什么是ISO27701隐私信息管理体系？

    中国已有很多企业开始重视个人信息保护工作，并通过ISO27701来对数据隐私保护和数据使用进行风险评估。根据 GB/T 23433—2009 《信息安全技术数据安全管理规范》，企业可以按照 ISO 27701的要求来建立企业隐私管理体系，为组织提供指导和帮助。 通过标准实施以确定满足客户对个人信息的需求并采取适当措施以满足法律法规要求所需时间、范围及风险因素等情况，确保数据可用性。

1、组织应制定并实施与数据隐私保护相关的政策、程序和措施，并记录在案。

    例如，组织应制定并实施隐私政策，规定收集个人信息的范围和目的、收集个人信息的主体权利及使用个人信息应遵循的法律法规及标准要求。 组织应制定关于隐私保护方面的政策、程序和措施，并记录在案； 明确数据的使用范围，并根据不同情形确定不同的处理方式； 确定对客户数据进行分类并实施分类处理策略； 制定数据分级使用策略和用户同意规则。

2、组织应建立并有效执行数据使用、处理和对外提供的安全控制机制，确保收集、使用和公开个人信息的安全。

    根据 GB/T 2 0030.1-2008 《信息安全技术个人信息安全规范》，收集、使用个人信息时，组织应采取必要的措施来防止被第三方非法获取和处理。 当组织收集、使用和向第三方提供用户个人信息时，应采取必要的技术措施，以防止个人信息被他人非法获取和处理。 组织不得将收集到的个人身份信息用于或变相用于非法活动或其他目的。 组织应在本规范所规定的范围内制定实施标准的基本要求并建立相关管理制度，同时应根据国家标准实施情况进行定期评估以确定标准的执行情况，并及时更新其实施的基本要求。 本标准所述基本要求在标准实施过程中可得到进一步完善和补充，也可以在本规范所列其他要素和框架等基础上进行补充完善。

3、对个人信息进行分类管理，以识别和评估个人信息处理过程中可能出现的风险。

    如果存在敏感信息，则应对其采取加密等技术保护措施，以确保对这些信息的安全存储和处理。 为满足客户对个人信息需求，收集、存储、使用和共享个人信息的各个环节应符合标准要求。

4、对关键控制点进行识别和评价，确保能够有效地实施控制措施。

    ISO27701标准包含的关键控制点：数据收集、处理、共享与公开。适用范围所有涉及个人信息的组织，包括企业、政府和其他机构；产品或服务的提供者是指从事生产的组织。

5、对风险因素进行识别和评估，并采取有效控制措施。

    通过文件化管理，确定敏感信息的保存范围和管理要求，确保个人隐私保护的制度得以有效执行。 通过制定并实施风险评估程序和管理制度，识别或评估可能对个人信息产生负面影响、产生重大风险或损害或带来其他风险的因素。 通过识别、评估、控制和处理措施，以满足有关法律法规要求所需时间、范围及风险因素等情况时，对数据安全管理过程进行描述。