一、简介

ISO/IEC27701隐私信息管理体系Privacy InformationManagement System (PIMS)是ISO国际标准化组织和IEC国际电工委员会联合发布的隐私信息管理体系国际标准，它是对ISO27001信息安全管理体系的扩展，在全球普遍受到认可，且具国际权威性。ISO/IEC 27701通过对隐私保护的控制对ISO/IEC 27001进行补充，有效协助组织对隐私风险进行识别、分析、采取措施，确保符合高级别的隐私保护合规要求，将风险降到可接受水平并维持该水平，最终帮助组织建立完善的隐私信息管理体系，实现有效的隐私管理。

通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS)，简化复杂的重叠隐私法的管理，创建一个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性，并作为潜在的GDPR合规性的基础。现在发布的ISO27701认证标准还实现了其他一些目的。一方面，它充当PIMS与ISMS或ISO27001之间关系和连接的概述。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

二、认证价值

(1)帮助组织降低个人隐私、组织隐私和数据泄露的风险；

(2)可以使用一个体系来管理来自不同国家和地区的多项隐私法规和政策的合规性；

(3)通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低了组织合规风险；

(4)完善数据安全能力和风险管理；

(5)帮助组织最大化IT治理过程，提升客户信任度、满意度和品牌声誉；

(6)通过该认证的组织意味着其隐私信息管理能力达到国际水平。

三、证书有效期

证书有效期为三年。每年需要监督年审，三年一次复评。

四、申报条件

（1）企业需持有工商行政管理部门颁发的《企业法人营业执照》等有效资质文件；

（2）申请方应按照有效标准（ISO/IEC27701）的要求在组织内建立隐私信息管理体系认证，并实施运行至少3个月以上；

（3）至少完成一次内部审核，并进行了有效的管理评审；

（4）管理体系运行期间及申请前的一年内未受到主管部门行政处罚。

（5）包含PIMS要求的隐私信息安全风险评估资料(至少有风险评估计划、风险处置计划和残余风险报告)

（6）适用PIMS要求的法律法规清单

（7）PII识别处理PII信息流涉及的信息系统、存储介质等清单

（8）PII影响评估报告等

五、发证机关

由国家认证认可监督管理委员会颁发

六、申报流程

七、证书模板