ISO 27701基于ISO 27001的架构，增加了隐私管理的特定要求和控制措施，以确保组织在处理个人信息时遵循隐私原则和法规要求。它涵盖了隐私策略、隐私风险评估、个人信息的收集、存储、使用、共享和删除等全生命周期管理，以及对隐私事件的处理和监督机制等方面。

　ISO 27701隐私信息管理体系认证范围的要求规范

　组织范围：适用于任何类型和规模的组织，包括公共和私营公司、政府机构、非盈利组织等。只要组织有处理个人信息的活动，无论其行业、性质和规模如何，都可以申请ISO 27701认证。

　业务范围：涵盖组织内与个人信息处理相关的所有业务活动和流程，包括个人信息的收集、存储、使用、共享、传输、删除等全生命周期管理。例如，对于电商企业，涉及客户下单、支付、物流配送等环节中收集和处理的客户个人信息；对于医疗机构，包括患者挂号、诊疗、病历管理等过程中产生的患者个人健康信息。

　数据范围：涉及组织所处理的所有个人可识别信息（PII）。PII是指能够直接或间接识别个人身份的信息，如姓名、身份证号码、联系方式、地址、出生日期、生物识别信息等。无论是纸质记录、电子数据还是其他形式存储的个人信息，都在认证范围内。

　系统和技术范围：包括用于处理、存储和传输个人信息的信息系统、网络、数据库、应用程序等技术设施。例如，企业的客户关系管理系统、人力资源管理系统、网站服务器等，只要这些系统涉及个人信息的处理，就需要纳入认证范围。

　合作伙伴范围：如果组织将个人信息处理活动委托给第三方合作伙伴，如外包商、云服务提供商、数据处理商等，这些合作伙伴也应纳入认证范围。组织需要确保合作伙伴遵守ISO 27701标准的要求，对个人信息进行妥善保护。

【ISO 27701认证咨询】【ISO 27701认证辅导】