2019年8月6日，國(guó)際標(biāo)準(zhǔn)化組織ISO和國(guó)際電工委員會(huì)IEC正式對(duì)外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。

　　這標(biāo)志著信息安全、隱私與個(gè)人信息保護(hù)，在國(guó)際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

　　ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過(guò)新增的要求來(lái)增強(qiáng)現(xiàn)有信息安全管理體系（ISMS）,以便建立、實(shí)施、維護(hù)和不斷改進(jìn)隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對(duì)個(gè)人隱私的各種風(fēng)險(xiǎn)。

　　PS: 歐盟GDPR主責(zé)機(jī)構(gòu)，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC 27701的發(fā)展過(guò)程中積極參與，并提供歐盟個(gè)人信息保護(hù)的相關(guān)建議，如ISO/IEC 27701與GDPR的條文對(duì)應(yīng)。包含SC27眾會(huì)員國(guó)與EDPB，JTC1/SC27在各方達(dá)成合意后，公告了ISO/IEC 27701，這也是為什么國(guó)際間認(rèn)為ISO/IEC 27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。

　　ISO/IEC 27701主要的內(nèi)容分為8個(gè)章節(jié)：

　　第一至第三章：

　　主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說(shuō)明，ISO/IEC 27701適用于任何類型的組織，包括政府、事業(yè)單位、金融、教育機(jī)構(gòu)、企業(yè)及非營(yíng)利組織。

　　第四章：

　　標(biāo)準(zhǔn)整體說(shuō)明，包括PIMS的要求如何應(yīng)對(duì)ISO/IEC 27001的4~10章管理體系，以及PIMS增項(xiàng)的指引如何應(yīng)對(duì)ISO/IEC 27002的5~18章的控制措施。

　　第五章和第六章：

　　進(jìn)一步引述在第四章提到的PIMS對(duì)應(yīng)ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實(shí)施指引。

　　第七章和第八章：

　　分別從PII控制者和PII處理者的角度，說(shuō)明包括搜集和處理個(gè)人信息的情況和條件、應(yīng)遵循的個(gè)人信息保護(hù)原則、設(shè)計(jì)以及預(yù)設(shè)的隱私規(guī)定，以及個(gè)人信息的分享、傳輸和揭露的增項(xiàng)要求。

　　在標(biāo)準(zhǔn)的附錄A~F中還補(bǔ)充了PII控制者和PII處理者可參考的控制目標(biāo)和控制措施，以及對(duì)應(yīng)到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號(hào)，并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說(shuō)明，對(duì)于想要整合多項(xiàng)標(biāo)準(zhǔn)和遵循GDPR的組織而言有著非常好的參考意義。