ISO/IEC27701认证通过对隐私保护的控制对ISO/IEC27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。

    为更好地理解新标准，需要弄清两个关键术语：控制者和处理者。这两个术语在很多隐私法律和规定中都能见到，包括GDPR。通常，“控制者”是指示为什么要收集和处理PII的实体，“处理者”是代表该控制者负责处理此数据的另一个法律实体（非员工）。

    ISO27701认证互联网安全隐私保密风险评估注意标准：

    适用于控制者和处理者的要求

    保密性：经授权访问PII的个人必须履行保密协议。

    分析风险：必须进行隐私风险评估以识别PII处理风险。

    监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。

    培训：可以访问PII的人员需经过隐私意识培训。

    内部过程：组织机构必须为应对PII泄露事件而采纳各种策略和规程，比如事件响应计划。

    记录保存：ISO27701要求组织机构保留所有PII处理活动的记录，包括PII在司法辖区间转移和向第三方披露等。

    特定于控制者的要求

    隐私通告：组织机构必须提供包含PII收集、使用和处理相关具体信息的隐私政策。

    处理者合同要求：组织机构必须与其处理者签订书面合同，约定具体事项，比如保护PII、限制处理操作仅可在PII特定用途范围内，以及提供PII泄露通报。

    个人权益：ISO27701要求组织机构实现各种机制，赋予个人访问、修改和删除其PII，以及反对或限制PII处理等权益。

    设计隐私与默认隐私：组织机构必须采取措施实现设计隐私和默认隐私原则。

【ISO27701认证培训辅导】【ISO27701认证审核标准】