什么是 ISO/IEC 27701?

ISO/IEC 27701认证是隐私信息管理体系（PIMS）不可或缺的组成部分。该标准是ISO/IEC 27001（信息安全管理）和ISO/IEC 27002（安全控制）的延伸。

在其他两项标准的基础上，ISO/IEC 27701明确规定了建立、实施、维护和持续改进针对组织的 PIMS 的要求和指导。

适用对象是谁？

它概述了与 PIMS 相关的要求和指导，适用于负责 PII 处理的个人身份信息 (PII) 控制者和处理者。ISO/IEC 27701适用于所有在信息安全管理体系 (ISMS) 内处理相关信息的 PII 控制者和/或处理者组织。

通过ISO/IEC 27701的好处是什么？

• 提高个人信息管理的可信度，以获得潜在业务 

• 有效的业务协议

• 明确的角色和责任 

• 遵守隐私法规，获得所在地的市场准入 

• 通过与 ISO/IEC 27001 整合降低复杂性

重点关注内容包括什么？

•  范围

您需要了解您的管理体系要求和预期应用

•  规范性引用文件 

您必须熟悉本标准中提到的这些文件，包括 

- ISO/IEC 27000 和 ISO/IEC 27001（信息安全管理） 

- ISO/IEC 27002（信息安全控制操作规范） 

- ISO/IEC 29100（隐私框架）

•  术语和定义

本节提供了 ISO/IEC 27000 和 ISO/IEC 29100 中未包含但在本标准中使用的更多定义。

•  总则

您必须了解与 ISO/IEC 27001 和 ISO/IEC 27002 有关的标准结构描述和 PIMS 特定要求。

•  PIMS 专用条款

对于您的 PIMS，您需要了解 与 ISO/IEC 27001 相关的特定要求和 ISO/IEC 27002 指南。

•  PII 控制者和处理者 

第7章和第8章为 PII 控制者和处理者提供了额外指导。

这个新标准有什么条款？

ISO/IEC27701主要的内容分为8个章节：

第一至第三章：
主要是适用范围、参考标准和名词定义的说明，ISO/IEC27701适用于任何类型的组织，包括政府、事业单位、金融、教育机构、企业及非营利组织。

第四章：
标准整体说明，包括PIMS的要求如何应对ISO/IEC27001的4~10章管理体系，以及PIMS增项的指引如何应对ISO/IEC27002的5~18章的控制措施。

第五章和第六章：
进一步引述在第四章提到的PIMS对应ISO/IEC27001管理体系要求和ISO/IEC27002控制措施实施指引。

第七章和第八章：
分别从PII控制者和PII处理者的角度，说明包括搜集和处理个人信息的情况和条件、应遵循的个人信息保护原则、设计以及预设的隐私规定，以及个人信息的分享、传输和揭露的增项要求。

在标准的附录A~F中还补充了PII控制者和PII处理者可参考的控制目标和控制措施，以及对应到 ISO/IEC29100、GDPR、ISO/IEC27018、ISO/IEC29151 的条款编号，并且加上如何应用此标准的说明，对于想要整合多项标准和遵循GDPR的组织而言有着非常好的参考意义。

实施考虑因素有哪些？

• 确保高层的支持和承诺

• 通过内部沟通让整个组织和供应链参与进来

• 将现有体系与新要求进行比较

• 获取员工、客户和供应商对当前体系的反馈意见

• 建立一个实施团队

• 定义角色（包括数据处理者和控制者）、职责和时间表，从基本原则入手 

• 利用培训和激励措施鼓励员工参与

• 通过鼓励数据处理供应链中的其他企业使用 ISO/IEC 27701 来建立一致性

• 分享有关标准的知识，并考虑对内部审核员进行培训定期审查体系，确保持续改进

SGS能提供什么服务？

SGS 提供的 ISO/IEC 27701 审核与认证服务为组织流程优化和绩效改进提供支持，助力您在日益复杂的市场竞争中脱颖而出。此外，我们还提供一系列补充服务，涵盖：

• 信息安全

• 云计算

• 数据隐私

• 业务连续性 

服务流程是怎样的？

步骤1 – SGS根据组织的规模及业务类型提供定制化的建议，在您签署建议书后，审核即可开始。
步骤2 – SGS提供可选择的针对准备情况与薄弱环节的“预审”服务。
步骤3 – 正式审核。第一阶段——准备情况评估：对组织建立的文件化体系及其他重要体系进行评估，提出不符合项。
步骤4 – 第二阶段：包括与工作人员面谈、文件记录的检查以及对工作实践的现场考察，提出审核发现。审核合格后会签发证书。
步骤5 – 根据合同，每半年或一年对体系和整改计划的实施进行监督审核。
步骤6 – 证书签发满3年期后，实施再认证审核。