如何理解ISO27701在标准界的地位?

ISO国际标准有一个“标准家族”的概念,比如:在ISO27000的标准家族中,ISO27000《概述与术语》就属于第一层的术语类标准(Terminology),ISO27001《信息安全管理体系 要求》属于第二层的通用类要求标准(General requirements),ISO27002《信息安全管理体系实用规则》属于第三层的通用类指南标准(General guidelines)、ISO27018《PII处理者在公有云中保护PII的实践指南》属于第四层的专业类指南(Sector-specific guidelines)。


此次发布的ISO27701属于“另类”,其同时包含了第二层和第三层的要求。


不同于ISO27018、ISO29151的控制措施全都属于“指南should”,ISO27701同时扩展了ISO27001和ISO27002中有关信息安全的控制要求,变成了“要求shall + 指南should”模式,成为第一部扩充了信息安全管理体系(ISMS)的隐私保护“认证”性质的标准,而同时又整合了“指南”性质的条款,让其具有“双重身份”。