ISO/IEC27701:2019是国际标准化组织（ISO）和国际电工委员会（IEC）在ISO/IEC27001和ISO/IEC27002的基础上联合发布的首部针对隐私信息管理的国际标准，该标准于2019年8月发布，其对隐私信息管理体系的建立、运行、维护和完善做出了相关的细化要求，提供了国际通用的隐私管理合规实践，帮助企业构建多维度的信息安全和个人信息保护。

    ISO/IEC27701构建信息安全及人信息保护管理体系要求：

    1.收集与处理

    识别处理目的与处理的法律依据；明确获取同意的方式、时间，并留存相应记录；进行隐私影响评估。

    2.广告营销

    在未事先征得个人信息主体同意的前提下，不会将个人信息用于广告营销。

    3.处理义务

    确定并记录对个人信息主体所履行的法定义务和商业道德义务，并提供履行这些义务的方法；积极响应用户的修改权、撤回同意权、拒绝权、删除权、访问权等个人信息权利并留存相应记录。

    4.默认的隐私保护

    确保流程和系统的设计能够使个人信息的收集和处理（包括使用、披露、存储、传输和删除）仅限于最小必要范围，并留存相关记录。

    5.共享转移

    识别是否存在共享、转移、披露、跨境传输个人信息的情形，并记录具体行为。

    6.合同约定

    签署的书面合同应约定个人信息保护的相关措施，例如操作权限控制、个人信息泄露报告等。

    7.员工培训

    可访问个人信息的员工应签署保密协议，并参与隐私保护与数据安全培训。

    8.整体规划

    识别相关方的需求及期待，并明确管理体系的范围；确定内部的人员责任及相应的目标与规划；明确具体的运行计划和控制措施，评估并处置风险；内部定期评审并持续完善管理体系。

【ISO/IEC27701认证咨询】【ISO/IEC27701认证辅导】