2019年8月6日，國際標(biāo)準(zhǔn)化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。這標(biāo)志著信息安全、隱私與個人信息保護，在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過新增的要求來增強現(xiàn)有信息安全管理體系（ISMS）,以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風(fēng)險。

ISO/IEC 27701標(biāo)準(zhǔn)介紹
01關(guān)鍵術(shù)語解釋
PII：個人可識別身份信息，指 a) 任何可以識別PII主體的信息或 b) 直接或間接與PII主體相關(guān)的信息

PIMS：Privacy Information Management System，隱私信息管理體系

02ISO 27701結(jié)構(gòu)組成
ISO 27701是ISO 27001和ISO 27002在隱私方面的擴展，并為隱私保護提供了除ISO 27001和ISO 27002之外的額外的指導(dǎo)。全文共分為8個章節(jié)及6個附錄，主要的要求和指導(dǎo)內(nèi)容集中在第5-8章。

其中第5章介紹了ISO 27001中延伸出的關(guān)于PIMS的擴展要求以及本標(biāo)準(zhǔn)對PIMS的附加要求，第6章則介紹了ISO 27002中對PIMS的擴展及附加要求，這兩章的內(nèi)容對PII控制者和處理者均適用，結(jié)構(gòu)和控制域與原標(biāo)準(zhǔn)一致，包含ISO 27002共14個控制域、114個控制項。

第7章為專門針對PII控制者的額外指導(dǎo)內(nèi)容，共31個控制項，第8章則為針對PII處理者的額外指導(dǎo)內(nèi)容，共18個控制項，這兩章均從PII的收集和處理，對PII主體的義務(wù)，Privacy by design & Privacy by default，PII的共享、傳輸和披露四個方面作出相應(yīng)規(guī)定。

總體而言，本標(biāo)準(zhǔn)通過第5章和第6章將ISO 27002與附加的PIMS控制項通過ISO 27001中PDCA的方式導(dǎo)入體系，形成完整的信息安全和隱私管理體系。此外，第7章和第8章從數(shù)據(jù)生命周期的角度新增分別針對PII控制者和處理者的控制要求。

ISO 27701擴展了ISO 27001的要求，在原有管理、實施、操作、監(jiān)控、審查和不斷改進ISMS的流程基礎(chǔ)上，著重考慮了對于企業(yè)所持有PII的隱私保護。同時ISO 27701對ISO 27002實施指南中的隱私性進行了解釋和擴展，除業(yè)務(wù)連續(xù)性以外的所有控制域均增加了關(guān)于PII隱私的實施指南。ISO 27701分別從PII控制者和PII處理者的角度，補充說明了收集和處理PII的條件、對PII主體的隱私保護義務(wù)、Privacy by design and privacy by default以及PII共享、轉(zhuǎn)移和披露的相關(guān)要求。

伴隨著數(shù)字時代的到來，數(shù)字化信息處理日趨普遍。對于PII處理而言，人們在享受數(shù)字化所帶來的諸多便利同時，也面臨著由PII數(shù)字化所帶來的風(fēng)險。PIMS作為一個國際通用的隱私信息管理工具，能夠有效的協(xié)助企業(yè)對對隱私風(fēng)險進行識別、分析、采取措施將風(fēng)險降到可接受水平并維持該水平，并建立隱私保護體系，從管理與技術(shù)等多方面出發(fā)，從而使企業(yè)滿足國內(nèi)外的監(jiān)管合規(guī)要求。同時，隱私信息管理體系的建設(shè)，一定程度上也是企業(yè)隱私保護能力的一種體現(xiàn)，能夠增強企業(yè)與消費者、合作伙伴甚至是監(jiān)管部門的相互信任。