ISO27701隐私管理体系认证的应用和实施

 ISO27701的前身为ISO/IEC27552，由ISO/IEC技术会ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection五工作组开发，该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的*组成。该标准建立在ISO/IEC27001要求的基础之上，在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说，就是保护个人信息的管理体系（简称PIMS），从而促进公司等组织对个人信息（PII）的保护。
      作为一个刚诞生不久的新标准，ISO27701对组织的必要性：
1) 通过明确对PII控制者和处理者的隐私保护要求，可以使组织明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。
2) 实现持续的个人隐私安全合规对于任何组织都是一个安全治理的课题，ISO27701通过建立PIMS，可以确保组织高级管理层、组织所有者以及关键相关方的利益满足隐私保护要求，从而使组织实现长期、有效的个人隐私安全合规。

3) PIMS认证可以向客户或合作伙伴传达隐私合规。PII控制者通常会要求PII处理者提供相关证据，从而证明PII处理者的隐私管理体系符合适用的隐私管理要求。通过得到授权的三方机构对PII处理者进行基于标准的审核，可以较大地降低合规沟通成本，这种合规透明度的提高对于组织业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

ISO27701的应用与实施
ISO27701沿用并优化了以往的ISO29151、ISO27018等标准的条款，又不完全覆盖任何一部已有的标准，ISO/IEC27018、ISO/IEC29151作为隐私管理方面指南性标准，各有侧重，在某些条款上，与ISO/IEC27701标准的指南部分形成了互补。针对提供公有云业务的互联网企业仍可以继续参照ISO/IEC27018进行体系实施，而另一些期望获得多实施指南的企业则可以继续参照ISO/IEC29151进行体系实施。
ISO27701是一部兼顾不同国家地区法规要求的标准，能使用一个体系来管理来自多个**管辖区的多项隐私法规和政策的合规性，例如欧盟的通用数据保护法规（GDPR)等。
ISO27701的应用范围十分广泛，适用于需要对个人身份信息进行管理的任何组织，如银行、保险公司、电信公司、航空公司、 数据中心、代理商、非组织、医院和学校等。
未来将对大数据隐私的来源、保护等话题会加敏感，ISO27701将会助越来越多的企业与组织走出隐私保护困境，开启隐私安全合规的新时代！

http://sqs888.cn.b2b168.com