一、標(biāo)準(zhǔn)介紹

1、ISO27001：2013信息安全管理體系

ISO27000 系列標(biāo)準(zhǔn)由 ISO/IEC 聯(lián)合發(fā)布，概述了數(shù)百個(gè)控制措施和控制機(jī)制，以幫助所有類型和規(guī)模的組織確保信息資產(chǎn)安全。這些全球標(biāo)準(zhǔn)針對(duì)政策與流程提供了一個(gè)框架，其中包括所有與組織信息風(fēng)險(xiǎn)管理流程相關(guān)的法律、物理和技術(shù)控制措施。

ISO27001 是一個(gè)正式規(guī)范信息安全管理體系 (ISMS) 的安全標(biāo)準(zhǔn)，旨在通過(guò)明確的管理控制實(shí)現(xiàn)信息安全。 作為正式規(guī)范，它規(guī)定了定義如何實(shí)施、監(jiān)控、維護(hù)及不斷改進(jìn) ISMS 的各項(xiàng)要求。 此外，其中還規(guī)定了一系列最佳實(shí)踐，包括文檔編制要求、責(zé)任劃分、可用性、訪問(wèn)控制、安全性、審核，以及糾正和預(yù)防措施。 通過(guò) ISO27001 認(rèn)證，有助于組織遵守與信息安全有關(guān)的各種法規(guī)及法律要求。

2、ISO29100：2011信息安全隱私框架

ISO29100提供了一個(gè)隱私框架，

• 指定通用的隱私術(shù)語(yǔ)；
• 定義參與者及其在處理個(gè)人身份信息（PII）中的角色；
• 描述隱私保護(hù)注意事項(xiàng)；
• 提供了有關(guān)信息技術(shù)的已知隱私原則的參考。

ISO29100適用于涉及指定，采購(gòu)，架構(gòu)，設(shè)計(jì)，開(kāi)發(fā)，測(cè)試，維護(hù)，管理和操作信息和通信技術(shù)系統(tǒng)或服務(wù)的自然人和組織，這些過(guò)程需要對(duì)PII進(jìn)行隱私控制。

3、ISO27701：2019隱私信息管理體系

2019年8月，ISO組織正式發(fā)布了ISO27701，安全技術(shù)-擴(kuò)展的ISO27001和ISO27002-隱私信息管理要求和指南。

該標(biāo)準(zhǔn)建立在ISO27001要求的基礎(chǔ)之上，在隱私方面提供了必要的額外要求。規(guī)定了建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)隱私相關(guān)所特定的信息安全管理體系的要求。換句話說(shuō)，就是保護(hù)個(gè)人信息的管理體系（以下簡(jiǎn)稱PIMS）。ISO27701標(biāo)準(zhǔn)的正文由8個(gè)條款組成。其中：

條款1-4，給出了標(biāo)準(zhǔn)范圍、術(shù)語(yǔ)、定義等

條款5給出了ISO27001相關(guān)的PIMS要求

條款6給出了ISO27002相關(guān)的PIMS指南

條款7給出了針對(duì)PII控制者的ISO27002擴(kuò)展指南

條款8給出了針對(duì)PII處理者的ISO27002擴(kuò)展指南

附錄A，針對(duì)PII控制者的PIMS特定的控制目標(biāo)和控制措施

附錄B，針對(duì)PII處理者的PIMS特定的控制目標(biāo)和控制措施

附錄C，與ISO29100的對(duì)應(yīng)

附錄D，與GDPR的對(duì)應(yīng)

附錄E，與ISO27018和ISO29151的對(duì)應(yīng)

附錄F，如何在ISO27001和ISO27002的基礎(chǔ)上實(shí)施ISO27701

4、ISO29151：2017個(gè)人身份信息保護(hù)的行為準(zhǔn)則

ISO29151是國(guó)際通行的個(gè)人身份信息保護(hù)指南，涵蓋26個(gè)控制域，181條控制措施，充分控制個(gè)人身份信息(PII)相關(guān)的風(fēng)險(xiǎn)，適用于任何對(duì)隱私保護(hù)有需求的組織，對(duì)開(kāi)展個(gè)人身份信息保護(hù)提供了一個(gè)廣泛的指南。

5、ISO27018：2014 公有云個(gè)人信息安全管理體系

ISO 于 2014 年采用了第一個(gè)國(guó)際云隱私行為守則 ISO27018:2014（ISO27001 的附錄）。 該標(biāo)準(zhǔn)基于歐盟數(shù)據(jù)保護(hù)法律，為充當(dāng)個(gè)人身份信息 (PII) 處理者的云服務(wù)提供商 (CSP) 提供有關(guān)評(píng)估風(fēng)險(xiǎn)和實(shí)施先進(jìn)控制措施的專門指導(dǎo)，以便保護(hù) PII。

ISO27018是第一個(gè)指導(dǎo)公有云服務(wù)供應(yīng)商如何保護(hù)云用戶個(gè)人可識(shí)別信息（PII）安全的國(guó)際標(biāo)準(zhǔn)，通過(guò)ISO27018認(rèn)證可證明企業(yè)在保護(hù)數(shù)據(jù)資產(chǎn)、知識(shí)產(chǎn)權(quán)、文檔和云端IT系統(tǒng)安全等方面達(dá)到了高標(biāo)準(zhǔn)的行業(yè)最佳實(shí)踐。

二、ISO27001、ISO29100、ISO27701、ISO29151、ISO27018的聯(lián)系

1、ISO27701是ISO27001和ISO27002在隱私方面的擴(kuò)展。

2、ISO27002為ISO27001提供風(fēng)險(xiǎn)處置具體的控制目標(biāo)和控制措施。

3、 ISO29100、ISO27018、ISO29151均為隱私方面的標(biāo)準(zhǔn)，有不同的側(cè)重點(diǎn)，與ISO27701互為補(bǔ)充。

4、 ISO27001幫助企業(yè)建立ISMS，通過(guò)有效的風(fēng)險(xiǎn)管理來(lái)保護(hù)和管理組織的所有信息，從數(shù)據(jù)安全方面滿足GDPR的部分要求。

5、 ISO27701加入了隱私保護(hù)的額外要求，更全面地覆蓋了GDPR的要求。