ISO/IEC 27701誕生背景

數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下，全球各個國家紛紛頒布相關法律法規，對數據安全與隱私保護相關問題進行嚴格的規范與引導。

如歐盟保護個人數據的《General Data Protection Regulation》 (GDPR);美國的 《California Consumer Privacy Act》(CCPA)等。

為了應對越來越多的個人數據泄露或濫用的情況，國際范圍迎來了隱私保護立法和建立標準熱潮。

1. GDPR

歐盟于2018年5月25日正式實施了《通用數據保護條例》 (《General Data Protection Regulation》,簡稱《GDPR》)，是一項保護歐盟公民個人隱私和數據的法律，其適用范圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。

2. CCPA

美國已有多個州先在數據安全與隱私保護進行了立法，其中最著名的要數2018年6月加州通過《加州消費者隱私法案》( 《California Consumer Privacy Act》, 簡稱《CCPA》)。該法案被稱為美國“最嚴厲和最全面的個人隱私保護法案”，將于2023年1月1日生效。

3. 網絡安全法

我國于2017年6月1日正式實施《中華人民共和國網絡安全法》(通常簡稱《網安法》)?！毒W安法》是我國首部全面規范網絡空間安全管理方面問題的基礎性法律，包含的內容十分豐富，一共包括7章79條，包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。值得關注的是，《網安法》在數據(包括個人信息)安全與保護上也有諸多規定，例如第四十至四十五條。

ISO標準委員會以ISO 27001為基準，以ISO 27552為藍本，建立了ISO 27701標準。

隱私信息管理體系ISO/IEC 27701標準解析

隨著社交媒體APP和物聯網設備在生活中的廣泛應用，以及全球隱私法律法規的激增，諸如：《歐盟通用數據保護條例》(GDPR)、《加州消費者隱私法》(CCPA)和《中國網絡安全法》(China network security Law)，隱私保護問題已然成為了當前社會的焦點，這意味著組織現在面臨著來自客戶、最終用戶、投資者和監管機構的多重壓力，企業如何管理個人可識別信息(PII)或個人數據，如何確保隱私合規，都成為擺在企業面前亟待解決的新問題和新挑戰。

隱私的概念經常被誤解或被錯誤地對待。許多企業認為，不將數據傳遞給第三方并確保其數據庫受密碼保護就足夠了。諸如“同意”、“托收目的”或“跨境轉移”等概念要么被忽視，要么不被理解。針對GDPR和CCPA的嚴厲罰款讓許多組織已經意識到了這些風險，并開始注重其隱私保護。

2023年8月發布的隱私安全標準ISO/IEC 27701:2019.能幫助企業拓展ISO /IEC 27001體系對保護隱私的局限性，更全面、準確、充分地應對隱私保護及合規要求。

今天我們先來看看ISO/IEC 27701:2019 標準的結構及其與 ISO/IEC 27001 和 ISO/IEC 27002之間的關系。

ISO/IEC 27701:2019的正式名稱為安全技術--ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展--要求和指南。其以ISO/IEC 27001 和 ISO/IEC 27002 對隱私信息管理的擴展方式，為在組織范圍內建立、實施、維護和持續改進隱私信息管理體系(PIMS)指定要求，并提供指南。

與ISO/IEC 27001 配合使用，是認證要求和實施指南的組合體。 它是對ISO/IEC 27001 的擴展，因其增加了附加的PIMS 相關要求，如條款5、附錄 A 和附錄 B。認證要求在標準中共有67項，表述為'應'。同時，為組織實施 PIMS，還增加了從ISO/IEC 27002 到 PIMS的附加指南，例如條款6、7和8.

ISO/IEC 27701:2019 標準的詳細結構

條款 條款標題 備注

1 范圍 標準的適用性

2 規范性引用文件 標準參考

3 術語、定義和縮寫

4 總則 標準結構的描述

5 與 ISO/IEC 27001 相關的PIMS特定要求 在ISO/IEC 27001 中要求的PIMS特定要求

6 與 ISO/IEC 27002 相關的PIMS特定指南 在ISO/IEC 27002中，PIMS對控制點的特定指南

7 對PII控制者附加的ISO/IEC 27002指南 對PII控制者的附加ISO/IEC 27002指南

8 對PII處理者附加的ISO/IEC 27002指南 對PII處理者附加的ISO/IEC 27002指南

附錄 A (規范性附錄)PIMS特定參考控制目標和控制(PII 控制者) 強制性控制，適用于數據控制者

附錄 B (規范性附錄)PIMS特定參考控制目標和控制(PII 處理者) 強制性控制，適用于數據處理者

附錄 C 與ISO/IEC 29100的對照關系 非認證的、信息性的附錄

附錄 D 與通用數據保護條例(GDPR)的對照關系

附錄 E 附錄 E(信息性)，與ISO/IEC 27018和ISO/IEC 29151 的對照關系

附錄 F 如何將ISO/IEC 27701 應用于ISO/IEC 27001 和 ISO/IEC 27002

主要條款詳情：

條款5 與 ISO/IEC 27001 相關的PIMS特定要求

涵蓋了對 ISO/IEC 27001:2013 條款4~10附加的要求，均為認證要求。例如，如本標準中條款5.7.2 的表述：

ISO/IEC 27001:2013.9.2 中所述要求以及5.1 中所述的解釋均適用。

該標準不增加任何新的內部審核要求，只要組織理解這是ISO/IEC 27001:2013 對處理個人可識別信息(PII)所可能增加風險的“信息安全”要求。

ISO/IEC 27701:2019對ISO/IEC 27001的以下條款增加了附加的要求：

4.1 理解組織及其環境

4.2 理解相關方的需求和期望

4.3 確定信息安全管理體系的范圍

6.1.2 信息安全風險評估

6.1.3 信息安全風險處置

條款6 與ISO/IEC 27002相關的PIMS特定指南

涵蓋了與ISO/IEC 27002有關的其他PIMS相關指南。例如，標準條款6.9.4.4(與 ISO/IEC 27001:2013 的12.4.4 時鐘同步相對應)不包含任何附加要求，因為時鐘同步與隱私風險沒有相關性

信息安全服務的優勢

認證2003年經國家認證認可監督管理委員會批準成立，中國合格評定國家認可委員會認可，是山東省具有獨立法人資格的老牌認證機構。成立18年來累計服務3.6萬家企事業單位，頒發證書超10萬張，山東省證書保有量第一。

中企檢測認證網提供iso體系認證機構查詢，檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構，儀器設備、耗材、配件、試劑、標準品供應商，法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊，包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息，中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規，咨詢輔導等知識。

本文內容整合網站：百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心

免責聲明：本文部分內容根據網絡信息整理，文章版權歸原作者所有。向原作者致敬！發布旨在積善利他，如涉及作品內容、版權和其它問題，請跟我們聯系刪除并致歉！

本文來源： http://www.rumin8raps.com/zs/202202/ccaa_33826.html