一文读懂ISO/IEC 29151:2017个人可识别信息保护管理体系

网络时代数字化不仅给我们的生活带来了便捷，同时对个人信息安全也带来了隐患。隐私保护问题已然成为了当前社会的焦点，这意味着组织现在面临着来自客户、最终用户、投资者和监管机构的多重压力。

在全球多个国家和地区，纷纷相继出台了一系列个人信息保护的法律法规，例如欧盟的GDPR，中国的网络安全法，以及即将出台的个人信息保护法等，面对越来越严格的监管趋势和众多且复杂的法律法规，企业如何有效的管理和保护客户及用户的信息安全？

ISO/IEC 29151是国际标准化组织和国际电工委员会共同发布的关于处理个人可识别信息（Personally Identifiable Information，PII）的控制措施和指南，以满足与保护 PII 有关的风险评估和隐私影响评估所确定的要求。

ISO/IEC 29151基于 ISO/IEC 27002 信息技术-安全技术-信息安全控制实践规则以及 ISO 相关安全标准规范，提供一系列信息安全和 PII 保护控制的指南，并指导组织根据风险分析的结果来选择与 PII 特定处理匹配的控制措施，以制定全面、一致的控制系统，减少隐私泄露风险并减少违规。

一、IS0/IEC 27701与IS0/IEC 29151的异同关系

IS0/IEC 27701:2019安全技术-扩展的IS0/IEC 27001和IS0/IEC27002-隐私信息管理要求和指南》和《IS0/IEC 29151:2017个人可识别信息保护实践指南》同是IS0标准委员会颁布的指导组织实现隐私安全的国际标准。两者之间的联系包括：

区别一：结构不同

IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002在隐私方面的扩展，并为隐私保护提供了除IS0/IEC 27001和IS0/IEC 27002之外的额外指导。标准通过第5章和第6章将IS0/IEC 27002与附加的PIMS控制项通过IS0/IEC 27001中PDCA的方式导入体系，形成完整的信息安全和隐私管理体系。第7章和第8章从数据生命周期的角度新增分别针对PII控制者和处理者的控制要求。

IS0/IEC 29151:2017描述了可被普遍接受的个人可识别身份信息（PII）安全控制措施和风险处理指南，该标准基于IS0/IEC 27002的基本结构，将IS0/IEC 29100中的隐私原则予以对应，形成实用且针对性强的PII保护措施供组织使用。

区别二：侧重点不同

IS0/IEC 27701是IS0/IEC 27001和IS0/IEC 27002的延伸，侧重于隐私信息安全管理。IS0/IEC 27701分别对个人可识别信息控制者和个人可识别信息处理者进行规范和指导并基于IS0/IEC 27001和IS0/IEC 27002的各个领域，从管理体系的角度并遵循PDCA的理念。

IS0/IEC 29151:2017是个人信息保护的行为准则、是个人身份信息保护的实践指南，侧重于隐私技术。它主要是基于IS0/IEC 27002的各个域中加入了PI的实施指南，并引入了IS0/IEC 29100的隐私保护原则。

区别三：企业如何选择

IS0/IEC 27701是基于IS0/IEC 27001信息安全管理体系标准族，适用于所有类型和规模的组织，包括公共和私营公司、政府机构和非盈利组织，他们是在ISMS中处理PII的控制者或处理者。IS0/IEC 29151:2017是基于IS0/IEC 29100信息技术-安全技术-保密框架标准族，适用于所有类型和规模的作为PII控制者的组织，包括处理PII的公共和私营公司、政府机构和非盈利组织。

两者存在的差异使得IS0/IEC 27701认证和IS0/IEC 29151认证不可相互替代，企业可根据实际情况进行选择。

二、企业获得ISO/IEC 29151:2017认证的益处：

1、获取客户关于组织对个人可识别信息保护管理方面的信任，以获得潜在业务；

2、证实组织对其产品和服务目标市场所在地隐私法规的遵从，获得所在地的市场准入；

3、组织自身为证实其在个人可识别信息保护管理方面的能力和符合性；

4、向相关方证实其在个人可识别信息保护管理方面的能力和符合性。

企业有效的信息安全管控及个人可识别信息保护处理，是为客户及用户带来信任和提升品牌价值的方法和策略。通过 ISO/IEC 29151认证意味着企业已经具备适当的安全控制体系为您在云端的 PII 提供了高标准的隐私保护控制。