ISO/IEC 27701 改版 – 隱私資訊管理系統

國際標準化組織（ISO）與國際電工委員會（IEC）於 2025 年 10 月 14 日發布了修訂後的、獨立版本的隱私資訊管理系統標準 ISO/IEC 27701。此 2025 版本取代了 2019 版本。

組織在處理資料保護的複雜性上面臨越來越多挑戰，從個資控制到降低外洩風險，再到確保符合不斷演變的國內與國際法規。更新後的 ISO/IEC 27701 標準將協助公司管理並改善其隱私資訊管理。

ISO/IEC 27701:2019 的更新

新版 ISO/IEC 27701 導入了多項重要的改善內容，以因應不斷演變的資料隱私與安全環境。主要變更包括：

• ISO/IEC 27701 現已成為一項獨立標準，旨在進一步強化全球組織的隱私資訊管理系統（PIMS），而非作為 ISO/IEC 27001 的延伸
• 新版標準的要求與實施指導由原先的 ISO/IEC 27701:2019 以及 ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 的既有要素組成
• 新標準的結構設計可與其他既有的管理系統，如 ISO 9001、ISO/IEC 27001 以及 ISO/IEC 42001 整合
• 標準現在包含對個人可識別資訊（PII）控制者與處理者更全面的隱私控制措施，確保更好地與 GDPR 等全球隱私法規保持一致。
• 提供更完善的指導，以協助組織建立並維護穩健的 PIMS
• 在前一版本的基礎上，透過新增針對隱私的控制措施，持續對 ISO/IEC 27001 進行延伸與擴充

轉換規則與時程

ISO 標準的轉換期一般最長 3 年，各認證機構將著手制定已取得驗證之公司的轉換時程。由於 ISO/IEC 27701 現已成為獨立標準，IAF 制定轉換規則所需時間較長。一旦有更多資訊，我們將立即在此發布更新。

實施準備

目前，我們正在等待 IAF 公布轉換時程。因此，建議在相關文件進一步明確前，暫不進行具體的轉換準備。

之後，我們建議盡早開始規劃轉換，並妥善安排，將必要的變更納入您的管理系統中。

建議的轉換步驟：

• 儘快熟悉新標準的內容與要求，考慮到轉換期限可能僅有 2 年。重點關注修訂標準所帶來的變更

• 確保組織內相關人員接受訓練並了解主要要求與關鍵變更

• 鑑別需補強的差距，以符合新要求，並制定實施計畫

• 執行必要行動並更新您的管理系統，以符合新要求

我們如何提供支持

一旦您開始準備轉換至新版 ISO/IEC 27701，DNV 可以在過程中提供以下支持：

• 提供訓練課程，協助了解新版內容與關鍵變更及轉換流程

• 提供線上自我評估工具與 onsite/off-site 差距分析，評估您的管理系統與新要求的符合程度

• 進行轉換稽核，協助您的驗證與新版標準接軌。

我們可以在每個步驟中支持您。