ISO27701是ISO27000系列中的一个重要标准，它扩展了ISO27001和ISO27002的要求，专注于隐私信息的保护。该标准的发布旨在填补隐私信息管理体系的空白，将隐私保护的原则、理念和方法融入到信息安全保护体系中，帮助组织更好地管理隐私风险，确保合规性，并增强利益相关者的信任。

　ISO27701标准适用于所有类型和规模的组织，包括公共和私营公司、政府实体以及非盈利组织。它详细规定了个人可识别信息（PII）控制者和PII处理者的隐私保护要求，为企业在隐私保护和信息安全方面提供了指导建议。

　ISO27701标准主要内容与要求

　隐私管理体系的建立与维护：

　组织必须建立并维护一个隐私管理体系，以有效识别、评估、监控和应对隐私风险。

　隐私风险评估与应对：

　组织需定期对其隐私风险进行评估，识别潜在威胁和漏洞，并采取措施降低风险。

　隐私政策与通知：

　组织必须制定清晰、透明的隐私政策和通知，明确告知客户、员工及合作伙伴其隐私实践。

　数据主体权利保障：

　ISO27701强调尊重数据主体的权利，包括访问权、更正权、删除权（被遗忘权）和反对处理权等。

　数据处理与委托处理：

　组织在处理个人数据时，必须确保遵守适用的隐私法规和标准。对于委托第三方处理个人数据的情况，组织应确保委托处理方同样符合隐私法规和标准。

　隐私保护控制：

　ISO27701分别从PII控制者和PII处理者的角度，补充说明了收集和处理PII的条件、对PII主体的隐私保护义务。

　信息安全与隐私保护的统一流程：

　原有的以业务和资产为主线的信息安全风险评价中增加隐私生命周期处理风险。组织应在整个风险评估过程中确保信息安全与PII保护之间的关系得到适当管理。

【ISO27701认证咨询】【ISO27701认证辅导】