management system, because of the extended interpretation of “information security” according to 5.1.
注，由于依据5.1对“信息安全”的扩展解释，隐私信息管理体系（PIMS）范围的确定，可能需要修订信息安全管理体系的范围。

ISO/IEC 27001:2013, 4.3 确定信息安全管理体系的范围

4.3 确定信息安全管理体系的范围

组织应确定信息安全管理体系的边界和适用性，以建立其范围。

当确定该范围时，组织应考虑：

a) 在4.1 中提及的外部和内部问题；
b) 在4.2 中提及的要求；
c) 组织所执行的活动之间以及与其它组织的活动之间的接口和依赖性
范围应文件化并保持可用性。

【标准理解】

（1）本条款（5.2.3）是以ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”为内核，在实施ISO/IEC 27701: 2019时，需要同时满足ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”要求，以及本条款（5.2.3）中的附加要求。

（2）应依据5.1要求的通用扩展要求，对5.2.3条款的标题“确定信息安全管理体系的范围”中的“信息安全”进行扩展，需要用“信息安全和隐私”替代“信息安全”。

（3）组织应根据ISO/IEC 27001: 2013中的“4.3 确定信息安全管理体系的范围”要求，以及本条款（5.2.3）中的附加要求，确定信息安全和隐私管理体系（隐私信息管理体系）的范围（边界和适用性）。

（4）信息安全和隐私管理体系（隐私信息管理体系）的范围中的边界信息通常包括：组织名称（如XX公司等）、组织地址、具体的产品和服务提供过程（如XXX产品设计，生产和销售等过程中的PII的处理）、以及涉及的支持过程（如人力资源，采购，行政，IT）等。

（5）信息安全和隐私管理体系（隐私信息管理体系）的范围中的适用性信息通常指的是ISO/IEC 27701: 2019标准的条款的删减情况。在实施ISO/IEC 27701: 2019时，条款5（即ISO/IEC 27001: 2013中条款4-条款10）是不允许删除的。

（6）在信息安全和隐私管理体系（隐私信息管理体系）范围时，应以5.2.1和5.2..2的输出信息，作为输入信息，以确保信息安全和隐私管理体系（隐私信息管理体系）符合组织的需求。

（7）信息安全和隐私管理体系（隐私信息管理体系）的范围，应进行文件化，如果组织有信息安全和隐私管理手册，可以放入管理手册中。

【行动要点】

（1）建立信息安全和隐私管理体系（隐私信息管理体系）范围管理过程。

（2）形成书面的《PIMS范围管理流程》或《PIMS范围管理程序》，明确信息安全和隐私管理体系（隐私信息管理体系）范围确定流程和要求。

（3）按照《PIMS范围管理流程》或《PIMS范围管理程序》，对信息安全和隐私管理体系（隐私信息管理体系）范围进行确认、评审和更新，并输出相应的记录。

【输出文档】

（1）《PIMS范围管理流程》或《PIMS范围管理程序》（可选）。

（2）书面的信息安全和隐私管理体系（隐私信息管理体系）体系范围。

【审核要点】

（1）是否有对信息安全和隐私管理体系（隐私信息管理体系）的范围进行确定，并能提供书面的记录。

（2）信息安全和隐私管理体系（隐私信息管理体系）的范围是否与4.1和4.2的输出信息，存在不一致的地方。

【附】

（1）ISO/IEC 27001: 2022标准解读（4）正文 4 组织环境/4.3 确定信息安全管理体系范围

（2）ISO/IEC 27001:2013标准解读（5）正文 4 组织环境/4.3 确定信息安全管理体系范围

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（10）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.3 确定信息安全管理体系的范围

ISO/IEC 27701: 2019 标准详解与实施（11）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.4 信息安全管理体系

ISO/IEC 27701: 2019 标准详解与实施（9）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.2 理解相关方的需求和期望

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（10）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.3 确定信息安全管理体系的范围

ISO/IEC 27701: 2019 标准详解与实施（11）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.4 信息安全管理体系

ISO/IEC 27701: 2019 标准详解与实施（9）5 与ISO/IEC 27001相关的隐私信息管理体系（PIMS）的特定要求/5.2 组织环境/5.2.2 理解相关方的需求和期望

发表回复 取消回复

发表回复取消回复