什么是ISO27701体系认证？ISO27701证书如何获得？

ISO 27701 体系认证即隐私信息管理体系认证，全称为《安全技术 — 扩展 ISO 27001 和 ISO 27002 的隐私信息管理 — 要求与指南》。它是对 ISO 27001 信息安全管理体系和 ISO 27002 安全控制的隐私扩展，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

1. 准备阶段：企业需确保已建立 ISO 27001 信息安全管理体系，若尚未获得该认证，则需先进行申请。制定隐私信息管理体系的方针、流程和措施，可聘请专业咨询公司或内部组建隐私合规团队，梳理隐私管理现状并进行差距分析。

2. 体系文件编写：准备符合 ISO 27701 要求的体系文件，如隐私信息管理政策、风险评估报告、数据处理记录、隐私影响评估（PIA）、数据泄露应对计划等。

3. 内审与改进：正式申请认证前，企业应进行内部审计，确保体系文件和操作流程符合标准要求，对发现的不符合项及时整改并复查。

4. 正式申请认证：联系有资质的第三方认证机构提交认证申请，认证机构根据提交材料预审并安排现场审核，审核分两个阶段，第一阶段检查文件是否符合要求，第二阶段实地审查实际操作情况。

5. 整改与再审核：审核中若发现不符合项，企业需在规定时间内整改并提交整改报告，认证机构可能会进行二次审核。

6. 获得认证：企业顺利通过审核后，认证机构将颁发 ISO 27701 认证证书，获证后需定期内部审计，证书到期前进行续审以维持有效性。