ISO IEC 27701- 2019隐私信息管理体系-中文版.pdf

INTERNATIONAL ISO/IEC 27701 STANDARD Frist Edition 2019.08 安全技术 ISO/IEC 27001和 ISO/IEC 27002 的隐私信 息管理扩展 要求和指南 Reference number ISO/IEC 27701:2019(E) Contents 前言 I 引言 II 1 范围 1 2 引用标准 1 3 术语和定义 1 3.1 Joint PII controller 联合PII 控制者 1 3.2 privacy information management system （PIMS）隐私信息管理体系 1 4 概述 2 4.1 文档结构 2 4.2 ISO/IEC 27001:2013 要求的应用 2 4.3 ISO/IEC 27002:2013 指南的应用 3 4.4 客户 3 5 PIMS 关于ISO/IEC 27001 的具体要求 3 5.1 概述 3 5.2 组织情景 4 5.2.1 理解组织及其背景 4 5.2.2 理解利益相关方的需求和期望 4 5.2.3 确定信息安全管理体系范围 4 5.2.4 信息安全管理体系 4 5.3 领导力 5 5.3.1 领导力和承诺 5 5.3.2 方针 5 5.3.3 组织的角色、职责和权限 5 5.4 计划 5 5.4.1 处理风险和机遇的活动 5 5.4.2 信息安全目标和实现 6 5.5 支持 6 5.5.1 资源 6 5.5.2 能力 6 5.5.3 沟通 6 5.5.4 沟通 6 5.5.5 文件化信息 6 5.6 运行 6 5.6.1 运行计划和控制 6 5.6.2 信息安全风险评估 6 5.6.3 信息安全风险处置 6 5.7 绩效评估 7 5.7.1 监视、测量、分析和评价 7 5.7.2 内部审核 7 5.7.3 管理评审 7 5.8 改进 7 I 5.8.1 不符合和纠正措施 7 5.8.2 持续改进 7 6 PIMS 关于ISO/IEC 27002 的具体要求 7 6.1 概述 7 6.2 信息安全策略 7 6.2.1 信息安全管理方向 7 信息安全管理策略 7 6.3 信息安全组织 8 6.3.1 内部组织 8 6.3.2 移动设备和远程工作 8 6.4 人力资源安全 9 6.4.1 雇用前 9 6.4.2 雇用中 9 6.4.3 雇用终止或变更 9 6.5 资产管理 9 6.5.1 对资产负责 9 6.5.2 信息分类 9 6.5.3 介质处理 10 6.6 访问控制 11 6.6.1 访问控制的业务要求 11 6.6.2 用户访问管理 11 6.6.3 用户职责 12 6.6.4 系统和应用访问控制 12 6.7 密码学 12 6.7.1 密码控制 12 6.8 物理和环境安全 13 6.8.1 安全区域 13 6.8.2 设备 13 6.9 操作安全 14 6.9.1 操作程序和职责 14 6.9.2 防范恶意软件 14 6.9.3 备份 14 6.9.4 日志和监控 15 6.9.5 控制操作系统软件 16 6.9.6 技