企业为什么要申请ISO27017和ISO27018认证？

ISO 27017 是在帮助推荐和实施基于云的组织的控件。 这与将信息存储在云中的组织有关，也与向可能具有敏感信息的其他组织提供基于云的服务的组织有关。 该标准建立在ISO 27002标准的基础上，但是允许添加特定的控件以满足云组织及其最终用户的需求。 ISO 27018 是为云计算组织设计的，但专门用于保护在云中存储和/或处理的个人身份信息。 此外，该标准主要侧重于与云提供商

ISO29151标准中个人身份信息 (PII) 的隐私原则有哪些

ISO/IEC 29151标准中个人身份信息 (PII) 的隐私原则有如下几点： 1、同意和选择； 2、目的，合法性和指南； 3、收集限制； 4、数据最小化； 5、使用，保留和披露限制； 6、准确 性和质量； 7、公开性，透明度和通知； 8、个人参与和获取 9、问责； 10、信息安全； 11、隐私合规。

ISO/IEC 29151标准中PII的信息安全要求

ISO/IEC 29151标准要求需要明确规定保护个人身份信息的角色和责任，并妥善记录并传达以下要求： a) 组织应分配高级管理成员［有时称为首席隐私官( CPO )] 对 PII 承担保护的责任； b) 应明确指明 ，每个角色担当的PII保护职能，负责与组织内的信息安全职能进行协调； c) 参与 PII 处理的所有人（包括用户和支待人员）应在其工作指南中包含适当的 PII 保护要求。 己建立的 PII 保护功

ISO/IEC 29151标准中要求的PII使用、保留和披露限制

ISO/IEC 29151 标准中要求的PII使用、保留和披露限制： 一、保护 PII 的实施指南 a) 将 PII 的使用，保留和披露 （包括转让）限制在为实现特定，明确和合法目的必要的范围内； b) 配置其信息系统，以记录：收集 ，创建、更新 PII 的日期、何时将 PII 删除、归档的时间。 二、使用 PII 的实施指南 a) 当所述目的已经过期时，锁定（即归档，保护和免除进一步处理）任何 PII , 并满足适用

实现ISO/IEC27701要求的组织机构应该怎么做？

ISO 27701 合规首先要求 ISO 27001 合规。二者互为补充。遵从 ISO 27701 要求的组织机构会留下其 PII 处理方式的书面证据，可用于推动与商业合作伙伴就 PII 处理问题签订协议，明确该组织机构与其他利益相关者间的 PII 处理方式。尽管 GDPR 尚未确立官方认证方法，近期报告表明， ISO 27701 或可在近期改变这一现状。 客户若想雇佣供应商代表自己处理和维护 PII，应考虑以合同的形式要求

ISO/IEC27701适用于控制者和处理者的关键要求

一、适用于控制者和处理者的要求 保密性：经授权访问 PII 的个人必须履行保密协议。 分析风险：必须进行隐私风险评估以识别 PII 处理风险。 监管：组织机构必须指定负责开发、实现、维护和监视其治理及隐私项目的个人。 培训：可以访问 PII 的人员需经过隐私意识培训。 内部过程：组织机构必须为应对 PII 泄露事件而采纳各种策略和规程，比如事件响应计划。 记录保存：