什么是 ISO/IEC 27701 隱私信息管理體系？

    隨著(zhù)信息技術(shù)的不斷發(fā)展，人們對信息安全的關(guān)注日益提升，全球多個(gè)國家和地區相繼出臺了一系列隱私保護的法律法規，例如歐盟的GDPR，中國的網(wǎng)絡(luò )安全法，以及香港的個(gè)人隱私條例等，當前幾乎所有的組織都有處理個(gè)人信息 (PII) 的情況。
    隱私信息管理體系標準是作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準，其目標是通過(guò)新增的要求來(lái)增強現有信息安全管理體系（ISMS）,以便建立、實(shí)施、維護和不斷改進(jìn)隱私信息管理體系（PIMS），標準概述了適用于個(gè)人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個(gè)人隱私的各種風(fēng)險。
    ISO/IEC 27701 是 ISO/IEC 27001 和 ISO/IEC 27002 的隱私擴展， 旨在幫助組織保護和控制他們處理的個(gè)人信息。類(lèi)似于現有的 ISO 標準 ISO 27701 補充，它為建立、實(shí)施、維護和持續改進(jìn)隱私信息安全管理體系提供了特定要求和指導。
    要理解新標準 ISO/IEC 27701，首先應該理解兩個(gè)關(guān)鍵術(shù)語(yǔ)：處理器和控制器。 通常，“控制者”是指首先收集和處理 PII 數據的實(shí)體，“處理者”是負責代表該個(gè)人處理此類(lèi)數據的獨立法律實(shí)體。

通過(guò)隱私信息管理體系認證，可以給企業(yè)帶來(lái)如下收益：

    合規?明確隱私保護管理合規目標，減輕組織合規負擔的同時(shí)降低了組織合規風(fēng)險；
    完善自身數據安全能力和風(fēng)險管理?實(shí)現持續完善產(chǎn)品的非功能性要求，進(jìn)而展示出產(chǎn)品在處理個(gè)人隱私安全、安全治理的績(jì)效，通過(guò)流程分析，在流程的輸入、輸出、控制過(guò)程中，識別、分析、驗證隱私保護需求、傳遞隱私保護價(jià)值，減少甚至消除隱私泄露的風(fēng)險；
    PIMS 認證可以傳遞信任?客戶(hù)或合作伙伴，尤其是政府組織、金融機構作為承擔隱私風(fēng)險的機構，通常為要求 PII 處理者提供相關(guān)證據(如 PIA 分析報告)，從而證明 PII 處理者的產(chǎn)品能符合使用的隱私管理體系要求。通過(guò)得到授權的第三方機構對 PII 處理者進(jìn)行基于國際標準的審核，可以極大的降低合規溝通成本，這種合規透明度的提高對于組織戰略和業(yè)務(wù)決策至關(guān)重要，同時(shí) PIMS 認證也有助于向公眾傳達組織的可信度。