ISO27701认证咨询辅导隐私安全保护管理体系认证到底是什么？

详情描述：

二、ISO/IEC 27701标准介绍
1. 关键术语解释
PII：个人可识别身份信息，指 a) 任何可以识别PII主体的信息或 b) 直接或间接与PII主体相关的信息PIMS：Privacy Information Management System，隐私信息管理体系Customer：PII控制者的customer：与PII控制者有合约关系的组织，可以是共同控制者PII处理者的customer：与PII处理者有合约关系的PII控制者与PII处理的分包商有合约关系的PII处理者
2. ISO 27701结构组成
ISO 27701是ISO 27001和ISO 27002在隐私信息管理方面的扩展，并在隐私保护方面提供了必要的额外要求。ISO/IEC 27701标准的正文由8个条款组成，其中：
条款1-4，给出了标准的范围，术语、定义等。
条款5介绍了ISO 27001中延伸出的关于PIMS的扩展要求以及本标准对PIMS的附加要求。
条款6介绍了ISO 27002中对PIMS的扩展及附加要求。上述条款对PII的控制者和处理者均适用。
条款7给出了针对PII控制者的ISO 27002扩展指南。
条款8给出了针对PII处理者的ISO 27002扩展指南。这两章从PII的收集和处理，对PII主体的义务，Privacy by design & Privacy by default，PII的共享、传输和披露四个方面做出了相应规定。
附录A是针对PII控制者的PIMS特定的控制目标和控制措施。
附录B是针对PII处理者的PIMS特定的控制目标和控制措施。
附录C给出了标准与ISO/IEC 29100的映射。
附录D是与GDPR的映射。
附录E是与ISO/IEC 27018和ISO/IEC 29151的映射。
附录F则是如何在处理PII时将ISO/IEC 27001和ISO/IEC 27002扩展到隐私保护。
总体而言，标准通过第5章和第6章将ISO 27002与附加的PIMS控制项构成了完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。
3. ISO 27701与各标准之间的关系
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002为ISO 27001提供风险处置具体的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均为隐私方面的标准，有不同的侧重点，与ISO 27701互为补充。
d) ISO 27001帮助企业建立ISMS，通过有效的风险管理来保护和管理组织的所有信息，从数据安全方面满足GDPR的部分要求。
e) ISO 27701加入了隐私保护的额外要求，更全面地覆盖了GDPR的要求。
4. ISO 27701 VS ISO 27001 & 27002
本标准基于ISO 27001和ISO 27002，在应用本标准时，应将原ISO 27001及ISO 27002中的“信息安全”替换为“信息安全和隐私”。本标准中仅列出替换后仍需说明的额外PIMS相关要求。
ISO 27002 中共14个控制域，每个控制项中包含控制措施、实施指南和其他信息。将所有“信息安全”替换为“信息安全和隐私”后，除了“业务连续性管理的信息安全方面”的控制域，ISO 27701对ISO 27002中控制域中的实施指南和其他信息均有额外的补充，但控制措施均延续ISO 27002的控制措施（仅将“信息安全”替换为“信息安全和隐私”）
5. ISO 27701 VS GDPR
ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款（Article 4-42, 44-49)之间的映射关系，通过对比GDPR的原条款，发现ISO 27701覆盖了绝大部分GDPR的要求，仅个别GDPR的条款未被ISO 27701覆盖，条款涉及的主要内容如下：
Article 14个人数据还未从数据主体处获得时（数据控制者）应提供的信息 (5)(a)：数据控制者应当向数据主体提供所规定提供给数据主体的信息，除非数据主体已获知相关信息
Article 23限制：欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35数据保护影响评估 (6)：此段针对监管机构，规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36事先咨询 (4)：数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时，数据控制者应当在处理前向监管机构咨询