ISO27701是什么？企业为什么要申请ISO27701？

ISO/IEC27701标准的发布，填补了目前隐私信息管理体系的空白，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

一、隐私保护的重要性被不断强调，ISO/IEC27701标准也随之出台

威胁重重，数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

如欧盟保护个人数据的《GeneralDataProtectionRegulation》(GDPR)；美国的《CaliforniaConsumerPrivacyAct》(CCPA)等。

为了应对越来越多的个人数据泄露或滥用的情况，国际范围迎来了隐私保护立法和建立标准热潮。

1.GDPR

欧盟于2018年5月25日正式实施了《通用数据保护条例》(《GeneralDataProtectionRegulation》,简称《GDPR》)，是一项保护欧盟公民个人隐私和数据的法律，其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

2.CCPA

美国已有多个州先在数据安全与隐私保护进行了立法，其中最著名的要数2018年6月加州通过《加州消费者隐私法案》（《CaliforniaConsumerPrivacyAct》,简称《CCPA》）。该法案被称为美国“最严厉和最全面的个人隐私保护法案”，将于2020年1月1日生效。

3.网络安全法

我国于2017年6月1日正式实施《中华人民共和国网络安全法》（通常简称《网安法》）。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律，包含的内容十分丰富，一共包括7章79条，包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是，《网安法》在数据（包括个人信息）安全与保护上也有诸多规定，例如第四十至四十五条。

ISO标准委员会以ISO27001为基准，以ISO27552为蓝本，建立了ISO27701标准。

二、ISO/IEC27701标准介绍

1.关键术语解释

PII：个人可识别身份信息，指a)任何可以识别PII主体的信息或b)直接或间接与PII主体相关的信息

PIMS：PrivacyInformationManagementSystem，隐私信息管理体系

Customer：

PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者

PII处理者的customer：与PII处理者有合约关系的PII控制者

与PII处理的分包商有合约关系的PII处理者

2.ISO27701结构组成

ISO27701是ISO27001和ISO27002在隐私信息管理方面的扩展，并在隐私保护方面提供了必要的额外要求。ISO/IEC27701标准的正文由8个条款组成，其中：

条款1-4，给出了标准的范围，术语、定义等。

条款5介绍了ISO27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。

条款6介绍了ISO27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。

条款7给出了针对PII控制者的ISO27002扩展指南。

条款8给出了针对PII处理者的ISO27002扩展指南。这两章从PII的收集和处理，对PII主体的义务，Privacybydesign&Privacybydefault，PII的共享、传输和披露四个方面做出了相应规定。

附录A是针对PII控制者的PIMS特定的控制目标和控制措施。

附录B是针对PII处理者的PIMS特定的控制目标和控制措施。

附录C给出了标准与ISO/IEC29100的映射。

附录D是与GDPR的映射。

附录E是与ISO/IEC27018和ISO/IEC29151的映射。

附录F则是如何在处理PII时将ISO/IEC27001和ISO/IEC27002扩展到隐私保护。

总体而言，标准通过第5章和第6章将ISO27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。