一、ISO27701隐私管理体系认证的背景

在互联网和大数据时代，许多业务的开展都离不开个人隐私信息的输入，每个组织都会或多或少地需要处理PII（个人身份信息），保护PII不仅是法律要求，也是社会的需要。随着越来越严格的数据保护要求和法律，如欧盟保护个人数据的《GeneralDataProtectionRegulation》(GDPR)和美国的《CaliforniaConsumerPrivacyAct》(CCPA)等法律法规的相继出台，以及与隐私和数据保护相关的投诉和罚款数量的增加，许多组织都迫切地需要开展行动以提高其PII的保护能力。

ISO27701隐私信息管理体系标准的发布，是ISO27001信息安全管理体系标准和ISO27002信息安全控制标准的延伸和拓展，将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对PII（个人身份信息）控制者和处理者进行了较为详细且落地性强的规定，在隐私保护和信息安全方面为企业给出了指导性建议。

二、什么是ISO27701隐私管理体系认证？

ISO/IEC27701隐私信息管理体系Privacy Information Management System(PIMS)是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准，它是对ISO27001信息安全管理体系的扩展，在全球普遍受到认可，且具有国际权威性。

ISO/IEC27701通过对隐私保护的控制，对ISO/IEC27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。

三、适用行业范围：

ISO/IEC27701认证适用于各个行业类别，涉及信息领域服务的任何大型或小型组织都可以申请认证。

四、企业进行ISO27701隐私管理体系认证的好处:

1、为各利益相关方提供透明度和信任度

牵涉到利益的各相关方，彼此之间的信任问题或多或少都存在，ISO 27701隐私管理体系认证正好可以让相关方之间的关系变得更加透明化，从而使得企业与企业、顾客与企业等各方关系得以稳固，增强相互之间的信任度；

2、提供更具协作性的方法

ISO27701标准为各利益相关方之间的处事方式提供可落地执行的方法，从而推进企业的业务进展；

3、更有效的业务协议

ISO27701隐私信息管理体系认证使协议双方签署的合同更具有黏性；

4、更清晰的角色和职责

隐私信息管理体系认证使得企业之间的分工更加明确；

5、通过与ISO27001相结合降低复杂性

ISO27701标准与ISO27001标准相结合，可以降低工作的复杂性。

五、ISO27701隐私信息管理体系认证申报条件:

1、企业持有工商行政管理部门颁发的《营业执照》、《生产许可证》等有效证件。

　  2、申请方已按照ISO27701标准要求建立体系并实施运行3个月以上。

　3、至少完成一次数据保护/隐私影响评估、内部审核，并进行了管理评审。

　  4、体系运行期间及建立体系前一年内未受到主管部门行政处罚。

六、ISO27701隐私信息管理体系的认证流程：

1、建立隐私信息管理体系，并通过企业内审和管理评审；

2、向认证机构提交认证申请书、手册、程序文件等资料；

3、认证机构受理后，安排审核员进行现场审核；

4、审核结束，一般会进行不符合项的整改，整改完成通过后，颁发证书，证书有效期三年，每年需年审以保持证书。