指南

如何在组织中实施ISO 27701

符合ISO/IEC 27701:2019的隐私信息管理体系实施指南。ISO 27001的个人数据扩展、PII控制者/处理者角色和法规映射。

ISO 27701扩展了ISO 27001和ISO 27002以涵盖隐私信息管理。它是证明遵守GDPR、阿根廷个人数据保护法和巴西LGPD等数据保护法规的参考标准。

分步指南

验证先决条件：可运行的ISO 27001 ISMS

ISO 27701不能作为独立标准运作。它需要已实施或同时实施的符合ISO 27001的ISMS。在扩展之前验证附录A基础控制措施已投入运行。

审计师提示： 如果尚未获得ISO 27001，可以并行实施两个标准。但不要在27001基础未经审计的情况下尝试认证ISO 27701。

定义组织角色：PII控制者或处理者

ISO 27701区分PII控制者（决定处理目的的人）和处理者（代表控制者处理数据的人）。此角色决定哪些附录A和B控制措施适用于您的组织。

进行个人数据处理清单

映射所有个人数据流：收集什么数据、法律依据是什么、存储在哪里、谁可以访问、转移给谁以及保留多长时间。此记录是隐私影响评估(PIA)的基础。

审计师提示： 使用表格格式，列包括：数据类别、法律依据、系统、责任人、国际传输（是/否）、保留期限。审计员期望这种粒度级别。

实施隐私特定控制措施

除ISO 27001控制措施外，实施ISO 27701附录A和B的扩展控制：同意、访问权、可移植性、匿名化、违规通知和新系统中的隐私设计。

将控制措施映射到适用法规

ISO 27701在附录D中包含了GDPR映射。创建与您所在司法管辖区法规的等效映射（阿根廷第25.326号法律、巴西LGPD），以证明每项控制如何满足当地法律要求。

审计师提示： 这种法规映射是审计中的差异化因素：它证明系统不是通用的，而是适应组织法律现实的。

要点

ISO 27701不是独立的：它需要ISO 27001作为基础。规划联合或顺序实施。
数据处理清单是最关键的工件：没有它，隐私控制就缺乏上下文。
映射到当地法规将通用合规转变为面向监管机构的具体证明。

常见问题

不能独立实施。ISO 27701是ISO 27001的扩展。您可以同时实施两者，但27701认证要求27001已认证或正在进行中。

不能。ISO 27701是一个促进合规的管理框架，但不能替代合规。符合标准不等同于自动符合法律；您需要特定的法规映射。

通常需要额外3到6个月，具体取决于数据处理的复杂性和现有隐私流程的成熟度。

对比

现在可用

准备好根据这些发现采取行动了吗？

需要此领域的评估？

申请诊断→查看研究→

Loading content…

常见问题

不能独立实施。ISO 27701是ISO 27001的扩展。您可以同时实施两者，但27701认证要求27001已认证或正在进行中。

不能。ISO 27701是一个促进合规的管理框架，但不能替代合规。符合标准不等同于自动符合法律；您需要特定的法规映射。

通常需要额外3到6个月，具体取决于数据处理的复杂性和现有隐私流程的成熟度。

如何在组织中实施ISO 27701

分步指南

验证先决条件：可运行的ISO 27001 ISMS

定义组织角色：PII控制者或处理者

进行个人数据处理清单

实施隐私特定控制措施

将控制措施映射到适用法规

要点

常见问题

相关内容

ISO 27001 与 ISO 42001：信息安全与AI管理的关键区别

ISO 9001 与 ISO 27001：质量管理与信息安全

ISO 27001

ISMS

影子AI：缺乏正式治理的人工智能使用

个人数据泄露：暴露评估与隐私控制

准备好根据这些发现采取行动了吗？

如何在组织中实施ISO 27701

分步指南

验证先决条件：可运行的ISO 27001 ISMS

定义组织角色：PII控制者或处理者

进行个人数据处理清单

实施隐私特定控制措施

将控制措施映射到适用法规

要点

常见问题

相关内容

ISO 27001 与 ISO 42001：信息安全与AI管理的关键区别

ISO 9001 与 ISO 27001：质量管理与信息安全

ISO 27001

ISMS

影子AI：缺乏正式治理的人工智能使用

个人数据泄露：暴露评估与隐私控制

准备好根据这些发现采取行动了吗？