ISO27701认证要求

ISO/IEC 27701:2019是国际标准化组织（ISO）和国际电工委员会（IEC）在ISO/IEC 27001和ISO/IEC 27002的基础上联合发布的首部针对隐私信息管理的国际标准，该标准于2019年8月发布，其对隐私信息管理体系的建立、运行、维护和完善做出了相关的细化要求，提供了国际通用的隐私管理合规实践，帮助企业构建多维度的信息安全和个人信息保护管理体系要求主要包括：

1.收集与处理
识别处理目的与处理的法律依据；明确获取同意的方式、时间，并留存相应记录；进行隐私影响评估。
2.广告营销
在未事先征得个人信息主体同意的前提下，不会将个人信息用于广告营销。
3.处理义务
确定并记录对个人信息主体所履行的法定义务和商业道德义务，并提供履行这些义务的方法；积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。
4.默认的隐私保护
确保流程和系统的设计能够使个人信息的收集和处理（包括使用、披露、存储、传输和删除）仅限于最小必要范围，并留存相关记录。
5.共享转移
识别是否存在共享、转移、披露、跨境传输个人信息的情形，并记录具体行为。
6.合同约定
签署的书面合同应约定个人信息保护的相关措施，例如操作权限控制、个人信息泄露报告等。
7.员工培训
可访问个人信息的员工应签署保密协议，并参与隐私保护与数据安全培训。
8.整体规划
识别相关方的需求及期待，并明确管理体系的范围；确定内部的人员责任及相应的目标与规划；明确具体的运行计划和控制措施，评估并处置风险；内部定期评审并持续完善管理体系。

ISO27701认证的好处

该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益:

1)合规。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，ISO27701标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求，而GDPR是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求。

2)完善数据安**力和风险管理。实现持续的完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险，如:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)、技术路径(如完整性校验)等。

3)PIMS认证可以传递信任。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据(如PIA分析报告)，从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

如何实施ISO27001认证：

要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001.而且要符合IS027701，或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证，他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求。由于ISO27701认证仍然非常对于新合同，卖方应遵守本新标准的规定合理的时间延迟，以便将其包括在这些合同中。

已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:

1)对现有ISMS进行符合ISO27701认证要求的差距评估，并就如何解决这些差距制定行动计划。

2)对组织收集的PII进行数据映射，以了解收集的II的范围以及如何使用和与处理器共享。

3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规，法规，司法决定或合同要求)确定组织作为控制者和/或处理者的角色。

4)查看并更新隐私策略，以确保它们包含必需的信息。

5)制定适用于组织角色的政策和程序。

6)通过设计和默认原则开始规划和实施隐私。

在世界各地，立法者和监管者都在引入新的法律来规范数据的使用，尤其是PII。最近，GDPR的出现使许多企业(包括客户和供应商)争相达成合规性。不断变化的法律环境给所有企业带来了挑战，尤其是必须遵守多个司法管辖区法规的企业。新的ISO27701认证标准不会尝试单独和本地处理每项新法律，而是提供一种统一的方式来决定，计划，实施和记录组织在全球范围内的数据隐私方法。