通过PIMS的扩展以及与隐私相关的控制来增强现有的信息安全管理体系(ISMS)，简化复杂的重叠隐私法的管理，创建一个以证据为基础的隐私计划，并通过公认的认证形式表明该计划的合规性■◆■，并作为潜在的GDPR合规性的基础。现在发布的ISO27701认证标准还实现了其他一些目的。一方面★◆◆，它充当PIMS与ISMS或ISO27001之间关系和连接的概述■★■★★■。它还详述了所需的功能，并列出了PIMS数据处理器和控制器的隐私控制。在更大范围内■◆★★◆，ISO27701认证将信息隐私要求映射到相关的ISO标准和GDPR。

　　ISO/IEC27701该标准为企业和其他组织提供了一个国际通用的隐私信息管理工具★★★，对于降低企业隐私合规难度，便利企业提供合规证明■★，增强社会各方对企业的信任程度具有重要意义。实施隐私信息管理，至少获得如下收益■◆■:

　　无论组织的规模大小◆★■，是PII的控制者还是处理者，企业都应考虑为自己的组织或向供应商要求获得ISO27701认证。对于处理敏感或大量P1I的处理器★★◆，子处理器和联合控制器尤其如此。上海擎标信息技术服务有限公司于2019年10月为上海医药临床研究中心获得全球第二张ISO27701隐私信息管理体系认证证书，更有众多大型企业案例■★，是企业实施隐私信息安全管理的不二之选。

　　3)PIMS认证可以传递信任★■★★◆■。客户或合作伙伴，尤其是政府组织、金融机构作为承担隐私风险的机构，通常会要求PII处理者提供相关证据(如PIA分析报告)，从而证明PII处理者的产品能符合适用的隐私管理体系要求■◆◆。通过得到授权的第三方机构对PII处理者进行基于国际标准的审核★◆◆★■■，可以极大地降低合规沟通成本★■◆，这种合规透明度的提高对于组织战略和业务决策至关重要，同时PIMS认证也有助于向公众传达组织的可信度。

　　1)对现有ISMS进行符合ISO27701认证要求的差距评估，并就如何解决这些差距制定行动计划。

　　美国已有多个州先在数据安全与隐私保护进行了立法★◆，其中最著名的要数2018年6月加州通过《加州消费者隐私法案》（ 《California Consumer Privacy Act》■◆◆★★■, 简称《CCPA》）。该法案被称为美国◆◆◆★■“最严厉和最全面的个人隐私保护法案”，将于2020年1月1日生效。

　　2)对组织收集的PII进行数据映射，以了解收集的II的范围以及如何使用和与处理器共享。

　　我国于2017年6月1日正式实施《中华人民共和国网络安全法》（通常简称《网安法》）。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律，包含的内容十分丰富，一共包括7章79条■◆■◆◆，包含网络运行安全、关键信息基础设施的运行安全■◆■★◆★、网络信息安全等内容★★■。值得关注的是，《网安法》在数据（包括个人信息）安全与保护上也有诸多规定，例如第四十至四十五条。ISO标准委员会以ISO27001为基准，以ISO27552为蓝本，建立了ISO27701标准。

　　欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》■◆◆■◆◆,简称《GDPR》)◆■，是一项保护欧盟公民个人隐私和数据的法律◆◆◆★，其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

　　为了应对越来越多的个人数据泄露或滥用的情况，国际范围迎来了隐私保护立法和建立标准热潮★★■◆。

　　1)合规■★■◆。通过明确对PII处理者的隐私保护要求，可以明确隐私保护管理合规目标，减轻组织合规负担的同时降低组织合规风险◆★◆，ISO27701标准附录D中明确表示◆■◆★★★，单个隐私控制点可以满足GDPR中的多项要求。满足了ISO27701标准也就意味着基本满足GDPR的要求，而GDPR是众多隐私保护法规中最为严格的，也就意味着满足了即将颁布的《隐私保护法》的系列要求■◆■。

　　要求供应商代表他们处理和维护PII的客户应考虑合同规定这些供应商不仅要遵守ISO27001.而且要符合IS027701，或者在适用于数据敏感性的情况下获得ISO27701标准的认证。即使客户不要求供应商通过独立的第三方认证也符合新标准ISO27701认证★■★◆◆■，他们仍可能希望更新合同以确保供应商可以符合ISO27701认证的要求■■★◆■。由于ISO27701认证仍然非常对于新合同■■★◆，卖方应遵守本新标准的规定合理的时间延迟，以便将其包括在这些合同中■★★◆■■。

　　3)根据与组织环境相关的内部或外部因素(例如适用的隐私法规，法规■★◆◆★，司法决定或合同要求)确定组织作为控制者和/或处理者的角色。

　　ISO/IEC27701标准的发布，填补了目前隐私信息管理体系的空白，将隐私保护的原则◆■、理念和方法，融入到信息安全保护体系中，并且对PII控制者和PII处理者进行了较为详细且落地性强的规定，给企业在隐私保护和信息安全方面给出了指导建议。

　　已通过ISO27001认证并希望实施ISO27701要求的组织应考虑采取以下步骤:

　　一、隐私保护的重要性被不断强调，ISO/IEC27701标准也随之出台威胁重重，数据滥用、数据窃取★■、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下，全球各个国家纷纷颁布相关法律法规，对数据安全与隐私保护相关问题进行严格的规范与引导。

　　2)完善数据安全能力和风险管理■■◆。实现持续的完善产品的非功能性要求■■◆，进而展示出产品在处理个人隐私安全、安全治理的绩效★◆★★，通过流程分析，在流程的输入、输出◆■★■★、控制过程中■■★■，识别、分析、验证隐私保护需求★★◆★■◆、传递隐私保护价值，减少甚至消除隐私泄露的风险，如◆◆★■★★:体现为采用隐私控制技术(如日志脱敏、数据库加密)、产品架构(如加密芯片)★■■◆★■、技术路径(如完整性校验)等。

　　在世界各地■★◆★，立法者和监管者都在引入新的法律来规范数据的使用，尤其是PII。最近，GDPR的出现使许多企业(包括客户和供应商)争相达成合规性■★◆◆■◆。不断变化的法律环境给所有企业带来了挑战，尤其是必须遵守多个司法管辖区法规的企业■■■■。新的ISO27701认证标准不会尝试单独和本地处理每项新法律，而是提供一种统一的方式来决定◆◆■◆■，计划◆◆，实施和记录组织在全球范围内的数据隐私方法。