ISO 27001 控制措施中的法律、智慧財產權和個人識別資訊要求指南 A.5.31 - A.5.34

A.5.31 法律、法規、規章和合約要求

此項控制的目的是識別適用於您業務的法律法規和合約要求。您需要明確識別、記錄並及時更新所有相關的法律、法規、監管和合約要求。

實現這一目標的一個好方法是建立法律法規登記冊。然後可以根據需要對該登記冊進行審查和更新，以確保其始終保持最新狀態。

註冊接收政府部門發布的法規更新通知是隨時了解法規變更並掌控最新動態的有效方法。同樣，在如今的SaaS服務領域，合約通常以供應商最終用戶許可協議（EULA）的形式執行，因此，在收到變更通知後及時審查這些協議並更新註冊信息，可以確保您始終符合相關要求。

A.5.32 智慧財產權

此項控制旨在確保您不會侵犯任何智慧財產權，並確保您始終掌控貴公司的智慧財產權。您需要實施適當的程序，以確保遵守與智慧財產權和專有軟體產品使用相關的法律、法規和合約要求。

確保您的企業智慧財產權受到保護的最常見方法是在員工和承包商合約以及保密協議中加入有關智慧財產權所有權的條款。

A.5.33 記錄保護

此項控制的目的是確保記錄和文件受到保護。根據立法、監管、合約和業務要求，記錄需要防止遺失、銷毀、篡改、未經授權的存取和洩漏。

這通常是在文件管理系統中實現的，並根據資訊的分類來實施。控制 A.5.12與門禁系統結合使用控制 A.5.15確保記錄得到妥善保存，並且只有相關人員才能存取。

A.5.34 隱私和個人識別資訊（PII）的保護

本條款旨在確保個人識別資訊的隱私和安全。您的隱私和個人識別資訊將根據適用的相關法律法規得到保護。

這大致可以透過以下步驟實現：

• 識別系統中儲存個人識別資訊 (PII) 的任何位置，並在資訊註冊表中識別這些位置。控制 A.5.9 。
• 確定處理 PII 的任何相關法律、法規和要求，作為控制 A.5.31 的一部分。
• 確保根據已確定的需求處理已識別的資料。最佳實踐是確保應用最嚴格的要求，這樣即使出現新的或現有需求的變化，也能保證滿足所有較低要求。

重點總結

需要記住的關鍵點是：

1. 記錄影響您業務的法律法規要求以及合約要求。
2. 訂閱即可了解這些要求的變更，並定期查看註冊表。
3. 確保合約中包含知識產權條款。
4. 請將您的記錄妥善保存在您的文件庫中。
5. 了解公司內部個人識別資訊 (PII) 記錄的儲存位置，以便對其進行分類和保護。

• 查看本系列的前一篇：從預防到復原：控制措施 A.5.24 至 A.5.30 中的業務連續性與事件管理指南