ISO 27701是什么？
是ISO 27001和 ISO 27002的扩展内容，对建立、实施、维护和持续改进隐私信息管理系统（PIMS）的各项要求做出了规定，是首部针对隐私信息管理的国际标准。该标准概述了适用于个人可识别信息控制者和处理者的框架，以降低侵犯个人隐私权的各种风险。
先看一下风险评估，ISO27001 要求风险评估，则ISO27701也是在开展了信息安全风险评估的基础上开展隐私影响评估。风险评估是风险管理的一个重要过程。风险管理国际标准ISO 31000定义风险评估的过程包括：风险识别、风险分析及风险评价。可以查阅《信息技术安全技术信息安全风险管理》查看基于信息资产的风险评估方法，也可以参考本公众号《信息安全管理体系建设思路》中介绍过的其他信息安全风险评估的方法，有兴趣可查看。

再看隐私影响评估，隐私影响评估较ISO27001提到的信息安全风险评估已不单单是识别导致PII CIA丧失的相关安全风险，还包括处理PII处理过程中存在的合规风险（ PII主体合法权益是否遭到损害的各种风险）。

隐私影响评估与信息安全风险评估可以同时开展或分别进行。

可参考的标准：《信息安全技术个人信息安全影响评估指南》、《信息技术安全技术隐私影响评估指南》

可以使用工具进行辅助，据小伙伴分享，目前已经有部分厂商提供相应检测产品以及服务，有需要的可以采购起来；产品原型可能是基于：《信息安全技术个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南 》、《移动互联网应用程序（App）系统权限申请使用指南》、《App违法违规收集使用个人信息行为认定方法》等标准

我司也已经开源了一版DPIA系统，基于GDPR要求，识别隐私风险的过程工具，势在把技术、流程、人有效整合，详见本公众号《猎豹移动DPIA系统开源》，目前结合ISO27701要求，第二版本在研发优化中，敬请等待。

最后介绍下我司此次隐私影响评估的具体做法，因工具在开发中，主要靠表格工具实施，分别开展了隐私政策评估与PII处理生命周期过程的合规评估。其中PII处理生命周期过程的合规评估以应用的功能为维度，梳理识别各应用中各功能（包括不限于基本功能、附加功能）分别收集的PII信息以及获取权限的合规与安全情况，包括收集信息是否公开透明，目的是否合理明确、收集是否经过授权同意、最少够用等，存储、使用、传输是否具有相应安全措施，是否符合相应地区的法律要求及合同要求等等。