全面解析ISO27701隐私信息管理体系

什么是ISO/IEC27701？

ISO/IEC 27701:2019,即隐私信息管理体系（PIMS），是ISO/IEC 27001（信息安全管理体系，ISMS）和ISO/IEC 27002（信息安全控制实践指南 ）在隐私信息管理的一个扩展标准。全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。

它是ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立发布的隐私信息管理体系标准，为保护个人隐私提供指导。ISO/IEC 27701标准的发布，填补了隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

ISO27701标准的架构如何？

ISO/IEC 27701标准第1章到至第4章，给出了标准的范围、引用文件、术语和定义以及总则。

标准管理要求分布在第5章至第8章，其中第5章为ISO/IEC 27001的要求关于PII相关的扩展，第6章为ISO/IEC 27002的要求关于PII相关的扩展，第7章为针对PII控制者角色的管理要求，第8章为针对PII处理者角色的管理要求。

附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。

ISO/IEC27701是在隐私保护方面对ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的进一步拓展，通过提供隐私保护指引，明确角色和责任，对于降低企业隐私合规难度，便于企业提供合规证明，增强社会各方信任具有重要意义，具体收益如下:

1.满足合规要求

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，支持遵循隐私法规；

2.完善数据安全能力和风险管理

提高组织管理数据安全和隐私风险的能力，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险；

3.增强对个人信息管理的信任

业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，有助于向公众传达组织的可信度；

4、在利益相关方之间提供透明度；

5、促进达成有效的业务协议；

6、明确角色和责任；

7、通过与领先的信息安全标准ISO/IEC 27001整合，降低复杂性。

ISO/IEC27701适用于哪些企业？

标准设计的目的在于借助更多的要求增强现有 ISMS，以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个人隐私权面临的风险。它适用于所有类型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。

术语解释：

PII控制者：确定处理PII的目的和手段隐私利益相关者，但不包括出于个人目的使用数据的自然人。

PII处理者：代表并按照 PII 控制者的说明处理PII的隐私利益相关者。

组织申请ISO27701有什么前提？

正式外审认证前，组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系，且体系运行时间需不少于三个月。（未强制要求企业已经通过ISO27001认证）

企业获得ISO27701证书后如何维持证书有效性？

ISO/IEC 27701证书的有效期为三年，维持ISO/IEC 27701证书的的有效性需接受每年一次的监督审核，每次监督审核之间的时间间隔不超过12个月，自获证后的第三年为再认证审核，换发新的认证证书。

ISO27701和ISO27001的关系

ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隐私扩展，是由其衍生的。由于许多组织已经建立了基于ISO/IEC 27001的信息安全管理体系(ISMS) ，并以ISO/IEC 27002为指导，为保护隐私奠定了基础。

ISO/IEC 27701通过附加要求来增强现有的信息安全管理体系，以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。

ISO/IEC 27701的框架基于ISO/IEC 27001，同样遵循了ISO的管理体系标准高层结构HLS，故与其它ISO标准有良好的兼容性，便于组织实施整合的管理体系。同时，作为ISO标准中尾数为01的要求类标准，其有助于构建持续改进的管理框架。

｜声明｜

本文所用视频、图片、文字部分来源于互联网，版权属原作者所有。本文章仅做分享使用，别无他意。另文章仅代表作者观点，不代表本网站立场，如涉及到版权问题，请及时和我们联系删除，感恩，感谢。

公司简介

北京中科嘉艺知识产权有限公司是经北京市工商行政管理局批准成立的管理咨询公司、国家商标局备案批准的正规知识产权代理公司。

专业从事：

一、常规认证咨询服务：ISO9001认证、ISO22000认证、ISO14001认证、ISO45001认证、GB/T50430认证、IATF16949认证，ISO50001认证，ISO100102认证，HSE认证，ISO13485认证，HACCP认证、GAP认证，售后服务认证，企业诚信认证，知识产权认证，FSC认证，绿色工厂评价，两化融合认证

二、知识产权服务：商标服务、版权服务、高新认定、双软认证、“专精特新”企业认定服务。

三、IT行业专用认证咨询服务：ISO20000认证、ISO27001认证、ISO27017认证、ISO27018认证、ISO27701认证、ISO22301认证、GB/T35273认证、ISO29100认证、ISO29151认证、ISO38505认证、DCMM认证、DSMM认证、ITSS认证、CMMI认证、CS评估、SPCA双模认证

四、信息安全服务资质：CCRC认证、国测认证

五、军工认证：GJB9001认证、装备承制、武器装备科研生产单位保密资格审查

六、产品认证：CCC认证、CQC认证、环保产品认证、十环认证、有机产品认证、节能产品认证、节水产品认证、CE认证、绿色建材认证、LA劳安认证、UL认证

七、AAA信用等级证书

八、工程资质：安防工程资质、电力工程资质、消防设施工程资质、电子与智能化资质。

官网：http://www.zkjyzscq.com

联系电话：李总13801085760