ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展，全稱《安全技術—擴展ISO/IEC 27001和ISO/IEC 27002的隱私信息管理—要求與指南》。它是ISO標準委員會以ISO 27001為基準，以ISO 27552為藍本，建立發布的隱私信息管理體系標準，為保護個人隱私提供指導。ISO/IEC 27701標準的發布，填補了隱私信息管理體系的空白，將隱私保護的原則、理念和方法，融入到信息安全保護體系中，并且對PII控制者和PII處理者進行了較為詳細且落地性強的規定，給企業在隱私保護和信息安全方面給出了指導建議。

數據濫用、數據竊取、隱私泄露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下，全球各個國家紛紛頒布相關法律法規，對數據安全與隱私保護相關問題進行嚴格的規范與引導。2018年歐盟GDPR《General Data Protection Regulation》生效，2021年，歐盟在GDPR中采信由監管機構認可或國家認可機構認可的第三方認證機構頒發的認證證書。2017年6月1日，《中華人民共和國網絡安全法》（通常簡稱《網安法》）頒布實施，2021年11月1日，我國的《個人信息保護法》生效。為規范組織內部個人隱私信息安全管理，滿足各國相關隱私保護法律法規的要求，ISO/IEC27701認證需求越來越明顯。

PII：個人可識別信息 Personally identifiable information,也譯作個人身份信息。

PII控制者：確定處理PII的目的和手段隱私利益相關者，但不包括出于個人目的使用數據的自然人。

PII處理者：代表并按照 PII 控制者的說明處理PII的隱私利益相關者。

PIMS：隱私信息管理體系。

Customer：

PII控制者的customer：與PII控制者有合約關系的組織，可以是共同控制者PII處理者。

customer：與PII處理者有合約關系的PII控制者。

標準設計的目的在于借助更多的要求增強現有 ISMS，以建立、實施、維護和持續改進隱私信息管理體系 (PIMS)。標準概述了適用于個人身份信息 (PII) 控制者和 PII 處理者的框架， 以有效管理隱私控制，降低個人隱私權面臨的風險。它適用于所有類型和規模的組織，包括公共和私營公司、政府實體以及非盈利組織。

ISO/IEC27701是在隱私保護方面對ISO/IEC27001信息安全管理以及ISO/IEC27002安全控制的進一步拓展，通過提供隱私保護指引，明確角色和責任，對于降低企業隱私合規難度，便于企業提供合規證明，增強社會各方信任具有重要意義，具體收益如下:

ISO / IEC 27701 是ISO / IEC 27001信息安全管理的隱私擴展，是由其衍生的。由于許多組織已經建立了基于ISO/IEC 27001的信息安全管理體系(ISMS) ，并以ISO/IEC 27002為指導，為保護隱私奠定了基礎。

ISO/IEC 27701通過附加要求來增強現有的信息安全管理體系，以便建立、實施、維護和持續改進隱私信息管理系統(PIMS)。

前提條件：

組織應已建立同時滿足ISO/IEC27001標準的信息安全管理體系及ISO/IEC 27701標準的隱私信息管理體系，且體系運行時間需不少于三個月。（未強制要求企業已經通過ISO27001認證）。

參與部門：

實施ISO/IEC 27701至少需要組織業務部門、技術研發部門、客戶服務部門、信息安全部門和法務部門。

實施周期：

正常從項目開始啟動，通過差距分析，輔以培訓，建立隱私信息安全保護體系并推廣實施，經第三方機構認證審核，整個周期在6-8周。

所需材料：

包括但不限于：
公司基礎資料  現有業務流程
隱私安全管理制度  隱私保護風評材料隱私適用性聲明......