ISO/IEC 27701: 2019 标准详解与实施（61）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.2 用户访问供给

6 PIMS-specific guidance related to ISO/IEC 27002 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.6 Access control 访问控制/6.6.2 User access management 用户访问管理/6.6.2.2 User access provisioning 用户访问供给

6.6.2.2 User access provisioning 用户访问供给

The control, implementation guidance and other information stated in ISO/IEC 27002:2013, 9.2.2 and the following additional guidance applies:
在ISO/IEC 27002:2013, 9.2.2中陈述的控制项，实施指南和其他信息，以及以下附加的指南适用：

Additional implementation guidance for 9.2.2, User access provisioning, of ISO/IEC 27002:2013 is:
附加到ISO/IEC 27002:2013中的“9.2.2 用户访问供给”的实施指南是：

The organization should maintain an accurate, up-to-date record of the user profiles created for users who have been authorized access to the information system and the PII contained therein. This profile comprises the set of data about that user, including user ID, necessary to implement the identified technical controls providing authorized access.
组织宜保持为用户授权访问信息系统和包含在内的个人身份信息（PII）而创建的用户档案的准确和最新的记录。该档案包含用户的一组数据，包括用户ID，这些数据是实施提供授权访问的识别技术控制所必需的。

Implementing individual user access IDs enables appropriately configured systems to identify who accessed PII and what additions, deletions or changes they made. As well as protecting the organization, users are also protected as they can identify what they have processed and what they have not processed.
实施独立的用户访问ID，以便经过了适当配置的系统可以识别访问个人身份信息（PII）的人员，以及其进行的添加、删除或修改操作。在保护组织的同时，用户也受到了保护，因为用户可以识别自己处理了什么和没有处理什么。

In the case where the organization is providing PII processing as a service, the customer can be responsible for some or all aspects of access management. Where appropriate, the organization should provide the customer the means to perform access management, such as by providing administrative rights to manage or terminate access. Such cases should be included in the documented information.
组织将处理个人身份信息（PII）作为服务之时，顾客可以负责访问管理的部分活动或全部活动。适当时，组织宜向顾客提供履行访问管理的途径，如通过提供管理或终止访问的管理员权限。这些情形宜包含在形成的文件化信息中。

ISO/IEC 27002:2013, 9.2.2 用户访问供给

9.2.2 用户访问供给

控制

宜对所有系统和服务的所有类型用户,实现一个正式的用户访问供给过程以分配或撤销访问权。

实施指南

<略>

其他信息

<略>

【标准理解】

（1）本条款（6.6.2.2）是以ISO/IEC 27002: 2013中的“9.2.2 用户访问供给”为内核，有额外附加的实施指南，没有额外附加的其他信息。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（61）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.2 用户访问供给

ISO/IEC 27701: 2019 标准详解与实施（62）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.3 特许访问权管理

ISO/IEC 27701: 2019 标准详解与实施（60）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.1 用户注册和注销

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（61）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.2 用户访问供给

ISO/IEC 27701: 2019 标准详解与实施（62）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.3 特许访问权管理

ISO/IEC 27701: 2019 标准详解与实施（60）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指/6.6 访问控制/6.6.2 用户访问管理/6.6.2.1 用户注册和注销

发表回复 取消回复

发表回复取消回复