《信息安全、网络安全和隐私保护- 隐私信息管理体系 - 要求》专业解读与实践应用指南之3：“6策划”（雷泽佳编写-2024）.pdfVIP

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》

专业解读与实践应用指南之3：6策划

《信息安全、网络安全和隐私保护－隐私信息管理体系-要求》

专业解读与实践应用指南之3:6策划

（雷泽佳编制，2024A0）

ISO/IEC27701.2-2024

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》

6策划

6.1应对风险和机遇的措施

6.1.1总则

当策划隐私信息管理体系时，组织应考虑4.1中提及的因素和4.2中提及的要求，并确定需要应对的风

险和机遇，以：

a)确保隐私信息管理体系能够实现其预期结果；

b)预防或减少不良影响；

c)实现持续改进。

组织应策划：

d)应对这些风险和机遇的措施；

e)如何：

1）将这些措施整合到隐私信息管理体系过程中，并予以实现；

2）评价这些措施的有效性。

6策划

6.1应对风险和机遇的措施

6.1.1总则

(1)当隐私信息管理体系策划时，应考虑4.1中提及的组织外部和内部因素；

(a)考虑内部因素：

——适用的隐私法律和法规：

雷泽佳编制，2024年12月1

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》

专业解读与实践应用指南之3：6策划

组织必须熟悉并遵守所有与隐私信息处理相关的法律和法规，如《中华人民共和国个人信息保护

法》和《中华人民共和国数据安全法》等。这些法律和法规为隐私信息管理提供了法律框架和合规要求。

——在策划PIMS时，组织应评估这些法律和法规对其隐私信息处理活动的影响，识别潜在的合规风险，

并制定相应的风险应对策略。

——适用的司法判决：

司法判决为隐私信息保护提供了实际案例和法律依据。组织应关注相关司法判决，了解司法机构

对隐私信息处理的态度和裁决标准。

通过分析司法判决，组织可以识别类似业务场景中可能存在的法律风险，并在PIMS中采取相应的

预防措施。

——适用的行政决定：

行政决定可能直接影响组织的隐私信息处理活动。组织应密切关注相关行政部门的决定和通知，

确保PIMS的合规性。

针对行政决定中可能带来的风险或机遇，组织应在PIMS中制定相应的应对措施。

——适用的合同要求：

组织在与客户、合作伙伴等第三方签订合同时，往往包含隐私信息保护的条款和要求。组织应仔

细审查这些合同条款，确保PIMS能够满足合同要求。

在策划阶段，组织应将合同要求纳入PIMS的考虑范围，避免潜在的违约风险。

(b)考虑内部因素。

——组织价值观和文化；

组织的价值观和文化决定了其对隐私信息保护的态度和重视程度。一个重视隐私保护的组织更可

能建立有效的PIMS，从而降低隐私泄露等风险；

在策划PIMS时，组织应确保其价值观和文化与隐私保护要求相一致，以激发员工的积极性和责任

感，共同应对隐私保护挑战。

——组织知识和能力；

组织对隐私信息管理的知识和能力直接影响其识别和应对风险的能力。一个具备丰富隐私管理知

识和能力的组织更能够准确地识别潜在风险，并采取有效的应对措施；

雷泽佳编制，2024年12月2

《信息安全、网络安全和隐私保护-隐私信息管理体系-要求》

专业解读与实践应用指南之3：6策划

在策划PIMS时，组织应评估其现有知识和能力水平，确定需要提升的领域，并制定相应的培训计

划和能力建设措施。

——组织绩效；

组织的绩效指标可以反映其在隐私信息保护方面的表现。通过监测和分析绩效指标，组织可以及

时发现潜在风险，并采取相应的纠正措施；

在策划PIMS时，组织应将隐私信息保护纳入其绩效管理体系，设定明确的绩效指