ISO发布第一项直面隐私信息管理国际标准

世界正前所未有地紧密联系在一起，这既带来了数字世界的快乐，也带来了风险。网络安全日益受到关注，过去几年针对企业的攻击几乎翻了一番，对全球稳定构成了越来越大的威胁。

因此毫不意外，为降低这些风险并保护我们的数字隐私，正在迅速制定法律法规。组织如何在满足这些要求的同时保护自己？世界上第一项帮助组织管理隐私信息和监管要求的国际标准刚刚发布了。

保护数字隐私是一个重要的商业问题。根据IBM的信息，数据泄露的平均成本为360万美元，法律义务也越来越严格。随着我们的联系不断紧密，世界各地政府都在制定各种隐私法规，例如欧盟关于通用数据保护法（GDPR），各种组织必须遵守这部法律。新的ISO标准将帮助企业满足要求，无论它们在哪个司法管辖区工作。

ISO/IEC 27701安全技术—对隐私信息管理ISO/IEC27001的扩展和ISO / IEC 27002用于隐私信息管理 - 要求和指南，规定了建立、实施、维护和持续改进隐私专用信息安全管理系统的要求。换言之，就是保护个人数据的管理体系（PIMS）。

该项标准之前在制定过程中称为ISO/IEC 27552，是基于ISO/IEC 27001信息技术—安全技术—信息安全管理系统—要求这项标准，在隐私方面提供了必要的其它要求。

制定该项标准的ISO/IEC技术委员会主席安德烈亚斯•沃尔夫（Andreas Wolf）博士表示，几乎每个组织都要涉及个人身份信息（PII）问题，保护PII不仅是法律要求，也是社会需求。

“ISO / IEC 27701定义了流程，并提供了在持续发展的基础上保护PII的指南。因为作为一个管理体系，该标准定义了持续改进数据保护的流程，这在技术不断发展的当今世界中尤为重要。”

微软是该委员会的积极参与者。

微软公司副总裁兼隐私和监管事务副总顾问朱莉•布里尔（Julie Brill）说：“我们赞成ISO/IEC制定这一具有开创性的隐私标准，使得各种规模、司法管辖范围和行业的组织都能够有效地保护和控制它们处理的个人数据。微软承诺将欧盟发布的通用数据保护条例中规定的权利扩展到全球客户。作为这一承诺的下一章，微软Azure和Office 365将实施PIMS标准，并帮助我们的客户和合作伙伴采用这一可互操作的模型。”

ISO/IEC 27701这项标准是由ISO/IEC JTC1/SC 27信息安全、网络安全和隐私保护分技术委员会第五工作组制定的，该工作组由世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。法国保护个人数据的独立监督机构国家信息和自由委员会（Commission Nationale de l’Informatique et des Libertés）的马蒂厄•格拉尔（Matthieu Grall）是ISO/IEC JTC1/SC27的积极参与者，也是标准制定的贡献者。随着越来越严格的数据保护要求和法律，他说这是真正需要的标准。“尽管存在不遵守这些法规的风险，但我们知道许多组织根本没有做好准备，需要指导。随着与隐私和数据保护相关的投诉和罚款数量的增加，如今对该项标准的需求是显而易见的。此外，组织需要给当局、合作伙伴、客户和雇主带来信任。这项标准对增进信任大有裨益。”