ISO/IEC27701

2019年8月，ISO组织正式发布了ISO/IEC27701隐私信息管理体系标准，这标志着信息安全、隐私与个人信息保护，在国际间法律与法规的合规展现有了一致性的标准。

ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准，不仅带来新增的特定隐私要求，增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准，ISO/IEC27701未来更是针对隐私保护的特定领域 (PIMS-Specific)，实现信息安全管理与隐私信息管理的密切整合。

ISO/IEC27701目标受众包括1.寻求有关PIMS的一般信息的组织，2.根据ISO/IEC27701:2019要求,计划实施或获得PIMS认证的组织。

ISO/IEC27701标准广泛适用于各种行业，为各方解决当务之急，特别是对于在线商城、移动终端软件应用企业、社交媒体、网络平台、航空公司、酒店集团、大型餐饮企业、文旅机构等尤为重要。

ISO/IEC27701成为企业加强数据安全应用、个人隐私安全管理的指导方案，明确了方式方法；又成为人们辨识企业在个人信息安全保护中具备的能力与可信度的标准，使人们在日常工作生活中知道如何挑选可信度高的企业；成为多方互信保障，为社会诚信赋能。

ISO/IEC27701主要的内容分为8个章节：

第一至第三章：

主要是适用范围、参考标准和名词定义的说明，ISO/IEC27701适用于任何类型的组织，包括政府、事业单位、金融、教育机构、企业及非营利组织。

第四章：

标准整体说明，包括PIMS的要求如何应对ISO/IEC27001的4~10章管理体系，以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。

第五章和第六章：

进一步引述在第四章提到的PIMS对应ISO/IEC27001管理体系要求和ISO/IEC27002控制措施实施指引。

第七章和第八章：

分别从PII控制者和PII处理者的角度，说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定，以及个人信息的分享、传输和揭露的增项要求。

在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施，以及对应到 ISO/IEC29100、GDPR、ISO/IEC27018、ISO/IEC29151 的条款编号，并且加上如何应用此标准的说明，对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义。