通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS),简化复杂的重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。现在发布的ISO/IEC 27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO/IEC 27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001.而且要符合IS027701,或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO/IEC 27701认证,他们仍可能希望更新合同以确保供应商可以符合ISO/IEC 27701认证的要求。由于ISO/IEC 27701认证仍然非常对于新合同,卖方应遵守本新标准的规定合理的时间延迟,以便将其包括在这些合同中。
无论组织的规模大小,是PII的控制者还是处理者,企业都应考虑为自己的组织或向供应商要求获得ISO/IEC 27701认证。对于处理敏感或大量P1I的处理器,子处理器和联合控制器尤其如此。ISO/IEC 27701认证是企业实施隐私信息安全管理的不二之选。
