| 5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.2 Context of the organization 组织环境/5.2.4 Information security management system 信息安全管理体系 |
5.2.4 Information security management system 信息安全管理体系 A requirement additional to ISO/IEC 27001:2013, 4.4 is: 附加到ISO/IEC 27001:2013, 4.4的要求是: The organization shall establish, implement, maintain and continually improve a PIMS in accordance with the requirements of ISO/IEC 27001:2013 Clauses 4 to 10, extended by the requirements in Clause 5. 组织应按照ISO/IEC 27001:2013条款4到条款10以及本文件条款5扩展的要求,建立、实现、维护和持续改进隐私信息管理体系(PIMS)。 |
| ISO/IEC 27001:2013, 4.4 信息安全管理体系 |
4.4 信息安全管理体系 组织应该按照本标准的要求,建立、实现、维护和持续改进信息安全管理体系 |
【标准理解】
(1)本条款(5.2.4)是以ISO/IEC 27001: 2013中的“4.4 信息安全管理体系”为内核,在实施ISO/IEC 27701: 2019时,需要同时满足ISO/IEC 27001: 2013中的“4.4 信息安全管理体系”要求,以及本条款(5.2.4)中的附加要求。
(2)应依据5.1要求的通用扩展要求,对5.2.4条款的标题“信息安全管理体系”中的“信息安全”进行扩展,需要用“信息安全和隐私”替代“信息安全”。
(3)组织应根据ISO/IEC 27001: 2013中的“4.4 信息安全管理体系”要求,以及本条款(5.2.4)中的附加要求,确定建立、实施、保持和持续改进信息安全和隐私管理体系(隐私信息管理体系)所需的过程(如输出过程清单),并确认这些过程之间的相互相互关系(如输出过程相互关系图)。
(4)过程清单,以及过程相互关系图,应形成书面的文件。
(5)本条款涉及的过程策划,与5.6.1涉及的过程运行策划是有区别的。本条款仅要求输出过程清单,以及过程相互相互关系图,而不涉及二阶文件的具体内容。但是5.6.1则是利用本条款的输出,作为输入信息,进一步输出具体的程序文件,以及由程序文件引出的三阶文件。
【行动要点】
(1)建立PIMS过程策划管理过程。
(2)形成书面的《PIMS过程策划管理流程》或《PIMS过程策划管理程序》,明确PIMS过程、过程相互关系的确定、评审和更新等要求。
(3)按照《PIMS过程策划管理流程》或《PIMS过程策划管理程序》,对PIMS过程、以及过程相互关系进行确定、评审和更新,并输出相应的记录。
【输出文档】
(1)《PIMS过程策划管理流程》或《PIMS过程策划管理程序》(可选)。
(2)PIMS过程清单。
(3)PIMS过程相互关系图。
【审核要点】
(1)是否输出书面的PIMS过程清单。
(2)是否输出书面的PIMS过程相互关系图。
【附】
