ISO/IEC 27701诞生背ISO IEC27701隐私信息安全管理体系认证招投标资质厦门泉州漳州龙岩宁德三明莆田福州福建汕头潮州梅州均可受理数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

ISO IEC27701隐私信息安全管理体系认证招投标资质厦门泉州漳州龙岩宁德三明莆田福州福建汕头潮州梅州均可受理，从业看15年。如欧盟保护个人数据的《GeneralData Protection Regulation》 (GDPR)；美国的 《California Consumer PrivacyAct》(CCPA)等。
为了应对越来越多的个人数据泄露或滥用的情况，国际范围迎来了隐私保护立法和建立标准热潮。

1. GDPR
欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data ProtectionRegulation》,简称《GDPR》)，是一项保护欧盟公民个人隐私和数据的法律，其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
2. CCPA
美国已有多个州先在数据安全与隐私保护进行了立法，其中Zui的要数2018年6月加州通过《加州消费者隐私法案》（ 《CaliforniaConsumer Privacy Act》,简称《CCPA》）。该法案被称为美国“Zui严厉和Zui全面的个人隐私保护法案”，将于2020年1月1日生效。
3. 网络安全法
我国于2017年6月1日正式实施《中华人民共和国网络安全法》（通常简称《网安法》）。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律，包含的内容十分丰富，一共包括7章79条，包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是，《网安法》在数据（包括个人信息）安全与保护上也有诸多规定，例如第四十至四十五条。
ISO标准委员会以ISO 27001为基准，以ISO 27552为蓝本，建立了ISO 27701标准。

隐私信息管理体系ISO/IEC 27701标准解析

随着社交媒体APP和物联网设备在生活中的广泛应用，以及全球隐私法律法规的激增，诸如：《欧盟通用数据保护条例》（GDPR）、《加州消费者隐私法》（CCPA）和《中国网络安全法》（Chinanetwork securityLaw），隐私保护问题已然成为了当前社会的焦点，这意味着组织现在面临着来自客户、Zui终用户、投资者和监管机构的多重压力，企业如何管理个人可识别信息（PII）或个人数据，如何确保隐私合规，都成为摆在企业面前亟待解决的新问题和新挑战。
隐私的概念经常被误解或被错误地对待。许多企业认为，不将数据传递给第三方并确保其数据库受密码保护就足够了。诸如“同意”、“托收目的”或“跨境转移”等概念要么被忽视，要么不被理解。针对GDPR和CCPA的严厉罚款让许多组织已经意识到了这些风险，并开始注重其隐私保护。

2019年8月发布的隐私安全标准ISO/IEC 27701:2019，能帮助企业拓展ISO /IEC27001体系对保护隐私的局限性，更全面、准确、充分地应对隐私保护及合规要求。
今天我们先来看看ISO/IEC 27701:2019 标准的结构及其与 ISO/IEC 27001 和 ISO/IEC27002之间的关系。
ISO/IEC 27701:2019的正式名称为安全技术--ISO/IEC 27001 和 ISO/IEC 27002对隐私信息管理的扩展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002对隐私信息管理的扩展方式，为在组织范围内建立、实施、维护和持续改进隐私信息管理体系（PIMS）指定要求，并提供指南。

与ISO/IEC 27001 配合使用，是认证要求和实施指南的组合体。 它是对ISO/IEC 27001的扩展，因其增加了附加的PIMS 相关要求，如条款5、附录 A 和附录 B。认证要求在标准中共有67项，表述为'应'。为组织实施PIMS，还增加了从ISO/IEC 27002 到 PIMS的附加指南，例如条款6、7和8。

ISO/IEC 27701:2019 标准的详细结构

条款 条款标题 备注
1 范围 标准的适用性
2 规范性引用文件 标准参考
3 术语、定义和缩写
4 总则 标准结构的描述
5 与 ISO/IEC 27001 相关的PIMS特定要求 在ISO/IEC27001 中要求的PIMS特定要求
6 与 ISO/IEC 27002 相关的PIMS特定指南 在ISO/IEC27002中，PIMS对控制点的特定指南
7 对PII控制者附加的ISO/IEC 27002指南 对PII控制者的附加ISO/IEC 27002指南
8 对PII处理者附加的ISO/IEC 27002指南 对PII处理者附加的ISO/IEC 27002指南

附录 A （规范性附录）PIMS特定参考控制目标和控制（PII 控制者）强制性控制，适用于数据控制者
附录 B （规范性附录）PIMS特定参考控制目标和控制（PII 处理者）强制性控制，适用于数据处理者
附录 C 与ISO/IEC 29100的对照关系 非认证的、信息性的附录
附录 D 与通用数据保护条例（GDPR）的对照关系
附录 E 附录 E（信息性），与ISO/IEC 27018和ISO/IEC29151 的对照关系
附录 F 如何将ISO/IEC 27701 应用于ISO/IEC27001 和 ISO/IEC 27002
主要条款详情：
条款5 与 ISO/IEC 27001 相关的PIMS特定要求
涵盖了对 ISO/IEC 27001:2013 条款4~10附加的要求，均为认证要求。例如，如本标准中条款5.7.2的表述：
ISO/IEC 27001:2013，9.2 中所述要求以及5.1 中所述的解释均适用。

该标准不增加任何新的内部审核要求，只要组织理解这是ISO/IEC 27001:2013对处理个人可识别信息(PII)所可能增加风险的“信息安全”要求。

ISO/IEC 27701:2019对ISO/IEC 27001的以下条款增加了附加的要求：
4.1 理解组织及其环境
4.2 理解相关方的需求和期望
4.3 确定信息安全管理体系的范围
6.1.2 信息安全风险评估
6.1.3 信息安全风险处置
条款6 与ISO/IEC 27002相关的PIMS特定指南
涵盖了与ISO/IEC 27002有关的其他PIMS相关指南。例如，标准条款6.9.4.4（与 ISO/IEC 27001:2013的12.4.4 时钟同步相对应）不包含任何附加要求，因为时钟同步与隐私风险没有相关性