业务挑战

随着信息技术的不断发展，人们对信息安全的关注日益提升，全球多个国家和地区相继出台了一系列隐私保护的法律法规，例如欧盟的GDPR，中国的网络安全法，以及香港的个人隐私条例等，当前几乎所有的组织都有处理个人信息 (PII) 的情况。

面对愈加严格的监管趋势和众多且复杂的法律法规, 企业如何有效的管理和保护用户个人信息及隐私？

个人隐私安全管理体系国际标准。

ISO/IEC27001作为国际上公认的信息安全管理体系标准，在隐私保护方面提供了部分所需的信息安全控制措施，但如何从PII控制者和PII处理者二者不同的角度来实现和满足不同国家和地区的隐私保护法律法规的要求，并没有提供足够的操作指引。

因此，新标准ISO/IEC27701隐私信息管理体系应势而生。助力企业为GDPR合规展现、保护用户隐私和个人信息合规管理提供了更多相关指南。

服务概述

2019年8月6日，国际标准化组织ISO和国际电工委员会IEC正式对外发布ISO/IEC27701隐私信息管理体系标准。这标志着信息安全、隐私与个人信息保护，在国际间法律与法规的合规展现有了一致性的标准。

ISO/IEC27701作为ISO/IEC27001与ISO/IEC27002在管理上的延伸标准，其目标是通过新增的要求来增强现有信息安全管理体（ISMS）,以便建立、实施、维护和不断改进隐私信息管理体系（PIMS），标准概述了适用于个人身份信息（PII）控制者和PII处理者的框架，用于隐私控制管理，以降低对个人隐私的各种风险。

（PS: 欧盟GDPR主责机构，前身为Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC27701的发展过程中积极参与，并提供欧盟个人信息保护的相关建议，如ISO/IEC27701与GDPR的条文对应。包含SC27众会员国与EDPB，JTC1/SC27在各方达成合意后，公告了ISO/IEC27701，这也是为什么国际间认为ISO/IEC27701目前为GDPR合规展现的优秀方案之一。）

ISO27701认证的主要目标是什么？

通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系（ISMS），简化复杂的重叠隐私法的管理，创建一个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性，并作为潜在的GDPR合规性的基础。

现在发布的ISO27701认证标准还实现了其他一些目的。一方面，它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。