隐私信息安全管理体系认证是什么？

01ISO/IEC 27701的诞生

ISO/IEC 27701由负责“身份管理和隐私技术的 ISO/IEC工作组起草，并由BSI提名的项目编辑 (Project Editor) 领导开发。BSI是英国政府任命的国家标准机构，在 ISO 和 IEC 中代表英国的利益。

标准的正式发布，目的在于使组织能够获得针对 ISO/IEC 27701 的认证，以此作为 ISO/IEC 27001 管理体系的扩展。换言之，计划寻求通过 ISO/IEC 27701 认证的组织还将必须通过 ISO/IEC 27001 认证，彰显组织对信息安全和隐私管理的承诺。

02ISO/IEC 27001与27701

ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隐私扩展，是由其衍生的。由于许多组织已经建立了基于ISO/IEC 27001的信息安全管理体系(ISMS) ，并以ISO/IEC 27002为指导，为保护隐私奠定了基础。ISO/IEC 27701通过附加要求来增强现有的信息安全管理体系，以便建立、实施、维护和持续改进隐私信息管理系统(PIMS)。

03ISO/IEC 27701的适用性

它适用于所有类型和规模的组织，包含公有和私营公司、政府实体和非营利组织，在信息安全管理体系(ISMS)中实施PII。

该标准设计的目的在于借助更多的要求增强现有 ISMS，以建立、实施、维护和持续改进隐私信息管理体系 (PIMS)。标准概述了适用于个人身份信息 (PII) 控制者和 PII 处理者的框架， 以有效管理隐私控制，降低个人隐私权面临的风险。

04ISO/IEC 27701的优势

1、在利益相关方之间提供透明度

2、有助于增强信任

3、提供更具协作性的方法

4、更有效的业务协议

5、更清晰的角色和职责

6、通过与 ISO/IEC 27001 相结合减少复杂性

05ISO/IEC 27701认证的目的

通过PMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(SMS)，简化复杂重叠隐私法的管理，创建1个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性，并作为潜在的GDPR合规性的基础。

现在发布的ISO 27701认证标准还实现了其他一些目的。一方面，它充当PIMS与ISMS或ISO 27001之间关系和连接的概述。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内，ISO 27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

06ISO/IEC 27701认证的好处

符合ISO 27701认证首先要求符合ISO 27001的要求。他们旨在相互补充。遵循ISO 27701认证要求的组织将创建有关其怎样处理PII的书面证据，可用于促进与PII的处理相关的业务伙伴的协议，并阐明组织与其他利益相关者的PII的处理。尽管GDPR尚无认可的认证方法，但根据最近的报道，ISO 27701认证可能会在不久的将来改变这一现状。