ISO/IEC 27701: 2019 标准详解与实施（117）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.5 系统安全工程原则

6 PIMS-specific guidance related to ISO/IEC 27002 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 Systems acquisition, development and maintenance 系统获取、开发和维护/6.11.2 Security in development and support processes 开发和支持过程中的安全/6.11.2.5 Secure systems engineering principles 系统安全工程原则

6.11.2.5 Secure systems engineering principles 系统安全工程原则

The control, implementation guidance and other information stated in ISO/IEC 27002:2013, 14.2.5 and the following additional guidance applies:
在ISO/IEC 27002:2013, 14.2.5中陈述的控制项，实施指南和其他信息，以及以下附加的指南适用：

Additional implementation guidance for 14.2.5, Secure systems engineering principles, of ISO/IEC 27002:2013 is:
附加到ISO/IEC 27002:2013中的“14.2.5 系统安全工程原则”的实施指南是：

Systems and/or components related to the processing of PII should be designed following the principles of privacy by design and privacy by default, and to anticipate and facilitate the implementation of relevant controls (as described in Clauses 7 and 8, for PII controllers and PII processors, respectively), in particular such that the collection and processing of PII in those systems is limited to what is necessary for the identified purposes of the processing of PII (see 7.2).
宜按照隐私设计和默认隐私保护的准则对与个人身份信息（PII）处理相关的系统和/或组件进行设计，并预测和推动相关控制（如条款7和条款8中的分别对个人身份信息（PII）控制者和处理者的描述）的实施，特别是那些系统，在其中的个人身份信息（PII）的收集和处理仅限于个人身份信息（PII）处理表明的目的所必需的内容（见7.2）。

For example, an organization that processes PII should ensure that, based on the relevant jurisdiction, it disposes of PII after a specified period. The system that processes that PII should be designed in a way to facilitate this deletion requirement.
例如，处理个人身份信息（PII）的组织宜确保，基于相关的司法管辖区，在规定的时间后对个人身份信息（PII）进行处置。处理这些个人身份信息（PII）的系统宜以某种方式被设计，以便利于实施该删除的要求。

ISO/IEC 27002:2013,14.2.5 系统安全工程原则

14.2.5 系统安全工程原则

控制

宜建立、文件化和维护系统安全工程原则,并应用到任何信息系统实现工作中。

实施指南

<略>

其他信息

<略>

【标准理解】

（1）本条款（6.11.2.5）是以ISO/IEC 27002: 2013中的“14.2.5 系统安全工程原则”为内核，有额外附加的实施指南，没有额外附加的其他信息。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（117）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.5 系统安全工程原则

ISO/IEC 27701: 2019 标准详解与实施（118）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.6 安全的开发环境

ISO/IEC 27701: 2019 标准详解与实施（116）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.4 软件包变更的限制

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（117）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.5 系统安全工程原则

ISO/IEC 27701: 2019 标准详解与实施（118）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.6 安全的开发环境

ISO/IEC 27701: 2019 标准详解与实施（116）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.11 系统获取、开发和维护/6.11.2 开发和支持过程中的安全/6.11.2.4 软件包变更的限制

发表回复 取消回复

发表回复取消回复