ISO27701隐私信息管理体系

一、简介

2019年8月，ISO组织正式发布了ISO/IEC 27701，安全技术——扩展的ISO/IEC 27001和ISO/IEC 27002 隐私信息管理要求和指南。

该标准建立在ISO/IEC 27001要求的基础之上，在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说，就是保护个人信息的管理体系（以下简称PIMS）。

ISO/IEC 27701标准的正文由8个条款组成，其中：

条款1-4，给出了标准范围、术语、定义等

条款5给出了ISO 27001相关的PIMS要求

条款6给出了ISO 27002相关的PIMS指南

条款7给出了针对PII控制者的ISO 27002扩展指南

条款8给出了针对PII处理者的ISO 27002扩展指南

附录A，针对PII控制者的PIMS特定的控制目标和控制措施

附录B，针对PII处理者的PIMS特定的控制目标和控制措施

附录C，与ISO/IEC 29100的对应

附录D，与GDPR的对应

附录E，与ISO/IEC 27018和ISO/IEC 29151的对应

附录F，如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701

ISO 27701的前身为ISO/IEC 27552，由ISO/IEC技术委员会ISO/IEC JTC1/SC 27, Information security, cybersecurity and privacy protection第五工作组开发，该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。

几乎每个组织都处理个人身份信息(PII)，保护PII不仅是法律要求，也是社会需要。随着与隐私和数据保护相关的投诉和罚款数量的增加，对这一标准的需求现在是显而易见的。法国保护个人资料独立监察机构国家资讯及自由委员会的Matthieu Grall是SC 27的积极参与者，并对该标准的发展作出了贡献。他说，随着越来越严格的数据保护要求和法律，我们看到了对这一标准的强烈需求。此外，组织需要给他们的监管机构、合作伙伴、客户和雇员带来信任。这样的标准将有力地促进这种信任。

二、ISO27701认证的主要目标是什么

通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(1SMS)，简化复杂的重叠隐私法的管理，创建一个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性，并作为潜在的GDPR合规性的基础。

现在发布的ISO27701认证标准还实现了其他一些目的。一方面，它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

三、ISO27701认证的好处

ISO/IEC27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。

实施隐私信息管理，至少获得如下收益:

1)合规。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求，满足了ISO27701 标准也就意味着基本满足 GDPR 的要求，而GDPR 是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2)完善数据安全能力和风险管理。实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险，如：体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。

3)PIMS认证可以传递信任。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求Pll处理者提供相关证据(如PIA分析报告)。从而证明P1处理者的产品能符合话用的隐私管理体系要求。通过得到授权的第三方机构对P1外理者进行甚干国际标准的宙核，可以极大地降低合规沟通成本，这种合规透明度的提高对干组织战略和业务决策至关重要，同时PIMS认证中有助于向公众传达组织的可信度。