【認證內容介紹】

ISO27701是什么？

       ISO27701源自ISO/IEC27552，為建立、實現、維護和持續改進隱私信息管理系統(PIMS)提供具體要求和指南，令PIMS作為ISO27001中定義的靈活信息安全管理系統(ISMS)的擴展，在信息安全的基礎上將處理PII所需的隱私保護納入考慮。與ISO27001標準類似，ISO27701不期望組織機構在所有情況下采納每一條控制。相反，ISO27701標準要求組織機構理解自身PII處理的具體上下文，以適合其處理活動的方式調整特定控制集和與之相關的實現。
       為更好地理解ISO27701標準，需要弄清兩個關鍵術語：控制者和處理者。這兩個術語在很多隱私法律和規定中都能見到，包括GDPR。通常，"控制者"是指示為什么要收集和處理PII的實體，"處理者"是代表該控制者負責處理此數據的另一個法律實體（非員工）。
       新發布的ISO27701標準適用于PII控制者（及聯合控制者）和處理者（包括下級處理者），無論其運營的行業和司法轄區，也包括到GDPR和SO/IEC29100、ISO/IEC27018及ISO/IEC29151安全框架的映射。預計ISO27701要求還將映射到其他隱私法律，如《2018加州消費者隱私法案》(CCPA)、《金融服務現代化法案》(GLBA)和《健康保險流通與責任法案》(HIPAA)等，通過提供通用的合規標準幫助組織機構更好地符合這些監管要求。

  ISO27701的好處

       ISO27701合規首先要求ISO27001合規。二者互為補充。遵從ISO27701要求的組織機構會留下其PII處理方式的書面證據，可用于推動與商業合作伙伴就PII處理問題簽訂協議，明確該組織機構與其他利益相關者間的PII處理方式。盡管GDPR尚未確立官方認證方法，近期報告表明，ISO27701或可在近期改變這一現狀。

更新時間：2023/4/3 14:33:48