ISO/IEC27701源自ISO/IEC 27552，为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南，令PIMS作为ISO 27001中定义的灵活信息安全管理系统(ISMS)的扩展，在信息安全的基础上将处理PII所需的隐私保护纳入考虑。与ISO/IEC27701标准类似，ISO 27701不期望组织机构在所有情况下采纳每一条控制。相反，该标准要求组织机构理解自身PII处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。

    如何更好地理解新标准ISO/IEC27701认证

　为更好地理解新标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括GDPR。通常，“控制者”是指示为什么要收集和处理PII的实体，“处理者”是代表该控制者负责处理此数据的另一个法律实体（非员工）。

　新发布的标准适用于PII控制者（及联合控制者）和处理者（包括下级处理者），无论其运营的行业和司法辖区，也包括到GDPR和SO/IEC 29100、ISO/IEC 27018及ISO/IEC 29151安全框架的映射。预计ISO 27701要求还将映射到其他隐私法律，如《2018加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA)和《健康保险流通与责任法案》(HIPAA)等，通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

　客户若想雇佣供应商代表自己处理和维护PII，应考虑以合同的形式要求这些供应商不仅遵从ISO 27001，还要遵从ISO 27701，或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证，可能也想要更新合同，确保供应商能够符合ISO 27701的要求。鉴于ISO 27701才刚发布，合同中也可写入供应商符合新标准要求的合理时延。

【ISO/IEC27701认证辅导】【ISO/IEC27701认证咨询】