【认证内容介绍】

ISO27701是什么？

       ISO27701源自ISO/IEC27552，为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南，令PIMS作为ISO27001中定义的灵活信息安全管理系统(ISMS)的扩展，在信息安全的基础上将处理PII所需的隐私保护纳入考虑。与ISO27001标准类似，ISO27701不期望组织机构在所有情况下采纳每一条控制。相反，ISO27701标准要求组织机构理解自身PII处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。
       为更好地理解ISO27701标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括GDPR。通常，"控制者"是指示为什么要收集和处理PII的实体，"处理者"是代表该控制者负责处理此数据的另一个法律实体（非员工）。
       新发布的ISO27701标准适用于PII控制者（及联合控制者）和处理者（包括下级处理者），无论其运营的行业和司法辖区，也包括到GDPR和SO/IEC29100、ISO/IEC27018及ISO/IEC29151安全框架的映射。预计ISO27701要求还将映射到其他隐私法律，如《2018加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA)和《健康保险流通与责任法案》(HIPAA)等，通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

  ISO27701的好处

       ISO27701合规首先要求ISO27001合规。二者互为补充。遵从ISO27701要求的组织机构会留下其PII处理方式的书面证据，可用于推动与商业合作伙伴就PII处理问题签订协议，明确该组织机构与其他利益相关者间的PII处理方式。尽管GDPR尚未确立官方认证方法，近期报告表明，ISO27701或可在近期改变这一现状。

更新时间：2023/4/3 14:33:48