全网独家最全ISO27001和ISO27701的对比关系

随着信息技术的发展，电子商务及Internet应用的普及，政府部门、金融机构、高科技产业、企事业单位和商业组织对IT系统的依赖也日益加重，IT几乎渗透到了世界各地和社会生活的方方面面。信息技术给我们带来便利的同时，也给我们带来了隐患：系统瘫痪、黑客入侵、病毒感染、网络暴力、个人信息泄露、公司内部资料的泄露等等。这些已给企业的经营管理、生存甚至国家安全都带来严重的影响，因此，对信息加以保护，防范信息的损坏和泄露，己成为当前企业迫切需要解决的问题。

为了帮助企业以国际标准化为依据研究信息安全管理模式，降低管理成本，规范相应管理流程，ISO27001和ISO27701相继问世，它们同属于信息技术领域的安全标准，那么这两者之间有什么关系呢？现在超级认证侠带大家一起来了解一下... ...

下面超级认证侠用对比图更直观的给大家进行介绍：

上图可以清晰的对比出ISO27001和ISO27701之间的区别，接下来超级认证侠再来给大家讲一讲这两个体系认证对企业产生了哪些不同效益？

ISO27001认证对于企业的效益

通过ISO27001认证对于企业来说可以在信息安全方面提供指引，具体收益如下：

1、符合法律法规要求：

获得证书可以向权威机构表明，企业遵守了适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 

2、履行信息安全管理责任：

获得证书的同时，就能够证明企业在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关的责任。还可以强化员工的信息安全意识，减少人为原因造成的不必要的损失。

3、减少损失、降低成本：

ISMS的实施，能降低因为潜在安全事件的发生而给企业带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度。  

4、保持业务持续发展和竞争优势：

全面的信息安全管理体系的建立，意味着核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了企业的核心竞争力。 

5、实现风险管理：

有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证企业自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。

ISO27701认证对于企业的效益

ISO27701该标准为企业提供了一个国际通用的隐私安全管理工具，对于降低企业隐私合规难度，便利企业提供合规证明，增强社会各方信任具有重要意义，具体收益如下：

1、满足合规要求：

通过明确对PII处理者生命周期的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险，IS027701 标准附录D中明确表示，单个隐私控制点可以满足GDPR中的多项要求。GDPR是众多隐私保护法规中最为严格的，满足了IS027701 标准也就意味着基本满足GDPR的要求。

2、完善数据安全能力和风险管理：

实现持续完善产品的非功能性要求，进而展示出产品在处理个人隐私安全、安全治理的绩效，通过流程分析，在流程的输入、输出、控制过程中，识别、分析、验证隐私保护需求、传递隐私保护价值，减少甚至消除隐私泄露的风险。

3、PIMS认证可以传递信任：

客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据，从而证明PII处理者的产品能符合适用的隐私管理体系要求。通过得到授权的第三方机构对PII处理者进行审计验证，可以极大地降低合规沟通成本，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

部分已知的ISO27701获证企业

• AI人工智能：依图、商汤、视达
• 物流行业：顺丰、中通
• 视频类：爱奇艺、抖音
• 互联网公司：滴滴、猎豹移动、阿里巴巴、飞书、乐天、有赞科技、饿了么、淘宝
• 金融：平安科技、平安信托、家家支付、老虎证券、蚂蚁集团、贝壳金服、平安产险、金融壹账通、理房通、丰融（VIVO旗下）
• 酒店：华住集团
• 房产交易：链家、贝壳找房、贝壳金科、小屋、
• 手机：OPPO、小米、华为、vivo
• 云服务：腾讯、华为、百度、阿里、平安、浪潮、白山
• 电子签名：e签宝、法大大
• 物联网：大华、美的
• 电信运营商：联通集成
• 医疗相关：柳州医药、上海医药临床研究中心

Q：ISO27701是什么？
ISO/IEC 27701是国际标准化组织发布的隐私信息管理体系标准，全称《安全技术—扩展ISO/IEC 27001和ISO/IEC 27002的隐私信息管理—要求与指南》。
该标准基于PII相关组织和利益相关方要求；明确隐私影响评估的要求；针对组织作为PII控制者/PII处理者等组织角色，形成PIMS（隐私信息管理体系）。
该标准适用于所有类型和规模的组织，包括公共和私营公司、政府机构和非盈利组织。
Q：ISO27701产生的背景是什么？
2018年欧盟GDPR生效，就提出了以第三方认证作为数据（特别是个人数据）传输的基础，但并未明确采信哪个标准。实际上包括GDPR在内，各国与隐私相关的法律不尽相同，加州法案，以及澳大利亚或日本等国家都有自己的法律。
我国的《中华人民共和国个人信息保护法》于2021年11月1日生效。因此，当前急需一种国际通行的隐私管理标准。
2021年，欧盟对第三方认证的要求做出了司法解释，其采信的第三方认证需由监管机构认可或国家认可机构认可。国家认可机构认可制度实际是IAF国际认可论坛围绕ISO相关标准确立的认可机制。ISO27701标准的推出，很大程度上可以满足各国相关隐私保护法律法规的要求。
Q：关于隐私保护的主要法规有哪些?
国内与隐私保护相关的法规包括：《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T 35273 信息安全技术 个人信息安全规范》等。
国际上与隐私保护相关的法规包括：
a.美国：《隐私权法》、《电子通讯隐私法》、《金融服务现代化法案》、《儿童在线隐私权保护法案》、《健康保险携带和责任法》和《有效保护隐私权的自律规范》等；
b.欧盟:GDPR、《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》等；
c.日本：《个人信息保护法》等；
d.加拿大：《隐私法》和《个人信息保护与电子文件法》等。
Q：ISO27701与其他标准的关系如何？
ISO/IEC 27701的框架基于ISO/IEC 27001，同样遵循了ISO的管理体系标准高层结构HLS，故与其它ISO标准有良好的兼容性，便于组织实施整合的管理体系。
同时，作为ISO标准中尾数为01的要求类标准，其有助于构建持续改进的管理框架。
Q：ISO27701的核心术语PII、PII控制者和PII处理者是什么含义？
PII：个人可识别信息 Personally identifiable information (PII)
注：也译作个人身份信息
（a） 可用于识别此类信息相关的 PII 主体的任何信息；
（b） 直接或间接链接到 PII 主体的信息；
PII控制者：确定处理个人可识别信息 （PII） 的目的和手段隐私利益相关者（或隐私利益相关者们），但不包括出于个人目的使用数据的自然人；
PII处理者：代表并按照 PII 控制者的说明处理个人可识别信息 （PII） 的隐私利益相关者。
Q：ISO27701适合于哪些组织？
ISO/IEC 27701适用于所有关心隐私信息的组织，无论其规模、行业或业务性质如何。
Q：组织申请ISO27701有什么前提？
正式认证前，组织应已建立同时满足ISO/IEC27001标准的信息安全管理体系及ISO/IEC 27701标准的隐私信息管理体系，且体系运行时间需不少于三个月。
Q：ISO27701标准的架构如何？
ISO/IEC 27701标准第1章到至第4章，给出了标准的范围、引用文件、术语和定义以及总则。
标准管理要求分布在第5章至第8章，其中第5章为ISO/IEC 27001的要求关于PII相关的扩展，第6章为ISO/IEC 27002的要求关于PII相关的扩展，第7章为针对PII控制者角色的管理要求，第8章为针对PII处理者角色的管理要求。
附录A-F给出了特定的控制目标与控制措施以及与其他标准和法规的映射关系。
Q：实施ISO27701需要哪些部门参与？
实施ISO/IEC 27701至少需要组织的业务部门、法律团队、合规团队、网络安全技术部门、数据管理部门配合参与。
Q：组织实施ISO27701的步骤有哪些？
实施ISO/IEC 27701的步骤包括发布隐私政策、风险评估、隐私影响分析、内审及管理评审、法规符合性评价。
Q：ISO27701认证有哪些流程？
ISO/IEC 27701的认证流程与ISO/IEC 27001保持一致，分为一阶段审核及二阶段审核。
Q：企业获得ISO27701证书后如何维持证书有效性？
维持ISO/IEC 27701证书的的有效性需接受每年一次的监督审核，每次监督审核之间的时间间隔不超过12个月，自获证后的第三年为再认证审核，换发新的认证证书。
Q：擎标在ISO27701实施有什么优势？
擎标是国内隐私安全合规咨询领域的早期参与者

• 2018年11月为太平洋保险（集团）公司获得国内首张ISO29151个人身份信息保护实践指南认证证书
• 2019年10月为上海医药临床研究中心获得全球第二张ISO27701隐私信息管理体系认证证书
• 2020年初发布了首个基于ISO/IEC 29151:2017的中文译著

以上就是超级认证侠带大家一起学习的ISO27001与ISO27701对比关系，由此可见，这两项标准其实是互补关系，ISO27701是ISO27001在数据安全领域进一步深化的产物。两项标准认证可以进一步加强信息安全管理，从企业自身和客户层面多方位增强信任。