6 PIMS-specific guidance related to ISO/IEC 27002 与ISO/IEC 27002相关的隐私信息管理体系(PIMS)的特定指南/6.11 Systems acquisition, development and maintenance 系统获取、开发和维护/6.11.2 Security in development and support processes 开发和支持过程中的安全/6.11.2.1 Secure development policy 安全的开发策略

6.11.2.1 Secure development policy 安全的开发策略

The control, implementation guidance and other information stated in ISO/IEC 27002:2013, 14.2.1 and the following additional guidance applies:
在ISO/IEC 27002:2013, 14.2.1中陈述的控制项,实施指南和其他信息,以及以下附加的指南适用:

Additional implementation guidance for 14.2.1, Secure development policy, of ISO/IEC 27002:2013 is:
附加到ISO/IEC 27002:2013中的“14.2.1 安全的开发策略”的实施指南是:

Policies for system development and design should include guidance for the organization’s processing of PII needs, based on obligations to PII principals and/or any applicable legislation and/or regulation and the types of processing performed by the organization. Clauses 7 and 8 provide control considerations for processing of PII, which can be useful in developing policies for privacy in systems design.
系统开发和设计策略宜包含组织处理个人身份信息(PII)需求的指南,该指南是基于对个人身份信息(PII)主体的义务和/或任何适用的法律和/或法规,以及组织执行处理的数据类型。条款7和条款8为个人身份信息处理提供的控制建议,可能对系统设计中针对隐私的开发策略有帮助。

Policies that contribute to privacy by design and privacy by default should consider the following aspects:
有助于隐私设计和默认隐私保护的策略,宜包含以下方面:

a) guidance on PII protection and the implementation of the privacy principles (see ISO/IEC 29100) in the software development lifecycle;
a)个人身份信息(PII)保护和软件开发生命周期中的隐私准则(见ISO/IEC 29100)实践的指南;

b) privacy and PII protection requirements in the design phase, which can be based on the output from a privacy risk assessment and/or a privacy impact assessment (see 7.2.5);
b)设计阶段的隐私和个人身份信息(PII)保护要求,这可基于隐私风险评估和/或隐私影响评价(见7.2.5)的输出;

c) PII protection checkpoints within project milestones;
c)项目里程碑中的个人身份信息(PII)保护检查点;

d) required privacy and PII protection knowledge;
d)要求的隐私和个人身份信息(PII)保护的知识;

e) by default minimize processing of PII.
e)默认对个人身份信息(PII)做最小化的处理。
ISO/IEC 27002:2013,14.2.1 安全的开发策略

14.2.1 安全的开发策略

控制

针对组织内的开发,宜建立软件和系统开发规则并应用。

实施指南

<略>

其他信息

<略>

【标准理解】

(1)本条款(6.11.2.1)是以ISO/IEC 27002: 2013中的“14.2.1 安全的开发策略”为内核,有额外附加的实施指南,没有额外附加的其他信息。

欲阅读更多内容,需要付费购买【公众号付费合集文章(200篇文章,超30万字)

ISO/IEC 27701: 2019标准理解与实施最全面,最详尽,最精准的学习资料(20小时视频讲解+30万字解读文章),现在购买微信公众号付费合集文章(3800微信豆,200篇文章,30万字),赠送20小时讲解视频(https://video.27001.cn/course-10.html),文章内容更多,但视频里也有文章没有的内容,视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训,一般只有1-2小时,哪怕花费数千上万的费用去参加机构的培训,一般也只有1-2天时间,其中还把内审和风险评估等内容参杂在里面,所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料,后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了,但是只是标准的结构变化了,其核心内容和底层逻辑是一样的,购买本次资料,后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费