浏览 ISO 27001 控制 A.5.31 - A.5.34 中的法律、知识产权和 PII 要求

A.5.31 法律、法定、监管和合同要求

本控制措施的目的是识别适用于贵公司业务的法律和合同要求。您需要明确识别、记录并不断更新所有相关的立法、法定、监管和合同要求。

实现这一目标的好方法是建立法律法规登记簿。然后可以对登记册进行审查和适当更新，以确保其保持最新。

在法律法规更新时，注册接收政府部门的通知也是一种很好的方式，可以让你及时了解最新变化，并保持在最前列。同样，在 SaaS 服务的今天，合同是作为供应商 EULA 协议来执行的，在收到变更通知时对其进行审查并更新登记册，可确保您随时掌握这些要求。

A.5.32 知识产权

本控制旨在确保您不会侵犯任何知识产权，并确保您对企业知识产权的控制。您需要实施适当的程序，确保遵守与知识产权和使用专有软件产品有关的立法、监管和合同要求。

确保企业知识产权受到保护，最常见的办法是在雇员和联系人合同以及保密协议中加入有关知识产权所有权的条款。

A.5.33 记录保护

这一控制措施的目的是确保记录和文件受到保护。根据立法、监管、合同和业务要求，记录需要得到保护，以免丢失、毁坏、篡改、未经授权的访问和未经授权的发布。

这通常是在文件管理系统中实现的，并根据控制 A.5.12中的信息分类和控制 A.5.15中的访问控制来实施，以确保记录得到适当存储，且只有相关人员才能访问。

A.5.34 个人身份信息（PII）的隐私和保护

本条款旨在确保个人身份信息的隐私和保护。在适用的情况下，应按照相关法律法规的要求保护您的隐私和个人身份信息。

这大致可通过以下步骤实现：

• 确定贵机构系统中存储个人识别信息的任何位置，在控制 A.5.9 中的信息登记册中确定这些位置。
• 作为控制 A.5.31 的一部分，确定处理 PII 的任何相关法律、法规和要求。
• 确保根据已确定的要求处理已确定的数据。良好做法是确保采用最严格的要求，从而确保在新的或现有的要求发生变化时，你能超越任何不那么严格的要求。

启示

要点如下

1. 对影响业务的法律法规要求以及合同要求进行登记。
2. 订阅以了解这些要求的变化，并定期审查登记簿。
3. 确保合同中包含知识产权条款
4. 将您的记录保存在文档库中，并加以保护
5. 了解您在企业内部保存任何 PII 记录的位置，以便对其进行分类和保护。