ISO/IEC27701通过对隐私保护的控制对ISO/IEC27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。

    与ISO27001标准类似，ISO/IEC 27701不期望组织机构在所有情况下采纳每一条控制。相反，该标准要求组织机构理解自身PII处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。

    适用于控制者和处理者的关键ISO/IEC 27701要求

    保密性：经授权访问PII的个人必须履行保密协议。

    分析风险：必须进行隐私风险评估以识别PII处理风险。

    监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。

    培训：可以访问PII的人员需经过隐私意识培训。内部过程：组织机构必须为应对PII泄露事件而采纳各种策略和规程，比如事件响应计划。

    记录保存：ISO27701要求组织机构保留所有PII处理活动的记录，包括PII在司法辖区间转移和向第三方披露等。

    ISO/IEC 27701合规首先要求ISO27001合规。二者互为补充。遵从ISO27701要求的组织机构会留下其PII处理方式的书面证据，可用于推动与商业合作伙伴就PII处理问题签订协议，明确该组织机构与其他利益相关者间的PII处理方式。尽管GDPR尚未确立官方认证方法，近期报告表明，ISO/IEC 27701或可在近期改变这一现状。

【ISO/IEC 27701认证咨询】【ISO/IEC 27701认证辅导】