簡介
ISO 組織於2025/10/14正式發布ISO 27701:2025標準,規範建立、實施、維護和持續改進隱私資訊管理系統 (PIMS)的要求,提供指導,支持組織將這些要求付諸實踐,本標準專為個人識別資訊 (PII) 控制者和處理者而設計,針對處理 PII 負有責任和義務組織,其優點如下
- 加強資料隱私和保護能力
- 幫助證明遵守全球隱私法規,例如 GDPR
- 支持與合作夥伴、客戶和監管機構建立信任
- 與現有的 ISO/IEC 27001 系統保持一致,以簡化實施及運
- 促進問責制和基於證據的隱私管理
改版差異
ISO 27701:2025 最大的變革是成為一個獨立的標準,不再是ISO 27001和ISO 27002的延伸,組織不再需要先取得ISO 27001認證才能實施或認證。
ISO 27701:2019:
- 必須先建置ISO 27001資訊安全管理系統(ISMS)
- PIMS(隱私資訊管理系統)的範圍必須與ISMS範圍相同或在其內
- 組織必須先通過ISO 27001認證才能申請ISO 27701認證
ISO 27701:2025:
- 組織可以獨立實施PIMS,無需先投資建置完整的ISMS
- 降低了中小企業採用的門檻和成本
- 簡化了資料隱私認證的流程
- 讓各種規模的企業都能取得資料隱私認證
主條文差異如下
| 章節 | ISO 27701:2019 | ISO 27701:2025 |
|---|---|---|
| 4 全景 | 範圍是ISMS的延伸 | 獨立定義範圍,將PII主體是別為利害關係人 |
| 5 領導 | 領導力繼承自ISMS | 獨立隱私政策及治理,確保承諾 |
| 6 規劃 | 風險評估是ISMS的延伸 | 進行獨立的隱私風險評估,整合資訊安全設定隱私目標 |
| 7 支援 | 與ISMS共享支援 | 為PIMS分配專門的資源、能力和文件化資訊 |
| 8 運作 | 運作控制是現有ISMS流程的延伸 | 規劃和控制PIMS特定的運作流程和風險處理 |
| 9 績效評估 | 績效評估整合到ISMS的審查週期中 | 進行專門的PIMS內部稽核和管理審查 |
| 10 改善 | 改善藉由ISMS的流程執行 | 管理PIMS不符合事項並實施矯正措施以持續改進 |
導入實務
| 27001(已導入)27701(已導入)轉版 | 27001(已導入)27701(未導入)轉版 | 27001(未導入)27701(未導入) |
|---|---|---|
| 差異分析 | 整合研析 | 全景分析 |
| 教育訓練 | 教育訓練 | 教育訓練 |
| 風險評鑑 | 整合文件 | 個資盤點 |
| 適用性聲明 | 個資盤點 | 風險分析 |
| 控制措施 | 風險分析 | 適用性聲明 |
| 內部稽核 | 適用性聲明 | 資安計畫 |
| 管理審查 | PDCA | 建立文件 |
| 第三方驗證 | 第三方驗證 | PDCA |
| 持續改善 | 持續改善 | 第三方驗證 |
| 持續改善 | ||
本公司顧問特別整理ISO 27701相關資訊,欲知詳情細節請盡速聯絡本公司,將有專人為您服務!
咨安資訊-ISO27701轉版簡介.pdf