ISO27701：2019-信息安全隐私保护管理体系（PIMS）

--是可以帮助组织在不断变化的监管环境中证明个人数据保护和隐私符合不同法律，认证可以是一个有用的工具，为组织增加对隐私和相关义务承诺的可信度。

---通过ISO / IEC 27701认证，可以证明数据存储与处理的有效性，并用来评估整个供应链中组织之间交换个人信息的风险。

--通过提供必要的证据，证明组织依照法律处理其客户的个人信息，包括跨境数据流的情况，可以帮助证明组织遵守GDPR等数据隐私法。

--证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任，同时通过在组织之间提供保证来创造商业机会。

ISO/IEC 27701标准的发布，填补了目前隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。隐私保护的重要性被不断强调，ISO/IEC 27701标准也随之出台

威胁重重，数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

如欧盟保护个人数据的《General Data Protection Regulation》 (GDPR)；美国的 《California Consumer Privacy Act》(CCPA)等。

为了应对越来越多的个人数据泄露或滥用的情况，国际范围迎来了隐私保护立法和建立标准热潮。

三、ISO/IEC 27701标准重点解读

ISO 27701嵌套在ISO 27000系列中，并要求符合ISO 27001标准。ISO 27701扩展了ISO 27001的要求，在原有管理、实施、操作、监控、审查和不断改进ISMS的流程基础上，着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展，除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。ISO 27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务、Privacy by design and privacy by default以及PII共享、转移和披露的相关要求。

ISO 27701在对ISO 27001/27002的扩展要求中，除将“信息安全”替换为“信息安全和隐私”外，同时扩展了相关控制域中的控制项。

ISO 27701 5.4规划中指出，组织应在PIMS范围内应用信息安全风险评估流程来识别有可能会造成机密性、完整性和可用性丧失的相关风险；组织应在PIMS范围内应用隐私风险评估流程来识别与PII处理相关的风险；组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。组织可以根据自身PIMS情况，对信息安全和隐私保护进行统一流程的综合评估，也可以根据实际需要采用独立的流程进行分别评估。

ISO 27002 6.3信息安全组织中指出，组织应指定一个联系人处理客户的相关PII事务；当组织是PII控制者时，需为PII主体指定PII联系人负责相关流程；同时组织应指定一名或多名负责制定、实施、维护和监督组织范围内治理以及隐私计划的人员，以确保处理PII相关事务时的合规性。负责人应酌情考虑a) 独立并直接向组织的适当管理层报告，以确保有效管理隐私风险；b) 参与管理与处理PII有关的所有问题；c) 成为数据保护立法，监管和实践方面的专家；d) 充当监管机构的联络点；e) 告知顶级管理层和组织员工在处理PII方面的义务；f) 就组织进行的隐私影响评估提供建议。要求组织需要根据自身角色配置响应的PII管理专职人员。

ISO 27701中第7章和第8章分别对PII控制者和处理者的评估增加了额外指导，包括收集和处理PII的条件等控制域。增加该章节可以明确标准对于PII控制者和处理者收集和处理PII的条件的限定范围，目的是使组织可以根据适用的司法管辖区的法律依据，以明确定义的、合法目的，确定并记录PII处理是合法的，且具有法律依据。标准明确需要通过识别和记录PII处理目的、确定合法依据、确定何时以及如何获得许可、获取并记录许可、隐私影响评估、与PII处理者签署合同、明确联合PII控制者、维护与处理PII有关的记录8个方面对PII控制者进行管理和评估，通过客户协议、组织目的、营销和广告使用、侵权指令、客户义务、与处理PII有关的记录6个方面对PII处理者进行管理和评估。该额外指导内容要求组织在明确自身身份的基础上，开展对收集与处理PII的条件相关的管理建设。

ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充，使企业建立PIMS，实现有效的隐私管理，从而使企业获益。

声明：以上部分内容来自ATLAS Academy

四、ISO/IEC 27701认证收益

ISO/IEC 27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益：

1）合规。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。满足了 ISO27701 标准也就意味着基本满足 GDPR 的要求，而 GDPR 是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2）完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险，如：体现为采用隐私控制技术（如日志脱敏、数据库加密）、产品架构（如加密芯片）、技术路径（如完整性校验）等。

3）PIMS认证可以传递信任。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据（如PIA分析报告），从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

中标管理学院助力信息安全/汽车数据交换安全（TISAX)/隐私保护/业务连续/IATF6949管理标准的落地方案解决，专国际管理标准在工厂落地的研究、培训和项目建设。传道信息安全、云安全、敏感信息保护、数据治理，传承工业化精益管理包括质量、环境、职业 健康安全、能源和碳排放方案落地；致力实验室认可/测量体系，ESD等领域落地。经过多年的发展，中标管理学院从最初单一的认证培训课程提供者，逐渐发展成为一个多元化的培训与提供全面解决方案的专业服务机构。如需进一步了解详细信息。

敬请登录其下网址： www.csi-edu.cn