ISO/IEC 27701: 2019 标准详解与实施（124）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.2 在供应商协议中强调安全

6 PIMS-specific guidance related to ISO/IEC 27002 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 Supplier relationships 供应商关系/6.12.1 Information security in supplier relationships 供应商关系中的信息安全/6.12.1.2 Addressing security within supplier agreements 在供应商协议中强调安全

6.12.1.2 Addressing security within supplier agreements 在供应商协议中强调安全

The control, implementation guidance and other information stated in ISO/IEC 27002:2013, 15.1.2 and the following additional guidance applies:
在ISO/IEC 27002:2013, 15.1.2中陈述的控制项，实施指南和其他信息，以及以下附加的指南适用：

Additional implementation guidance for 15.1.2, Addressing security within supplier agreements, of ISO/IEC 27002:2013 is:
附加到ISO/IEC 27002:2013中的“15.1.2 在供应商协议中强调安全”的实施指南是：

The organization should specify in agreements with suppliers whether PII is processed and the minimum technical and organizational measures that the supplier needs to meet in order for the organization to meet its information security and PII protection obligations (see 7.2.6 and 8.2.1).
组织宜在与供应商的协议中明确个人身份信息（PII）是否被处理，以及供应商需要满足的最低技术和组织措施，以便组织满足其信息安全和个人身份信息（PII）保护义务（见7.2.6和8.2.1）。

Supplier agreements should clearly allocate responsibilities between the organization, its partners, its suppliers and its applicable third parties (customers, suppliers, etc.) taking into account the type of PII processed.
考虑到处理的个人身份信息（PII）的类型，宜在供应商协议中清晰地分配组织，合作伙伴，供应商，以及适用的第三方（顾客，供应商等）的责任。

The agreements between the organization and its suppliers should provide a mechanism for ensuring the organization supports and manages compliance with all applicable legislation and/or regulation. The agreements should call for independently audited compliance, acceptable to the customer.
组织和其供应商之间的协议宜为确保组织的支持和管理符合所有适用的法律和/法规提供机制。协议宜要求独立的经审计的合规性，并为顾客所接受。

NOTE For such audit purposes, compliance with relevant and applicable security and privacy standards such as ISO/IEC 27001 or this document can be considered.
注，为此类审计目的，遵守适宜和适用的安全和隐私标准，诸如ISO/IEC 27001或者本文件，是可以被考虑的。

Implementation guidance for PII processors
个人身份信息（PII）处理者的实施指南

The organization should specify in contracts with any suppliers that PII is only processed on its instructions.
组织宜在与所有供应商签订的合同中明确所有的个人身份信息的处理都应按组织的说明进行。

ISO/IEC 27002:2013,15.1.2 在供应商协议中强调安全

15.1.2 在供应商协议中强调安全

控制

宜与每个可能访问、处理、存储、传递组织信息或为组织信息提供IT 基础设施组件的供应商建立所有相关的信息安全要求,并达成一致。

实施指南

<略>

其他信息

<略>

【标准理解】

（1）本条款（6.12.1.2）是以ISO/IEC 27002: 2013中的“15.1.2 在供应商协议中强调安全”为内核，有额外附加的实施指南，没有额外附加的其他信息。

欲阅读更多内容，需要付费购买【公众号付费合集文章（200篇文章，超30万字）】

ISO/IEC 27701: 2019标准理解与实施最全面，最详尽，最精准的学习资料（20小时视频讲解+30万字解读文章），现在购买微信公众号付费合集文章（3800微信豆，200篇文章，30万字），赠送20小时讲解视频（https://video.27001.cn/course-10.html），文章内容更多，但视频里也有文章没有的内容，视频和文章可以相互补充。

对于一般咨询辅导提供的ISO/IEC 27701标准培训，一般只有1-2小时，哪怕花费数千上万的费用去参加机构的培训，一般也只有1-2天时间，其中还把内审和风险评估等内容参杂在里面，所以我提供的这个资料对于真正想学习ISO/IEC 27701的人绝对是不容错过的机会。所有已经确定收费的资料，后面都不会公开的。

虽然ISO/IEC 27701: 2025已经发布了，但是只是标准的结构变化了，其核心内容和底层逻辑是一样的，购买本次资料，后续可以抵扣ISO/IEC 27701: 2025相关学习资料的部分费用。

【行动要点】

本部分内容需要付费

【输出文档】

本部分内容需要付费

【审核要点】

本部分内容需要付费

《从食品安全到信息安全：十五年的ISO管理体系职场经历和感悟》

ISO/IEC 27701: 2019 标准详解与实施（124）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.2 在供应商协议中强调安全

ISO/IEC 27701: 2019 标准详解与实施（125）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.3 信息与通信技术供应链

ISO/IEC 27701: 2019 标准详解与实施（123）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.1 供应商关系的信息安全策略

发表回复取消回复

ISO/IEC 27701: 2019 标准详解与实施（124）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.2 在供应商协议中强调安全

ISO/IEC 27701: 2019 标准详解与实施（125）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.3 信息与通信技术供应链

ISO/IEC 27701: 2019 标准详解与实施（123）6 与ISO/IEC 27002相关的隐私信息管理体系（PIMS）的特定指南/6.12 供应商关系/6.12.1 供应商关系中的信息安全/6.12.1.1 供应商关系的信息安全策略

发表回复 取消回复

发表回复取消回复