1.什么是ISO/IEC27701标准

ISO27701认证最初开发为ISO/IEC 27552，它为建立，实施，维护和持续改进隐私信息安全管理体系（PIMS）提供了特定要求和指导，作为对ISO27001中定义的灵活信息安全管理体系（ISMS）的扩展。除了信息安全之外，还应考虑到处理PII所需的隐私保护。 像ISO27001认证标准一样，ISO27701认证并不希望组织在所有情况下都采用每种控件。 相反，它要求组织了解处理PII的特定上下文，并以适合其处理活动的方式调整特定的控件集以及这些控件的相关实现。

为了更好地理解新标准ISO27701认证，应该理解两个关键术语：控制器和处理器。 这些术语可在包括GDPR在内的许多隐私法律和法规中找到。 通常，“控制者”是指示首先收集和处理PII的原因的实体，“处理者”是负责代表该个人处理此类数据的独立法律实体（即，不是雇员）。

简而言之，ISO27701认证是ISO27001认证的增强扩展。该标准可以提供通用数据保护法规（GDPR）要求的数据隐私和信息安全标准。 为了有效地管理隐私，它包含用于个人身份信息（PII）处理器和控制器的结构。 实施ISO27701将创建一个隐私信息安全管理体系，简称PIMS。

使用ISO27701认证作为数据安全性标准，可以向客户和利益相关者展示您的公司支持GDPR合规性和隐私法规。 此外，它还可以确保您拥有他们可以信任的有效系统。 通过使用控件降低个人和公司的潜在信息安全和隐私风险，您可以创建一个更值得信赖的品牌。

新发布的ISO27701认证标准既适用于PII的控制器（以及联合控制器），也适用于PII的处理器（包括子处理器），而不管其运营所在的管辖区和部门如何，并且还包括对GDPR和ISO/IEC的映射29100，ISO/IEC 27018和ISO/IEC 29151安全框架。 应预料到将ISO27701要求映射到其他隐私法律，例如2018年《加利福尼亚消费者隐私法案》（CCPA），GLBA和HIPAA，并将通过提供证明遵守这些监管制度的通用标准来帮助组织。

2.ISO/IEC27701认证目的

由于ISO27701是一种PIMS，因此其目的主要与数据隐私和安全性有关。 它专门包含隐私控制和实践的框架和要求。ISO27701是ISO27001的扩展，因此对于希望实施PIMS的公司而言，后者是必需的。

ISO27701认证的主要目标是：

通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系（ISMS），简化复杂的重叠隐私法的管理，创建一个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性，并作为潜在的GDPR合规性的基础。

现在发布的ISO27701认证标准还实现了其他一些目的。 一方面，它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。 在更大范围内，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

3. ISO27701有什么好处？

尽管符合ISO 27701的PIMS对于具有数据保护义务的任何组织都可能是有价值的，但对于在国际上运营，与其他司法管辖区的客户合作或在国际供应链中运营的组织而言，它可能特别有意义。这些组织通常需要遵守各种隐私法规和法律，而ISO 27701的方法可以使这一挑战更容易解决。

该框架可以帮助组织适当地解决其信息安全和隐私风险，并可以减少花在客户要求的和合同要求的审核上的时间。

用ISO 27701扩展符合ISO 27001的ISMS可以提供证据，表明该组织已采取措施实施“适当的技术和组织措施”，以降低风险并保护个人数据，这是全球范围内越来越多的隐私法所要求的。

通过将PIMS实施为现有的符合ISO 27001的ISMS的扩展，组织可以系统地收集和处理数据（包括个人数据），管理与信息的机密性，完整性和可用性有关的风险，并应对不断发展的变化对该数据及其隐私的威胁和风险。

隐私信息管理系统还允许组织通过不断适应环境和组织内部的变化来降低与隐私和信息安全相关的成本，从而显着提高其抵御网络攻击的能力。