ISO/IEC 27701由负责“身份管理和隐私技术”的ISO/IEC工作组起草,并由BSI提名的项目编辑(Project Editor)领导开发。BSI是英国政府任命的国家标准机构,在ISO和IEC中代表英国的利益。
标准的正式发布,目的在于使组织能够获得针对ISO/IEC 27701的认证,以此作为ISO/IEC 27001管理体系的扩展。换言之,计划寻求通过ISO/IEC 27701认证的组织还将需要通过ISO/IEC 27001认证,彰显组织对信息安全和隐私管理的承诺。
通过PMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(SMS),简化复杂重叠隐私法的管理,创建一个以证据为基础的隐私计划,并通过公认的认证形式表明该计划的合规性,并作为潜在的GDPR合规性的基础。
ISO/IEC 27701提供与ISO27001相关的隐私管理要求
ISO/IEC 27701提供对PII控制者和处理者的额外的ISO 27002指导内容
ISO/IEC 27701提供对PII控制者与处理者的控制目标和控制措施
ISO/IEC 27701提供与ISO29100、GDPR、ISO27018及ISO29151的对应关系
以及如何将ISO/IEC 27701应用到ISO27001和ISO27002
a)ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b)ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c)ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准,有不同的侧重点,与ISO 27701互为补充。
d)ISO 27001帮助企业建立ISMS,通过有效的风险管理来保护和管理组织的所有信息,从数据安全方面满足GDPR的部分要求。
e)ISO 27701加入了隐私保护的额外要求,更全面地覆盖了GDPR的要求。
ISO 27701认证标准还实现了其他一些目的。一方面,它充当PIMS与ISMS或ISO 27001之间关系和连接的概述。它还详述了所需的功能,并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内,ISO 27701认证将信息隐私要求映射到相关的ISO标准和GDPR。
