2020年10月24日，数字化、全球化和服务个性化使得用户被各大平台从不同程度上获取了个人信息，鉴于动态的运营环境，用户无法知晓自己的个人信息在进行怎样的数据交互，指导组织如何管理和处理数据以减少个人信息风险变得愈发重要.2019年8月，ISO组织正式发布了ISO/IEC 27701，安全技术-扩展的ISO/IEC 27001和ISO/IEC 27002-隐私信息管理要求和指南。

ISO / IEC 27001适用于所有类型和规模的组织，包括公有和私营公司、政府实体和非营利组织，在信息安全管理体系(ISMS)中管理个人身份信息（PII）。

ISO 27701 源自 ISO/IEC 27552，为建立、实现、维护和持续改进隐私信息管理系统 (PIMS) 提供具体要求和指南，令 PIMS 作为 ISO 27001 中定义的灵活信息安全管理系统 (ISMS) 的扩展，在信息安全的基础上将处理 PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似， ISO 27701 不期望组织机构在所有情况下采纳每一条控制。相反，该标准要求组织机构理解自身 PII 处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。

为更好地理解新标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括 GDPR。通常，“控制者” 是指示为什么要收集和处理 PII 的实体，“处理者” 是代表该控制者负责处理此数据的另一个法律实体（非员工）。

新发布的标准适用于 PII 控制者（及联合控制者）和处理者（包括下级处理者），无论其运营的行业和司法辖区，也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他隐私法律，如《2018 加州消费者隐私法案》(CCPA)、《金融服务现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等，通过提供通用的合规标准帮助组织机构更好地符合这些监管要求。

客户若想雇佣供应商代表自己处理和维护 PII，应考虑以合同的形式要求这些供应商不仅遵从 ISO 27001，还要遵从 ISO 27701，或者在数据敏感度适用的情况下取得符合该标准的认证。即使客户不要求供应商经过独立第三方的新标准合规认证，可能也想要更新合同，确保供应商能够符合 ISO 27701 的要求。鉴于 ISO 27701 才刚发布，合同中也可写入供应商符合新标准要求的合理时延。

1、可以帮助组织在不断变化的监管环境中证明个人数据保护和隐私符合不同法律，认证可以是一个有用的工具，为组织增加对隐私和相关义务承诺的可信度。

2、通过ISO/IEC27701认证，可以证明数据存储与处理的有效性，并用来评估整个供应链中组织之间交换个人信息的风险。

3、通过提供必要的证据，证明组织依照法律处理其客户的个人信息，包括跨境数据流的情况，可以帮助证明组织遵守GDPR等数据隐私法。

4、证明遵守法规的认证机制在很大程度上增加了组织间对如何处理个人数据的信任，同时通过在组织之间提供保证来创造商业机会。

1)法律地位证明文件（如企业法人营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证复印件加盖公章；

2) 临时场所清单（如工程建设施工组织在建项目清单、体系认证覆盖的临时服务点）；

3) 至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，必须提供：组织简介、组织结构（组织机构图）、人员情况和职能分工、过程路线图/工艺流程图/过程描述（应明确说明关键过程和特殊过程）及其有关的过程文件，如：风险控制情况、对IT的应用等；

4) 关于认证活动的限制条件(如出于安全和/或保密等原因，存在时)；

5) 体系方针和目标；

6) 支持管理体系的规程和控制措施；

7) 风险评估报告（含风险评估方法的描述）；

8) 残余风险报告；

1、按照ISO 27701管理体系标准要求建立体系框架；

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行预审，在正式审核前排除一些重大的确失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方；

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放ISO 27701管理体系认证证书。在满足持续审核情况下，三年有效。

1、企业规模（包括人数、产品或服务类型）；

2、项目要求达到的效果（如管理提升程度）。

ISO/IEC 27701 标准以扩展ISO / IEC 27001和ISO / IEC 27002的形式（在组织范围内进行隐私管理）规定了要求并提供了建立，实施，维护和持续改进隐私信息管理系统的指南。

ISO/IEC 27701 标准指定了与个人信息管理体系相关的要求，并为对个人身份信息处理负有责任和责任的个人身份信息控制者和个人身份信息处理者提供了指南。

ISO/IEC 27701 标准适用于所有类型和规模的组织，包括上市和私有公司，政府实体和非营利组织；