什么是ISO/IEC 27001？

ISO/IEC 27001 明确了建立、实施、维护和持续改进信息安全管理体系（ISMS）所需的安全和安保要求。它还包括评估和处理信息

安全风险的要求，可根据您的需求量身定制。

为何ISO/IEC 27001如此重要？

ISO/IEC 27001认证证明了您组织数据和体系的完整性，以及对信息安全、网络安全和隐私保护的承诺。

实施ISMS表明您致力于保护您组织控制下的信息的完整性、可用性和保密性。

ISO/IEC 27001 2022版,包含了隐私保护部分，那是否可以代替ISO/IEC27701标准呢？ISO/IEC27701还需要认证吗？

虽然ISO/IEC27001 FDIS 2022包含了3个隐私控制：信息删除，数据脱敏和数据防泄漏，但是还不足以代替ISO/IEC27701在个人信息保护方面的作用。ISO/IEC27701:2019标准在个人信息处理方面，针对个人信息控制者增加了31个控制项，针对个人信息处理者增加了18个控制项，这些增加的控制项都是为了安全地处理个人信息，确保个人信息的处理合规以及满足个人主体的权利。因此，ISO/IEC27001不能替代ISO/IEC27701，如果您有隐私保护的相关需求，建议通过ISO/IEC27701的认证。

对于GDPR的自我声明中，一般会侧重ISO/IEC27001，而ISO/IEC27701是辅助性，这样的理解对吗？

众所周知，ISO/IEC27001是保护信息的保密性、完整性和可用性的。那么对于个人数据也是如此，使用ISO/IEC27001来保护个人数据不被泄露、不被破坏和可用是很好的。但是，个人数据保护不仅仅是防止个人数据被泄露和被破坏，还要关注个人数据处理的的原则问题和数据主体的权利等问题，例如个人数据处理的目的限制、Zui小化原则，数据主体的知情权、访问权等。为了满足个人数据处理原则和满足数据主体的权利等问题，ISO/IEC27001没有提供这方面的控制措施，而ISO/IEC27701提供了对应的控制措施。