ISO/IEC 27701: 2019 标准详解与实施（35）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.3 信息安全组织/6.3.1 内部组织/6.3.1.1 信息安全的角色和责任

6 PIMS-specific guidance related to ISO/IEC 27002 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.3 Organization of information security 信息安全组织/6.3.1 Internal organization 内部组织/6.3.1.1 Information security roles and responsibilities 信息安全的角色和责任

6.3.1.1 Information security roles and responsibilities 信息安全的角色和责任

The control, implementation guidance and other information stated in ISO/IEC 27002:2013, 6.1.1 and the following additional guidance applies:
在ISO/IEC 27002:2013, 6.1.1中陈述的控制项，实施指南和其他信息，以及以下附加的指南适用：

Additional implementation guidance for 6.1.1, Information security roles and responsibilities, of ISO/IEC 27002:2013 is:
附加到ISO/IEC 27002:2013中的“6.1.1 信息安全的角色和责任”的实施指南是：
The organization should designate a point of contact for use by the customer regarding the processing of PII. When the organization is a PII controller, designate a point of contact for PII principals regarding the processing of their PII (see 7.3.2).
组织宜为个人身份信息（PII）处理有关的顾客指定联络点。当组织作为个人身份信息（PII）控制者时，组织宜为个人身份信息（PII）处理有关的个人身份信息（PII）的主体指定联络点（见7.3.2）。

The organization should appoint one or more persons responsible for developing, implementing, maintaining and monitoring an organization-wide governance and privacy program, to ensure compliance with all applicable laws and regulations regarding the processing of PII.
组织宜任命一个或多个负责组织范围内的治理和隐私规划的制定、实施、维护和监视的人员，以确保符合所有与个人身份信息（PII）相关的适用的法律和法规。

The responsible person should, where appropriate:
适当时，负责人宜：

— be independent and report directly to the appropriate management level of the organization in order to ensure effective management of privacy risks;
— 是独立的，并直接向组织适当的管理层级汇报，以确保隐私风险的有效管理；

— be involved in the management of all issues which relate to the processing of PII;
— 参与和个人身份信息（PII）处理相关的所有事务的管理；

— be expert in data protection legislation, regulation and practice;
— 精通数据保护法律，法规和实践；

— act as a contact point for supervisory authorities;
— 作为对接监管机构的联络人；

— inform top-level management and employees of the organization of their obligations with respect to the processing of PII;
— 将涉及个人身份信息（PII）处理的相应的义务告知给组织高层管理人员和员工；

— provide advice in respect of privacy impact assessments conducted by the organization.
— 就组织实施的隐私影响评估提供建议。

NOTE Such a person is called a data protection officer in some jurisdictions, which define when such a position is required, along with their position and role. This position can be fulfilled by a staff member or outsourced.
注，在一些司法管辖区，这样的人被称为数据保护官，这些司法管辖区规定了何时需要这样的职位，以及他们的职位和角色。这个职位可以由内部员工来担任，也可以是聘请的外部人员担任。

ISO/IEC 27002: 2013, 6.1.1 信息安全的角色和责任

控制

所有的信息安全责任宜予以定义和分配。

实施指南

<略>

其他信息

<略>

【标准理解】

（1）本条款（6.3.1.1）是以ISO/IEC 27002: 2013中的“6.1.1 信息安全的角色和责任”为内核，有额外附加的实施指南，没有额外附加的其他信息。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（35）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.3 信息安全组织/6.3.1 内部组织/6.3.1.1 信息安全的角色和责任

ISO/IEC 27701: 2019 标准详解与实施（36）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.3 信息安全组织/6.3.1 内部组织/6.3.1.2 职责分离

ISO/IEC 27701: 2019 标准详解与实施（34）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.2 信息安全策略/6.2.1 信息安全管理的指导/6.2.1.2 信息安全策略的评审

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（35）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.3 信息安全组织/6.3.1 内部组织/6.3.1.1 信息安全的角色和责任

ISO/IEC 27701: 2019 标准详解与实施（36）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.3 信息安全组织/6.3.1 内部组织/6.3.1.2 职责分离

ISO/IEC 27701: 2019 标准详解与实施（34）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.2 信息安全策略/6.2.1 信息安全管理的指导/6.2.1.2 信息安全策略的评审

发表回复 取消回复

发表回复取消回复