【隐私管理体系】ISO 27701隐私信息管理体系

ISO 27701产生的背景

ISO/IEC 27701:2019, short PIMS, is an add-on extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management.

ISO/IEC 27701:2019,即隐私信息管理体系（PIMS），是ISO/IEC 27001（信息安全管理体系，ISMS）和ISO/IEC 27002（信息安全控制实践指南 ）在隐私信息管理的一个扩展标准。

With the introduction of the EU’s GDPR and comparable privacy data protection laws, there is an increasing need to show compliance with privacy regulations around the world.

随着欧盟的GDPR和更多类似隐私数据保护法律法规的发布，全球范围内对隐私要求的合规需求正在增加。

Released in 2019, this is the first global standard for information security and privacy management, that is not associated with a specific single local law but developed to be applicable to all.

这是2019年发布的第一个信息安全和隐私管理的全球标准，该标准不与某一特定的当地法律相关，而是为适用于所有国家。

Almost every organization processes Personally Identifiable Information (PII). Further, the quantity and types of PII processed is increasing, as is the number of situations where an organization needs to cooperate with other organizations regarding the processing of PII. Protection of Privacy in the context of the processing of PII is a societal need, as well as the topic of dedicated legislation and/or regulation all over the world.

几乎每个组织都会处理个人可识别信息（PII）。另外，处理的 PII 数量和类型也在不断增多，组织需要与其他组织合作处理 PII 的情况也在增多。在 PII 处理的背景下保护隐私是一项社会需求，也是全球范围内专项的法律法规的主要议题。

建立隐私管理体系的目的和意义

PIMS will help clients reduce the risk to the privacy rights of individuals, to their organization and to data breaches. At the same time it will maximize their IT governance, customer trust, satisfaction and brand reputation.

PIMS可以帮助客户降低个人隐私、组织的隐私和数据泄露的风险。与此同时，PIMS可以帮助客户最大化IT治理过程，提升客户信任、满意度和品牌声誉。

ISO27701的基本原则和框架

隐私信息管理体系（PIMS）是信息安全管理体系（ISMS）的扩展，PIMS可以与ISMS一起进行结合认证，也适用于正在运行信息安全管理体系的组织。

ISO/IEC 27701  提供与ISO 27001相关的隐私管理要求
ISO/IEC 27701  提供对PII控制者和处理者的额外的 ISO 27002指导内容
ISO/IEC 27701  提供对 PII控制者与处理者的控制目标和控制措施
ISO/IEC 27701  提供与ISO29100、GDPR、ISO27018及ISO29151的对应关系
以及如何将ISO/IEC 27701应用到ISO27001和ISO27002

a)   ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b)   ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c)   ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。
d)   ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。
e)   ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。