ISO/IEC27701隐私信息管理体系

ISO/IEC27701:2019的正式名称为安全技术--ISO/IEC27001 和 ISO/IEC27002 对隐私信息管理的扩展--要求和指南。其以ISO/IEC27001 和 ISO/IEC27002对隐私信息管理的扩展方式，为在组织范围内建立、实施、维护和持续改进隐私信息管理体系（PIMS）指定要求，并提供指南。

ISO/IEC27701隐私信息管理体系标准作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准，ISO/IEC27701隐私信息管理体系标准目标是通过新增的要求来增强现有信息安全管理体系（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。

新标准ISO/IEC27701隐私信息管理体系应势而生。助力企业为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关指南。

ISO/IEC27701隐私信息管理体系主要的内容分为8个章节：

第一至第三章：

主要是适用范围、参考标准和名词定义的说明，ISO/IEC27701隐私信息管理体系适用于任何类型的组织，包括政府、事业单位、金融、教育机构、企业及非营利组织。

第四章：

标准整体说明，包括PIMS的要求如何应对ISO/IEC27001的4~10章管理体系，以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。

第五章和第六章：

进一步引述在第四章提到的PIMS对应ISO/IEC27001管理体系要求和ISO/IEC27002控制措施实施指引。

第七章和第八章：

分别从PII控制者和PII处理者的角度，说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定，以及个人信息的分享、传输和揭露的增项要求。

在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施，以及对应到 ISO/IEC29100、GDPR、ISO/IEC27018、ISO/IEC29151 的条款编号，并且加上如何应用此标准的说明，对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义。

ISO/IEC27701隐私信息管理体系成为企业加强数据安全应用、个人隐私安全管理的指导方案，明确了方式方法；又成为人们辨识企业在个人信息安全保护中具备的能力与可信度的标准，使人们在日常工作生活中知道如何挑选可信度高的企业；成为多方互信保障，为社会诚信赋能。

ISO/IEC27701隐私信息管理体系认证益处

1.ISO/IEC27701隐私信息管理体系可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性；

2.ISO/IEC27701隐私信息管理体系有助于组织向组织的最高管理层、合作伙伴、监管机构及其他相关方提供组织有关隐私法规工作的尽职管理证据；

3.ISO/IEC27701隐私信息管理体系认证能向客户和合作伙伴传递信任。

ISO/IEC27701隐私信息管理体系标准作为隐私保护和个人信息管理的ISO国际标准。不仅带来新增的特定隐私要求，以便有效整合现行ISO/IEC27001信息安全管理体系，未来更是针对隐私保护之特定领域 (PIMS-Specific)，以 ISO/IEC27001延伸认证的方式实施，信息安全管理将与隐私信息管理进行密切整合。