一、背景

        当下数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势的情况下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。随着2017年《中华人民共和国网络安全法》及2018年欧盟《通用数据保护条例》GDPR（General Data Protection Regulation）的相继发布，于2019年由ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本发布了全球首个以隐私信息管理为要求的隐私信息管理体系《安全技术 ISO/IEC 27001和ISO/IEC 27001的隐私信息管理扩展—要求和指南》。

       2021年欧盟在GDPR中采信由监管机构认可或国家认可机构认可的第三方认证机构颁发的认证证书，2021年我国《个人信息保护法》生效。为规范组织内部个人隐私信息安全管理，满足各国相关隐私保护法律法规的要求，ISO/IEC 27701的认证需求越来越明显。

二、建立隐私管理体系（PIMS）的目的和意义

       PIMS可以帮助客户降低个人隐私、组织的隐私和数据泄露的风险。与此同时，PIMS可以帮助客户最大化IT治理过程，提升客户信任、满意度和品牌声誉。

三、  ISO27701的基本原则和框架

        隐私信息管理体系（PIMS）是信息安全管理体系（ISMS）的扩展，PIMS可以与ISMS一起进行结合认证，也适用于正在运行信息安全管理体系的组织。

            ——ISO/IEC 27701 提供与ISO 27001相关的隐私管理要求

            ——ISO/IEC 27701 提供对PII控制者和处理者的额外的 ISO 27002指导内容

            ——ISO/IEC 27701 提供对 PII控制者与处理者的控制目标和控制措施

            ——ISO/IEC 27701 提供与ISO29100、GDPR、ISO27018及ISO29151的对应关系

        以及如何将ISO/IEC 27701应用到ISO27001和ISO27002

                a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。

                b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。

                c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。

                d) ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。

                e) ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。

四、益处

       ISO/IEC27701是在隐私保护方面对ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的进一步拓展，通过提供隐私保护指引，明确角色和责任，对于降低组织隐私合规难度，便于组织提供合规证明，增强社会各方信任具有重要意义。无论是PII（Personally identifiable information，个人可识别信息）的控制者还是处理者，在隐私保护和数据泄露方面都面临着来自法律、经济、商业、声誉等方面巨大的压力，越来越多的组织要求他的上下游组织需要获得ISO/IEC 27701认证才能参与其发布的项目及合作机会。对获得认证的组织其具体收益如下:

    1.满足合规要求

       通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险。

    2.完善数据安全能力和风险管理。

       提高组织管理数据安全和隐私风险的能力，通过流程分析，在流程的输入、输出、控制各个环节中，识别、分析、验证隐私保护需求，减少甚至消除隐私泄露的风险。

    3.增强对个人信息管理的信任

      业务伙伴通常会要求PII处理者提供相关证据，来证明其产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，有助于向公众传达组织的可信度。