对于要求供应商处理和维护PII的客户来说，合同规定应明确要求供应商不仅遵守ISO27001标准，还要符合ISO27701标准，或者在数据敏感性较高的情况下获得ISO27701标准的认证。这是因为ISO27701是专门针对个人信息管理的扩展要求，为ISO27001信息安全管理体系（ISMS）提供了额外的指导和要求，以确保个人信息的隐私得到妥善保护。

　即使客户没有明确要求供应商通过独立的第三方认证来符合新标准ISO27701，他们仍然可能希望更新合同以确保供应商能够遵循这些要求。在这种情况下，合同应明确规定供应商有义务遵守ISO27701标准的相关要求，并设定合理的时间延迟，以便供应商能够在合同中包括这些新标准。

　对于已通过ISO27001认证并希望实施ISO27701要求的组织，以下是一些建议的步骤：

　进行差距评估：对现有ISMS进行符合ISO27701要求的差距评估，识别并确定需要改进或增加的控制措施，以符合ISO27701的要求。并制定行动计划来解决这些差距。

　数据映射：对组织收集的PII进行数据映射，了解PII的收集范围、使用方式以及与处理器共享的情况。这有助于组织更好地了解其PII的管理情况，并制定相应的保护措施。

　确定角色：根据与组织环境相关的内部或外部因素（如适用的隐私法规、法规、司法决定或合同要求），确定组织作为控制者和/或处理者的角色。这有助于组织明确其在个人信息处理过程中的责任和义务。

　更新隐私策略：查看并更新隐私策略，以确保它们包含ISO27701标准所要求的所有信息。隐私策略应清晰、明确地阐述组织如何收集、使用、存储和保护个人信息。

　制定政策和程序：制定适用于组织角色的政策和程序，以确保所有员工都了解并遵循ISO27701标准的要求。这些政策和程序应涵盖个人信息的收集、使用、共享、存储和销毁等方面。

　实施隐私保护：通过设计和默认原则开始规划和实施隐私保护。这意味着在设计信息系统和流程时，应优先考虑隐私保护的要求，并确保默认情况下不泄露个人信息。

　总之，要求供应商遵循ISO27001和ISO27701标准对于保护个人信息至关重要。对于已通过ISO27001认证的组织来说，实施ISO27701要求需要一定的努力和时间，但通过遵循上述步骤，可以确保组织能够逐步符合这一新标准的要求。

【ISO27701认证咨询】【ISO27701认证辅导】