基于ISO

标准评析基于ISO/IEC 27006 TS-2：2021的隐私信息管理体系审核和认证机构要求标准解读
■ 赵丽华1 闻洪春2
（1. 北京赛西认证有限责任公司；2. 中国电子技术标准化研究院）
摘 要：ISO/IEC TS 27006-2:2021《信息安全管理体系审核和认证机构要求 第2部分：隐私信息管理体系》为提供隐私信息管理体系审核和认证的机构建立了准则，本文对此标准重点内容进行解读，供有关人员在实施和贯彻标准时参考。

关键词：隐私信息管理体系，认证，标准
DOI编码：10.3969/j.issn.1002-5944.2021.17.031
Interpretation of Requirements for Bodies Providing Audit and
Certification of Privacy Information Management Systems Based
on ISO/IEC TS 27006-2:2021
ZHAO Li-hua1 WEN Hong-chun2
（1. CESI Certification Co., Ltd.; 2. China Electronics Standardization Institute）
Abstract: ISO/IEC TS 27006-2:2021, Requirements for bodies providing audit and certification of information security management systems - Part2: Privacy information management systems, sets out criteria for bodies providing audit and certification of privacy information management systems. This paper interprets the key content of the standard, and provides the reference for the concerned personnel in the implementation of the standard.
Keywords: privacy information management systems, certification, standard
1 概 述
ISO/IEC 27001：2013《信息安全管理体系 要求》作为国际上公认的信息安全管理体系（ISMS）标准，被各类组织广泛采用。

为进一步保护用户隐私和合规管理个人信息，2019年国际标准化组织发布了ISO/IEC 27701：2019标准。

作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准，ISO/IEC 27701目标是通过新增的要求来增强现有信息安全管理体系，以便建立、实施、维护和不断改进隐私信息管理体系（PIMS）。

ISO/IEC 27701标准提出了适用于隐私安全的要求，提供了适用于个人可识别信息（PII）控制者和PII处理者的控制目标和控制的指南。

ISO/IEC 27006为提供信息安全管理体系审核和认证的机构建立了准则。

如果此类机构按照ISO/ IEC 27701:2019审核和认证隐私信息管理体系，也要被认可为符合ISO/IEC 27006的要求，对ISO/IEC 27006补充一些要求和指南则是必要的。

ISO/IEC TS 27006-2:2021《信息安全管理体系审核和认证机
赵丽华，闻洪春：基于ISO/IEC 27006 TS-2：2021的隐私信息管理体系审核和认证机构要求标准解读
构要求 第2部分：隐私信息管理体系》提供了上述内容。

本文将对ISO/IEC TS 27006-2:2021的重点内容进行解读。

2 ISO/IEC TS 27006-2:2021的要点解读
2.1 关于通用要求的解读
在ISO/IEC TS 27006-2:2021的条款5指出，ISO/ IEC 27006的要求除了在ISO/IEC TS 27006-2:2021中特别指明外，都适用。

因此对于隐私信息管理体系审核和认证机构来讲，不仅要遵循ISO/IEC 27006的要求，即满足审核和认证信息安全管理体系相关要求，还要遵循ISO/IEC TS 27006-2:2021中规定的针对于隐私管理体系的审核和认证的要求。

2.2 关于人员能力要求的解读
ISO/IEC 27006中关于ISMS人员能力准则适用于PIMS人员，另外ISO/IEC TS 27006-2的条款7.1针对PIMS人员增加了相应的能力要求。

如要求审核员应具有包括ISO/IEC 27701的隐私信息管理、识别和处理个人识别信息（PII）、设计隐私和默认隐私、PIMS 监视、测量、分析和评价、与隐私信息管理和PII处理相关的信息安全风险、隐私信息管理的策略和业务要求等知识。

总体而言，ISO/IEC TS 27006-2要求审核组成员应具备隐私信息管理和PII处理相关的工具、方法、技术及其应用，跟踪隐私事件、隐私信息风险评估、隐私影响评估及相关方法和风险管理等能力，理解适用于PIMS的过程、当前可能与隐私相关或有隐私问题的技术、ISO/IEC 27701中包含的所有控制及其实现、适用于隐私信息管理和/或PII处理的法律要求（例如：行业特定法律和地方隐私法、行业隐私良好实践和隐私程序等知识）等内容。

对于复核审核报告并做出认证决定的人员，ISO/IEC TS 27006-2要求其应具备ISO/IEC 29100中提出的隐私框架、ISO/IEC 27701与隐私相关的法律法规要求、根据ISO/IEC 27701（特别是在PII控制者和PII处理者方面）的管理体系范围定义、能验证范围的适宜性以及范围的变更等知识。

ISO/IEC TS 27006-2规定，复核审核报告并做出认证决定的人员应一般理解隐私信息风险评估、隐私影响评估和风险管理、适用于PIMS的过程等内容。

2.3 关于参与认证活动人员的要求解读
ISO/IEC TS 27006-2条款7.2中指出，适用时，认证机构应通过获得承认的PIMS特定资格、参加PIMS培训课程并获得相关的个人证书、由另一个PIMS审核员见证 PIMS审核等方面来证实审核员具有知识和经验。

除了前述规定的实施PIMS审核的能力要求外，选择审核员的准则应确保每位审核员在信息技术领域具备至少四年的全职实际工作经历，其中至少两年的工作经历来自与隐私有关的职责或职能、至少完成过一次PIMS领域的现场审核、通过持续的专业发展、保持当前在隐私信息管理方面的知识和技能是最新的等内容。

2.4 关于认证文件的要求解读
ISO/IEC TS 27006-2条款8规定，要求ISO/IEC 27701的认证文件应表明该组织是其认证范围内的PII控制者和PII处理者之一或两者兼有，并应表明ISO/IEC 27701认证是基于ISO/IEC 27001认证，以及该组织符合ISO/IEC 27701。

其次，还要求ISO/IEC 27001的适用性声明（SoA）版本和ISO/IEC 27701的SoA版本（如果单独发布）应包含在ISO/IEC 27701的认证文件中，ISO/ IEC 27701认证的生效日期不得超过其所依据的ISO/IEC 27001认证的日期，根据ISO/IEC 27001的认证可在ISO/IEC 27701认证之前或同时获得。

另外，ISO/IEC 27701的认证文件应包括隐私信息管理体系的文字表述、组织在范围内的每项活动、产品或服务中的角色（即，组织是否担任PII控制者和/或PII处理者）、被认证组织同时满足ISO/ IEC 27001和ISO/IEC 27701的事实。

2.5 关于审核方案的要求解读
ISO/IEC TS 27006-2条款9规定，认证机构应确保ISO/IEC 27701认证的范围在ISO/IEC 27001认证
赵丽华，闻洪春：基于ISO/IEC 27006 TS-2：2021的隐私信息管理体系审核和认证机构要求标准解读
的范围之内或与之相同，认证机构应确保ISO/IEC 27701的认证范围包括在PIMS范围内定义的客户活动范围内。

ISO/IEC TS 27006-2要求认证机构的ISO/IEC 27701审核的审核方案应确定客户在PII控制者和PII 处理者方面的角色；认证机构应在客户PIMS范围内确认PII处理在其范围内；认证机构应确保客户的信息安全及隐私风险评估和风险处理适当反映其活动，并延伸至PIMS范围内定义的活动边界，认证机构应确认这反映在客户的PIMS范围和其适用性声明中。

特别强调的是，对于审核准则I S O/I EC T S 27006-2规定，客户PIMS接受审核的准则应是ISO/ IEC 27001，并由ISO/IEC 27701扩展，与所履行的职能相关的其他文件，可以作为认证要求。

2.6 关于审核时间的要求解读
ISO/IEC TS 27006-2规定，除遵循信息安全管理体系的审核时间要求外，认证机构还应确定ISO/ IEC 27701认证审核（包括初始认证、监督和再认证）所需的额外审核时间，PIMS特定方面所需的审核时间至少为：
——审核时间的30%（如果审核客户是PII控制者）；
——审核时间的20%（如果审核客户是PII处理者）；
——审核时间的50%（如果审核客户端同时是PII控制者和处理者）。

如果根据上述计算的值较低，ISO/I EC T S 27006-2规定初始PIMS审核（第1阶段和第2阶段）的额外审核时间应至少为PII处理者2.5人日，PII控制者3人日或两者都是3.5人日。

如果组织已通过ISMS（ISO/IEC 27001）认证，且PIMS初始审核与ISMS审核（即ISMS监督审核或ISMS再认证审核）分开进行，则审核时间应至少增加0.5人日，以验证ISMS（特别是其管理体系方面，如内部审核和管理评审）是否扩展到包括ISO/IEC 27701中规定的PIMS观点。

按照ISO/IEC TS 27006-2要求，每次PIMS审核应计算额外的审核天数。

2.7 关于策划和实施审核的要求解读
ISO/IEC 27701中针对控制者和处理者分别有不同的控制，因此ISO/IEC TS 27006-2要求审核计划应考虑PIMS控制，在审核计划中依据组织的角色安排相关控制的审核。

ISO/IEC TS 27006-2的条款9.3针对初次认证规定“ISO/IEC 27006:2015 9.3的要求适用于ISO/ IEC 27701。

此外，提及ISO/IEC 27001应解释为ISO/ IEC 27001和ISO/IEC 27701”。

由此可见，在PIMS审核的一阶段和二阶段都要把ISMS审核涉及内容扩展到ISMS和PIMS。

不仅ISO/IEC 27006:2015关于认证决定的要求适用于ISO/IEC 27701，此外，认证机构应考虑ISO/ IEC 27701要求中发现的不符合项对ISO/IEC 27001符合性的影响，并相应报告。

ISO/IEC 27006:2015关于暂停、撤销或缩小认证范围的要求适用于ISO/IEC 27701。

此外，如果其基于ISO/IEC 27001认证被暂停、撤销或其范围（包括ISO/ IEC 27701认证的范围）被缩小，认证机构应暂停、撤销或缩小ISO/IEC 27701认证的范围。

由此可见，ISO/ IEC 27001认证和ISO/IEC 27701认证密切相关。

3 结 语
ISO/IEC TS 27006-2:2021的主要目的是使认可机构在应用其评审认证机构所依据的标准时能更有效地协调一致，支持提供PIMS认证的认证机构的认可。

该标准可作为认可、同行评审或其他审核过程的准则性文件。

随着基于ISO/IEC 27701的隐私信息管理体系认证越来越受到组织的关注和接受，相信越来越多的审核和认证机构会进一步关注此标准并有效执行，以证实其能力和可靠性方面满足要求。

（下转第230页）
刘雪丽，张书琦，袁洪涛等：电力变压器相关现行标准分析
参考文献
国家标准化管理委员会.电工术语 变压器、调压器和电抗器:GB/T 2900.5-2015[S].北京:中国标准出版社,2015.
操郭奎,许维宗,阮国方.变压器运行维护与故障分析处理[M].北京:中国电力出版社,2008.
З.A.满金,崔立君.变压器类产品标准的系统[J].变压器,1965(1): 24-25.
国家标准化管理委员会.电力变压器 第1部分:总则:GB/T 1094.1-2013[S].北京:中国标准出版社,2014.
工业和信息化部办公厅 市场监管总局办公厅 国家能源局综合司.关于印发《变压器能效提升计划(2021-2023年)》的通知(工信厅联节〔2020〕69号[Z].
International Electrical Commission. Power Transformers-Part 20: Energy Efficiency: IEC TS 60076-20:2017[S].
国务院办公厅关于建立统一的绿色产品标准、认证、标识体系的意见（国办发〔2016〕86号）)[Z].
国家标准化管理委员会.分接开关 第1部分:性能要求和试验方法:GB/T 10230.1-2019[S]. 北京:中国标准出版社,2019.
国家能源局.油浸式电力变压器用绝缘纸板及绝缘件选用导则:DL/T 1806-2018[S].北京:中国电力出版社,2019.
国家标准化管理委员会.特高压变压器用冷轧取向电工钢: GB/ T 37593-2019[S].北京:中国电力出版社,2019.
朱跃,王莉英,陈楚羽.750kV电气设备现场交接及预防性试验技术研究[J].陕西电力,2006,34(1):13-18.
作者简介
刘雪丽，正高级工程师，主要从事变压器及其关键原材料组部件技术研究、相关标准制修订。

张书琦，正高级工程师，主要从事变压器及其关键原材料组部件技术研究、相关标准制修订。

袁洪涛，高级工程师，主要从事自愿性产品认证研究。

程涣超，正高级工程师，主要从事变压器及其关键原材料组部件技术研究、相关标准制修订。

谭瑞娟，工程师，主要从事变压器试验技术研究。

[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
参考文献
信息技术 安全技术 信息安全管理体系 要求:GB/T 22080-
2016/ISO/IEC 27001：2013[S].
信息技术 安全技术 信息安全管理体系审核和认证机构要
求:GB/T 25067-2020/ISO/IEC 27006：2015[S].
Security techniques- Extension to ISO/IEC 27001 and ISO/IEC
27002 for privacy information management — Requirements and
guidelines :ISO/IEC 27701:2019[S] .
Requirements for bodies providing audit and certification of
information security management systems — Part2: Privacy
information management systems: ISO/IEC TS 27006-2:2021[S].
Information technology-Security techniques-Information security
management systems-Overview and vocabulary :ISO/IEC
27000:2018[S].
作者简介
赵丽华，工程师，主要从事信息安全管理体系认证工作及研究。

闻洪春，工程师，主要从事质量和职业健康管理体系认证工作及
研究。

[1]
[2]
[3]
[4][5]
（上接第213页）。