ISO/IEC27701是对ISO/IEC27001信息安全管理和ISO/IEC27002安全控制的隐私扩展，全称《安全技术—扩展ISO/IEC27001和ISO/IEC27002的隐私信息管理—要求与指南》

    符合ISO27701认证首先要求符合ISO27001的要求。他们旨在相互补充。遵循ISO27701认证要求的组织将创建有关其如何处理PII的书面证据，可用于促进与PII的处理相关的业务伙伴的协议，并阐明组织与其他利益相关者的PII的处理。尽管GDPR尚无认可的认证方法，但根据最近的报道，ISO27701认证可能会在不久的将来改变这一现状。

    ISO27701源自ISO/IEC27552，为建立、实现、维护和持续改进隐私信息管理系统(PIMS)提供具体要求和指南，令PIMS作为ISO27001中定义的灵活信息安全管理系统(ISMS)的扩展，在信息安全的基础上将处理PII所需的隐私保护纳入考虑。与ISO27001标准类似，ISO27701不期望组织机构在所有情况下采纳每一条控制。相反，该标准要求组织机构理解自身PII处理的具体上下文，以适合其处理活动的方式调整特定控制集和与之相关的实现。

    可以考虑采取下列步骤：

    1.按照ISO27701的要求对现有ISMS执行漏洞评估，生成如何解决这些漏洞的行动计划。

    2.对组织机构收集的PII执行数据映射，了解所收集PII的范围，弄清处理者共享和使用PII的方式。

    3.依据上下文相关的内部或外部因素，比如适用的隐私立法、规定、司法判决或合同要求等，确定组织机构作为控制者和/或处理者的角色。

    4.审核并更新隐私政策，确保含有所要求的信息。

    5.制定适用于该组织机构角色的策略和规程。

    6.开始规划和实现设计隐私与默认隐私原则。

【ISO27701认证培训辅导】【ISO27701认证审核机构】