2025年9月,ISO/IEC 27701隐私信息管理体系(PIMS)新版标准将正式发布。此次新版标准已升级为独立的管理体系,不再作为ISO/IEC 27001的扩展标准,且采用了 ISO 管理体系高阶架构(High level structure),从而与ISO 9001、ISO/IEC 20000-1、ISO/IEC 27001、ISO/IEC 42001等其他国际标准化组织管理体系标准保持一致。
新版标准包含A-F共6个附录,具体内容如下:
附录编号 | 核心内容 | |
Annex A | normative | PIMS 对个人信息控制者(PII controllers)与处理者(PII processors)的参考控制目标及控制措施 |
Annex B | normative | 针对个人信息控制者与处理者的实施指南 |
Annex C | informative | 与ISO/IEC 29100标准的关系 |
Annex D | informative | 与《通用数据保护条例》(GDPR)的关系 |
Annex E | informative | 与ISO/IEC 27018、ISO/IEC 29151 标准的关系 |
Annex F | informative | 与 ISO/IEC 27701:2019 版标准的对应关系 |
简化合规流程
新版独立框架消除了对ISO/IEC 27001的依赖,使标准采用更为简便。这意味着实施国际认可的隐私信息管理体系(PIMS)的所有要求,现在都能在单一文件中找到。
更强大的隐私保护
修订后的标准强化了个人身份信息(PII)的治理与安全,助力机构建立信任与问责机制。
与全球法规接轨
标准更新确保您的隐私框架能够符合不断发展的国际标准与法律要求。
认证独立性
ISO/IEC 27701作为一个独立的标准,可以独立认证,不再需要以 ISO/IEC 27001认证为基础,因此,在认证时相比较于现有的2019版标准而言,相对没有那么复杂。
未认证企业行动建议
对于计划将要获取ISO/IEC 27701隐私管理体系认证的企业而言,可以开始着手规划,例如:进行隐私管理相关的培训、梳理个人信息处理流程及相关控制措施、拟定数据处理协议等,争取第一时间获取最新版本的认证。
已认证企业行动建议
对于已有ISO/IEC 27701认证的企业, 则有一个转换期,待转换规则发布之后按照转换规则进行新标准的转换。
ISO/IEC 27701是对国际标准ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的数据隐私扩展。它是一项国际隐私管理系统标准体系,从组织治理、法律合规、流程规范、信息技术、监督审核等多维度提供一套全面的个人数据处理方法和隐私信息管理框架,支持企业强化隐私信息管理体系,并协助证明企业遵守世界各地隐私法规。
专业为全国企事业单位提供国家标准、行业标准、地方标准、团体标准的立项起草。