ISO 27701扩展了ISO 27001的要求,在原有信息安全的流程基础上,着重考虑了对于企业所持有PII的隐私保护。同时ISO 27701对ISO 27002实施指南中的隐私性进行了解释和扩展,除业务连续性以外的所有控制域均增加了关于PII隐私的实施指南。
ISO/IEC 27701标准第1章到至第4章,给出了标准的范围、引用文件、术语和定义以及总则。
标准管理要求分布在第5章至第8章,其中第5章为ISO/IEC 27001的要求关于PII相关的扩展,第6章为ISO/IEC 27002的要求关于PII相关的扩展,第7章为针对PII控制者角色的管理要求,第8章为针对PII处理者角色的管理要求。
附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。
企业获得ISO27701证书后如何维持证书有效性
维持ISO/IEC 27701证书的的有效性需接受每年一次的监督审核,每次监督审核之间的时间间隔不超过12个月,自获证后的第三年为再认证审核,换发新的认证证书。
隐私信息管理体系提供了一套一致的隐私实践(即控制),可以根据任何隐私法进行映射。实施ISO27701可以提高组织管理数据安全和隐私风险的能力,同时减轻组织合规负担、降低组织合规风险,帮助企业提供尽职证明,传达可信度,获得更多业务机会。
