2019年8月6日，國際標(biāo)準(zhǔn)化組織ISO和國際電工委員會IEC正式對外發(fā)布ISO/IEC 27701隱私信息管理體系標(biāo)準(zhǔn)。

　　這標(biāo)志著信息安全、隱私與個人信息保護，在國際間法律與法規(guī)的合規(guī)展現(xiàn)有了一致性的標(biāo)準(zhǔn)。

　　ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)，其目標(biāo)是通過新增的要求來增強現(xiàn)有信息安全管理體系（ISMS）,以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標(biāo)準(zhǔn)概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風(fēng)險。

　　PS: 歐盟GDPR主責(zé)機構(gòu)，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC 27701的發(fā)展過程中積極參與，并提供歐盟個人信息保護的相關(guān)建議，如ISO/IEC 27701與GDPR的條文對應(yīng)。包含SC27眾會員國與EDPB，JTC1/SC27在各方達成合意后，公告了ISO/IEC 27701，這也是為什么國際間認(rèn)為ISO/IEC 27701目前為GDPR合規(guī)展現(xiàn)的優(yōu)秀方案之一。

　　ISO/IEC 27701主要的內(nèi)容分為8個章節(jié)：

　　第一至第三章：

　　主要是適用范圍、參考標(biāo)準(zhǔn)和名詞定義的說明，ISO/IEC 27701適用于任何類型的組織，包括政府、事業(yè)單位、金融、教育機構(gòu)、企業(yè)及非營利組織。

　　第四章：

　　標(biāo)準(zhǔn)整體說明，包括PIMS的要求如何應(yīng)對ISO/IEC 27001的4~10章管理體系，以及PIMS增項的指引如何應(yīng)對ISO/IEC 27002的5~18章的控制措施。

　　第五章和第六章：

　　進一步引述在第四章提到的PIMS對應(yīng)ISO/IEC 27001管理體系要求和ISO/IEC 27002控制措施實施指引。

　　第七章和第八章：

　　分別從PII控制者和PII處理者的角度，說明包括搜集和處理個人信息的情況和條件、應(yīng)遵循的個人信息保護原則、設(shè)計以及預(yù)設(shè)的隱私規(guī)定，以及個人信息的分享、傳輸和揭露的增項要求。

　　在標(biāo)準(zhǔn)的附錄A~F中還補充了PII控制者和PII處理者可參考的控制目標(biāo)和控制措施，以及對應(yīng)到 ISO/IEC 29100、GDPR、ISO/IEC 27018、ISO/IEC 29151 的條款編號，并且加上如何應(yīng)用此標(biāo)準(zhǔn)的說明，對于想要整合多項標(biāo)準(zhǔn)和遵循GDPR的組織而言有著非常好的參考意義。