各国立法也非常关注隐私信息，如我国2021年11月1日实施《中华人民共和国个人信息保护法》，欧盟2018年5月25日实施《通用数据保护规范》（GDPR）等。隐私信息相关的安全标准被应用较广的有GB/T 35273-2020《信息安全技术 个人信息安全规范》、ISO/IEC 27701:2019《安全技术 扩展 ISO/IEC 27001 和 ISO/IEC 27002 的隐私信息管理要求与指南》、ISO/IEC 27018:2019《信息技术 安全技术 作为PII处理者的公共云中个人可识别信息（PII）保护实施规则》等。

目前，建立PIMS是很多组织已经采纳的解决方案，同时也取得了比较好的效果。隐私信息管理体系建立在信息安全管理体系（ISMS）（ISO/IEC 27001）基础之上，已经建立ISMS的组织需要在ISMS基础上进行完善，增加ISO/IEC 27018:2019等特定要求。没有建立ISMS的组织需要依据ISO/IEC 27001和ISO/IEC 27701建立ISMS和PIMS。

ISO/IEC 27018:2019中隐私信息管理的特定要求包括PII控制者控制措施和PII处理者控制措施。组织应该首先判断是哪个角色，根据判断结果实施相关的控制措施。

PII控制者控制措施和PII处理者控制措施均包括收集和处理条件、对 PII 主体的义务、PII流程和系统的设计、PII 共享传输和披露四个部分。

1、收集和处理条件部分关注隐私信息收集和处理是否合法，具有适用司法管辖区的法律依据，并具有明确定义和合法的目的。

2、对 PII 主体的义务部分关注向PII主体提供PII处理的适当信息，并履行对 PII 主体的任何与处理其 PII 相关的适用义务。

3、PII流程和系统的设计部分关注PII管理流程和系统的设计，使收集和处理（包括使用、披露、保留、传输和处置）仅限于为确定的目的所必需的。

4、PII 共享传输和披露部分关注是否共享PII、是否传输到其他司法管辖区或第三方，根据适用义务披露并记录。

 组织不仅需要建立隐私信息管理的流程，同时需要设计和改进相关系统以满足技术要求。组织宜及时建立隐私信息管理体系，并确保隐私信息管理措施的落地，才能有效的保障隐私信息的安全性，以满足合规及客户的安全要求，从而保障业务的连续性。