5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.4 Planning 策划/5.4.1 Actions to address risks and opportunities 应对风险和机会的措施/5.4.1.2 Information security risk assessment 信息安全风险评估

5.4.1.2 Information security risk assessment 信息安全风险评估

The requirements stated in ISO/IEC 27001:2013, 6.1.2 apply with the following refinements:
ISO/IEC 27001:2013, 6.1.2陈述的要求并加上以下的改进适用:

ISO/IEC 27001:2013, 6.1.2 c) 1) is refined as follows:
ISO/IEC 27001:2013, 6.1.2 c) 1)被改进为如下:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.
组织应使用信息安全风险评估过程来识别隐私信息管理体系(PIMS)范围内的保密性、完整性和可用性丧失的相关风险。

The organization shall apply privacy risk assessment process to identify risks related to the processing of PII, within the scope of the PIMS.
组织应使用隐私风险评估过程来识别隐私信息管理体系(PIMS)范围内的个人身份信息(PII)处理的相关风险。

The organization shall ensure throughout the risk assessment processes that the relationship between information security and PII protection is appropriately managed.
在整个风险评估过程中,组织应确保信息安全和个人身份信息(PII)保护之间的关系得到适当管理。

NOTE The organization can either apply an integrated information security and privacy risk assessment process or two separate ones for information security and the risks related to the processing of PII.
注,组织可以使用信息安全和隐私风险评估的整合过程,也可以使用两个独立的过程,分别应对信息安全,以及个人身份信息(PII)处理的相关风险。

ISO/IEC 27001:2013, 6.1.2 d) 1) is refined as follows:
ISO/IEC 27001:2013, 6.1.2 d) 1)被改进为如下:

The organization shall assess the potential consequences for both the organization and PII principals that would result if the risks identified in ISO/IEC 27001:2013, 6.1.2 c) as refined above, were to materialize.
依据以上改进的ISO/IEC 27001:2013, 6.1.2 c)识别的风险发生后,组织应评估给组织和个人身份信息(PII)主体带来的潜在影响。
ISO/IEC 27001:2013, 6.1.2 信息安全风险评估

6.1.2 信息安全风险评估

组织应定义并应用风险评估过程,以:

a) 建立并保持信息安全风险准则,包括:
1) 风险接受准则;
2) 执行信息安全风险评估的准则;

b) 确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果;

c) 识别信息安全风险:
1) 应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险;
2) 识别风险负责人;

d) 分析信息安全风险:
1) 评估6.1.2 c)1)中所识别风险发生后将导致的潜在影响;
2) 评估6.1.2 c)1)中所识别风险发生的现实可能性;
3) 确定风险级别;

e) 评价信息安全风险;
1) 将风险分析结果同6.1.2 a)建立的风险准则进行比较;
2) 为实施风险处置确定已分析风险的优先级。

组织应保留信息安全风险评估过程的文件记录信息。

【标准理解】

(1)本条款(5.4.1.2)是以ISO/IEC 27001: 2013中的“6.1.2 信息安全风险评估”为内核,没有额外的附加要求,但ISO/IEC 27701: 2019有对“ISO/IEC 27001: 2013,6.1.2 c) 1)和6.1.2 d) 1)”进行了改进,在实施ISO/IEC 27701: 2019时,需要满足ISO/IEC 27001: 2013中的“6.1.2 信息安全风险评估”要求,本条款中的改进后的要求,以及5.1中的通用扩展要求。

欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)

ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费