5 PIMS-specific requirements related to ISO/IEC 27001 与ISO/IEC 27001相关的隐私信息管理体系(PIMS)的特定要求/5.4 Planning 策划/5.4.1 Actions to address risks and opportunities 应对风险和机会的措施/5.4.1.3 Information security risk treatment 信息安全风险处置

5.4.1.3 Information security risk treatment 信息安全风险处置

The requirements stated in ISO/IEC 27001:2013, 6.1.3 apply with the following additions:
ISO/IEC 27001:2013, 6.1.3陈述的要求和以下附加的要求适用:

ISO/IEC 27001:2013, 6.1.3 c) is refined as follows:
ISO/IEC 27001:2013, 6.1.3 c)被改进为如下:

The controls determined in ISO/IEC 27001:2013 6.1.3 b) shall be compared with the controls in Annex A and/or Annex B and ISO/IEC 27001:2013, Annex A to verify that no necessary controls have been omitted.
应将ISO/IEC 27001:2013 6.1.3b)确定的控制与附录A和/或附录B,以及ISO/IEC 27001:2013, 附录A中的控制项进行比较,以便验证没有忽略必要的控制。

When assessing the applicability of control objectives and controls from ISO/IEC 27001:2013 Annex A for the treatment of risks, the control objectives and controls shall be considered in the context of both risks to information security as well as risks related to the processing of PII, including risks to PII principals.
当评估风险处置的控制目标和控制项(来自ISO/IEC 27001:2013 附录A)的适用性时,这些控制目标和控制项应是同时基于信息安全风险和个人身份信息(PII)处理的相关风险(包括对个人身份信息(PII)主体的风险)的环境下被考虑的。

ISO/IEC 27001:2013, 6.1.3 d) is refined as follows:
ISO/IEC 27001:2013, 6.1.3 d)被改进为如下:

Produce a Statement of Applicability that contains:
制定适用性声明(SOA),包含:

— the necessary controls [see ISO/IEC 27001:2013, 6.1.3 b) and c)];
— 必要的控制项(见ISO/IEC 27001:2013, 6.1.3 b) 和c));

— justification for their inclusion;
— 其选择的合理性说明;

— whether the necessary controls are implemented or not; and
— 无论必要的控制项是否已实施;

— the justification for excluding any of the controls in Annex A and/or Annex B and ISO/IEC 27001:2013, Annex A according to the organization’s determination of its role (see 5.2.1).
— 根据组织对其定位的角色(见5.2.1)作出的对附录A 和/或附录B,以及ISO/IEC 27001:2013, 附录A的控制项的删减的合理性说明。

Not all the control objectives and controls listed in the annexes need to be included in a PIMS implementation. Justification for exclusion can include where the controls are not deemed necessary by the risk assessment, and where they are not required by (or are subject to exceptions under) the legislation and/or regulation including those applicable to the PII principal.
并非所有在附录中列出的控制目标和控制项都必须在隐私信息管理体系(PIMS)实施中被包含。排除的理由可以包括风险评估认为不需要的控制项,以及法律和/或法规(包括适用于个人身份信息(PII)主体的法律和/或法规)不要求(或有明确例外)的控制项。
ISO/IEC 27001:2013, 6.1.3 信息安全风险处置

6.1.3 信息安全风险处置

组织应定义并应用信息安全风险处置过程,以:

a) 在考虑风险评估结果的基础上,选择适合的信息安全风险处置选项;
b) 确定实现已选的信息安全风险处置选项所必需的所有控制;

注1:当需要时,组织可设计控制,或识别来自任何来源的控制。

c) 将6.1.3b)确定的控制与附录 A 中的控制进行比较,并验证没有忽略必要的控制;

注2:附录 A 包含了控制目标和控制的综合列表。本标准用户可在附录 A 的指导下,确保没有遗漏必要的控制。

注3:控制目标隐含在所选择的控制内。附录 A 所列的控制目标和控制并不是完备的,可能需要额外的控制目标和控制。

d) 制定一个适用性声明,包含必要的控制[见6.1.3b)和c)]及其选择的合理性说明(无论该控制是否已实现),以及对附录 A 控制删减的合理性说明;
e) 制定正式的信息安全风险处置计划;
f) 获得风险责任人对信息安全风险处置计划以及对信息安全残余风险的接受的批准。

组织应保留有关信息安全风险处置过程的文件化信息。

注4:本标准中的信息安全风险评估和处置过程与ISO31000中给出的原则和通用指南相匹配。

【标准理解】

(1)本条款(5.4.1.3)是以ISO/IEC 27001: 2013中的“6.1.3 信息安全风险处置”为内核,没有额外的附加要求,但ISO/IEC 27701: 2019有对“ISO/IEC 27001: 2013,6.1.3 c) 和6.1.3 d) ”进行了改进,在实施ISO/IEC 27701: 2019时,需要满足ISO/IEC 27001: 2013中的“6.1.3 信息安全风险处置”要求,本条款中的改进后的要求,以及5.1中的通用扩展要求。

欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)

ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费