ISO/IEC 27701标准设计的目的在于借助更多的要求增强现有ISMS,以建立、实施、维护和持续改进隐私信息管理体系(PIMS)。标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,以有效管理隐私控制,降低个人隐私权面临的风险。自活用干所有一型和规模的组织,包括公共和私营公司、政府实体以及非盈利组织。
ISO/IEC 27701由负责“身份管理和隐私技术”的 ISO/IEC工作组起草,并由BSI提名的项目编辑 (Project Editor) 领导开发。BSI是英国政府任命的国家标准机构,在 ISO 和 IEC 中代表英国的利益。
标准的正式发布,目的在于使组织能够获得针对 ISO/IEC 27701 的认证,以此作为 ISO/IEC 27001 管理体系的扩展。换言之,计划寻求通过 ISO/IEC 27701 认证的组织还将需要通过 ISO/IEC 27001 认证,彰显组织对信息安全和隐私管理的承诺。
ISO / IEC 27701作为独立、-致的认证机制,可以证明数据存储与处理的有效性,并用来评估整个供应链中组织之间交换个人信息的风险。通过提供必要的证据,证明组织依照法律处理其客户的个人信息,包括跨境数据流的情况,可以帮助证明组织遵守GDPR等数据隐私法。证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任,同时通过在组织之间提供保证来创造商业机会。
如今越来越多企业开始关注ISO27701,是因为隐私问题层出不穷,国家政策、监管方向更加重视隐私保护,企业为了满足合规要求,顺利开展业务,正当合理使用、存储用户个人数据,减少隐私信息外泄的事件发生,开始正规的、系统的开展隐私管理工作,ISO27701逐步进入越来越多企业的视野。
