ISO27701个人隐私信息安全管理体系认证,ISO27701认证的价值

ISO27701个人隐私信息安全管理体系认证

ISO27701是ISO27001和ISO27002的隐私扩展，为保护隐私提供了附加指南。

ISO27701标准于2019年8月6日发布，标准草案于2018年12月12日至2019年2月25日共享以征询公众意见。ISO与Microsoft Corporation和法国数据保护局合作于2019年8月6日发布了该标准（ “ CNIL），以协助组织管理隐私信息并满足法规要求，例如通用数据保护法规（法规（EU）2016/679）（“ GDPR）。

特别是，ISO27701标准规定了建立，实施，维护和持续改进用于保护个人数据的隐私专用ISO27701信息安全管理体系的要求。 ISO27701还规定了隐私信息安全管理体系（PIMS）的要求。 ISO27701标准旨在作为ISO27001的认证扩展。

换句话说，计划通过ISO27701认证的组织将必须ISO27001认证作为先驱。

ISO27701旨在:

用PIMS和专用于隐私的附录来补充ISMS；

认识到不同隐私法之间的重叠并降低复杂性；

建立基于证据的隐私计划，并通过认可的第三方认证证明其合规性；

作为潜在的GDPR认证机制的基础。

已发布的ISO27701标准:

概述了PIMS和ISMS之间的关系（即ISO27701与ISO27001的关系）；

列出对数据控制器和处理器的PIMS要求；

列出适用于控制器和处理器的隐私相关附录；

将与隐私相关的附录映射到GDPR和其他相关ISO标准（29100、27018和29151）。

ISO27701认证的价值

符合ISO 27701首先要求符合ISO 27001的要求。它们旨在相互补充。 遵循ISO 27701要求的组织将创建有关怎样处理PII的书面证据，可用于促进与PII的处理相关的业务伙伴的协议，并阐明组织与其他利益相关者的PII的处理。 尽管GDPR尚无认可的认证方法，但根据最近的报告，ISO 27701可能会在不久的将来改变这一现状。

已通过ISO 27001认证并希望实施ISO 27701要求的组织应考虑采取以下步骤：

对现有ISMS进行符合ISO 27701要求的差距评估，并就怎样解决这些差距制定行动计划。

对组织收集的PII进行数据映射，以了解收集的PII的范围以及怎样使用和与处理器共享。

根据与组织环境相关的内部或外部因素（例如适用的隐私法规，法规，司法决定或合同要求）明确组织作为控制者和/或处理者的角色。

查看并更新隐私策略，以确保它们包含必需的信息。

制定适用于组织角色的政策和程序。

通过设计和默认原则开始规划和实施隐私。