ISO/IEC 27701: 2019 标准详解与实施（1）概述

ISO/IEC 27701是专门面向隐私信息管理的一个标准。隐私信息管理本身就是属于信息安全管理的范畴，所以ISO/IEC 27001本身就包含了隐私信息管理的要求，而ISO/IEC 27002则包含了隐私信息管理的指南。

隐私信息管理作为信息安全管理的一个特定领域，而当今几乎每个组织都会处理个人身份信息（PII），也就是所谓的隐私信息。而且，被处理的个人身份信息（PII）的数量和种类正逐渐增加，组织需要与其他组织就个人身份信息（PII）的处理进行合作的情况也在增加。在个人身份信息（PII）处理的环境下，保护隐私是一种社会需求，也是世界各地专用法律和/或法规的主题。因此，仅仅依靠ISO/IEC 27001来进行对隐私信息进行管理是远远不够的。

所以，国际标准化组织（ISO）和国际电工委员会（IEC）又联合编制了ISO／IEC 27701这个标准，以此来对ISO/IEC 27001中的隐私信息管理要求，以及ISO/IEC 27002中的隐私信息管理指南进行扩展，这也是为什么ISO／IEC 27701这个标准的名称是“ISO/IEC 27001 和 ISO/IEC 27002 隐私信息管理
的扩展 — 要求和指南“的原因。

ISO/IEC 27701标准是不能单独进行实施的，因为其本身包含了ISO/IEC 27001和ISO/IEC 27002的内核。因此，要实施ISO/IEC 27701，必须同步实施ISO/IEC 27001的要求。当然，如果把ISO/IEC 27701称作隐私信息管理体系的说法，是有点欠妥的，称作信息安全和隐私管理体系，才是比较恰当的。

ISO/IEC 27701目前的版本是2019版，包含的内核是ISO/IEC 27001: 2013和ISO/IEC 27002: 2013，因此在实施ISO/IEC 27701: 2019时，其内核依然要以ISO/IEC 27001: 2013作为要求，以及要以ISO/IEC 27002: 2013作为指南。

现在ISO/IEC 27001的最新版本是2022版，并且很多企业已经获得了ISO/IEC 27001: 2022认证证书，但是ISO/IEC 27701: 2019依然要求以ISO/IEC 27001: 2013作为内核要求。

当然如果企业因为使用两个版本的ISO/IEC 27001，觉得太麻烦的话，也可以通过一定的手段和措施进行整合，可以统一使用ISO/IEC 27001: 2022要求。但是，不能直接这样去操作，必须要有相应的整合措施。至于要如何来进行操作，后面在解读到相关条款时，会进行详细的说明。