ISO27701标准的重要性

ISO27701是组织最能证明其对法规负责的证明。 ISO27701将为数据保护实践设定标准，并帮助组织以与信息安全管理系统（ISMS）集成的隐私信息管理系统（PIMS）的形式证明他们具有适当的控制环境。 ISO27701适用于所有行业和各种规模的组织，涵盖了所有数据主体的个人信息处理。 ISO27701证明组织已采取适当措施，以从根本上与GDPR要求一致的方式保护和管理个人数据。 ISO27701提供了一

ISO27701特定于处理者的要求

处理限制:组织机构必须仅按控制者或处理者（取决于客户的角色）的说明处理PII。 辅助个人权益:ISO27701要求处理者实现帮助客户遵从个人权益的种种措施。 转移与披露:处理者必须于PII在司法辖区间转移或任何预期变化发生前通告客户。 分包商:ISO27701要求处理者仅可雇佣一家分包商按照客户合同的条款处理PII。 如您想更详细的了解ISO27701标准，需要ISO27701标准，请您网络搜索广

ISO27701特定于控制者的要求

隐私通告:组织机构必须提供包含PII收集、使用和处理相关具体信息的隐私政策。 处理者合同要求:组织机构必须与其处理者签订书面合同，约定具体事项，比如保护PII、限制处理操作仅可在PII 特定用途范围内，以及提供PII泄露通报。 个人权益：ISO27701要求组织机构实现各种机制，赋予个人访问、修改和删除其PII，以及反对或限制PII处理等权益。 设计隐私与默认隐私：组织机构必

ISO29151中使用和保护PII的一般策略

ISO29151标准要求隐私策略应包括:支待和承诺遵守适用的PII保护法规、合同要求，其他声明的内部策略（单独的隐私策略或对现有策略的补充）。 ISO29151标准要求隐私和安全策略的主题可能不相互覆盖，尽管它们密切相关。信息安全策略和隐私策略都应涉及信息的CIA:保密性,完整性和可用性，此外隐私策略还应涉及诸如同意和个人访问等主题。 ISO/IEC29100为实施隐私框架提供指导。

ISO29151中PII信息收集的限制

关于PII信息的收集,ISO29151标准要求组织应该： a)将PII的收集范围限制为通知所述目所确定的最小元素,且PII主体已经同意； b)不收集敏感的PII,除非收集敏感的PII得到合法授权或获得同意； c)限制间接的从PII主体收集的信息量（例如，通过网络日志，系统日志）。 组织应确定处理PII的目的，确定实现该目的所需的PII,确定不需要收集的信息，并确认仅收集基本信息。 在继续收集之前

ISO29151标准中PII数据最小化原则

a)确保采用需要知道的原则，只有在PII处理的合法目的框架内，才可获得职责所必需的PII的访问权； b)使用和提供默认选项时 ，尽可能不包含PII主体的身份； c)限制PII收集的可联系性； d)对组织保留的个人身份信息进行初步评估，并制定、遵循定期对其进行审查的时间表，以确保仅收集通知中确定的个人身份信息，并且仅限于为了达成业务目的，有必要继续使用； e)将包含PII的电