什麼是 ISO/IEC 27701:2025?
ISO/IEC 27701 是一項國際標準,它明確規定了建立、實施、維護和持續改善「隱私資訊管理系統」( PIMS ) 的完整要求。
核心目的是為組織(無論規模大小)提供一個清晰、可被稽核驗證的框架,用以:
-
系統性地管理因處理「個人可識別資訊」( PII ) 所產生的隱私風險。
-
履行對 PII 當事人的隱私保護義務。
為何需要 ISO/IEC 27701:2025?
獨立、強大、全球適用:定義當前隱私管理的黃金標準
在當今這個幾乎所有組織都在處理個人可識別資訊 ( PII ) 的時代,隱私保護不僅是社會需求,更是嚴格的法律義務。隨著全球隱私資訊法規(如我國的個人資料保護法、歐盟的 GDPR、美國加州的CCPA)日益嚴格,組織極需一個強大且可驗證的框架來管理其隱私風險。
本標準適用於誰?
ISO/IEC 27701:2025 適用於全球所有類型和規模的組織,只要有處理 PII,本標準就與你相關:
-
PII 控制者 (PII Controllers):
決定 PII 處理目的和方式的組織(例如,企業、雇主、醫療機構)。
-
PII 處理者 (PII Processors):
代表 PII 控制者處理 PII 的組織(例如,雲端服務供應商、行銷外包商)。
-
聯合 PII 控制者 (Joint PII Controllers):
共同決定處理目的和方式的組織。
核心概念
重大變革:ISO/IEC 27701:2025 — 完整的獨立標準
與 2019 年版作為 ISO 27001 的「擴展」不同,ISO/IEC 27701:2025 現在是一個完整的、獨立的管理系統標準。
這意味著什麼?
-
更大的靈活性:
組織現在可以獨立實施 ISO 27701,或選擇將其與 ISO/IEC 27001(資訊安全管理系統)及其他管理系統整合。
-
更清晰的架構:
採用 ISO 管理系統的高階架構(High-Level Structure, HLS),共 10 個章節,使 PIMS 的導入與維護更加系統化。
ISO 27701 條文架構與大綱
ISO/IEC 27701:2025 採用與其他管理系統標準一致的高階架構,以便於組織建立與整合,包含本文的 10 個章節以及附錄 A~F:
|
前言 |
正式宣告了 2025 年版的最重大變革:本文件已被重新起草為一個「獨立的管理系統標準」(stand-alone management system standard)。 |
|
|
0.簡介 |
說明 PIMS 的核心價值與架構。 |
0.1 概述 |
|
0.2 與其他管理系統標準的相容性 |
||
|
1. 範圍 |
說明標準的適用範圍。 |
|
|
2. 引用標準 |
列出與本標準相關的其他標準和文件。 |
|
|
3. 術語、定義與縮寫 |
提供在標準中使用的關鍵術語和其定義。 |
|
|
4. 組織背景 |
要求組織理解其PIMS相關之內外部議題,以及利害關係人的需求與期望,確定PIMS的範圍。也要確認組織是作為 PII 控制者還是 PII 處理者。 |
4.1 了解組織及其背景 |
|
4.2 了解利害關係人的需求和期望 |
||
|
4.3 確定隱私資訊管理系統的範圍 |
||
|
4.4 隱私資訊管理系統 |
||
|
5. 領導力 |
強調高階管理階層在PIMS中的角色,包括制定政策、確保資源和明確職責。 |
5.1 領導力與承諾 |
|
5.2 隱私政策 |
||
|
5.3 角色、責任和權限 |
||
|
6. 規劃 |
要求組織規劃PIMS評鑑與處理機會和風險的流程、設定目標並制定實現目標的計劃。 |
6.1 應對風險和機會的措施 |
|
6.1.1 一般要求 |
||
|
6.1.2 隱私風險評鑑 |
||
|
6.1.3 隱私風險處理 |
||
|
6.2 隱私目標及其實現的規劃 |
||
|
6.3 變更的規劃 |
||
|
7. 支援 |
涵蓋資源管理、能力建設、意識培養、溝通以及文件化資訊的控制。 |
7.1 資源 |
|
7.2 能力 |
||
|
7.3 認知 |
||
|
7.4 溝通 |
||
|
7.5 文件化資訊 |
||
|
7.5.1 一般要求 |
||
|
7.5.2 建立和更新文件化資訊 |
||
|
7.5.3 文件化資訊的管制 |
||
|
8. 營運 |
描述為實現PIMS要求所需的運作策劃和控制,包括風險評鑑所決定的控制措施。 |
8.1 營運規劃與管制 |
|
8.2 隱私風險評鑑 |
||
|
8.3 隱私風險處理 |
||
|
9. 績效評估 |
要求組織監督、測量、分析和評估 PIMS的績效,並進行內部稽核和管理審查。 |
9.1 監督、量測、分析與評估 |
|
9.2 內部稽核 |
||
|
9.2.1 一般要求 |
||
|
9.2.2 內部稽核計畫 |
||
|
9.3 管理階層審查 |
||
|
9.3.1 一般要求 |
||
|
9.3.2 管理階層審查輸入 |
||
|
9.3.3 管理階層審查結果 |
||
|
10. 改善 |
確保PIMS能持續改善,核心要求是建立不符合和矯正措施的流程。 |
10.1 持續改善 |
|
10.2 不符合性與矯正措施 |
||
|
11. 關於附錄的進一步資訊 |
作為附錄的導覽頁 |
|
|
附錄A:PII 控制者與 PII 處理者的 PIMS 參考控制目標與控制措施 |
這是 PIMS 的核心控制措施清單,也是 適用性聲明(Statement of Applicability, SoA)的基礎。 |
A.1 PII 控制者的控制目標與控制措施 |
|
A.2 PII 處理者的控制目標與控制措施 |
||
|
A.3 PII 控制者與 PII 處理者的控制目標與控制措施 |
||
|
附錄B:PII 控制者與 PII 處理者的實施指引 |
附錄A的「操作手冊」,針對每一項控制措施,都提供了詳細的實施指引。 |
B.1 PII 控制者的實施指引 |
|
B.2 PII 處理者的實施指引 |
||
|
B.3 PII 控制者與 PII 處理者的實施指引 |
||
|
附錄C:與 ISO/IEC 29100 的對應關係 |
展示 PIMS 的要求如何對應 ISO 29100 的 11 項核心隱私原則。 |
C.1 PII 控制者的控制措施與 ISO/IEC 29100 之對照 |
|
C.2 PII 處理者的控制措施與 ISO/IEC 29100 之對照 |
||
|
附錄D:與 GDPR 的對應關係 |
提供了 PIMS 控制措施與 GDPR 法條的詳細映射,是證明法遵的關鍵工具。 |
D.1 ISO/IEC 27701 與 GDPR 條款之對照 |
|
附錄E:與 ISO/IEC 27018 及 ISO/IEC 29151 的對應關係 |
展示 PIMS 如何對應其他既有的ISO隱私標準 |
E.1 ISO/IEC 27701 與 ISO/IEC 27018 及 ISO/IEC 29151 之對照 |
|
附錄F:與 ISO/IEC 27701:2019 的對應關係 |
可做為轉版指南,用來進行差異分析以完成升級。 |
F.1 ISO/IEC 27701:2025 控制措施與 ISO/IEC 27701:2019 控制措施之對照 |
|
F.2 ISO/IEC 27701:2019 控制措施與 ISO/IEC 27701:2025 控制措施之對照 |
核心優勢與效益
-
系統化管理法遵要求:
ISO 27701 提供一個框架,系統性地識別所有利害關係人的要求,其中即可能包含如我國的個人資料保護法、歐盟的GDPR、美國加州的CCPA等複雜的法律規範。
-
系統化的隱私風險管理:
透過「隱私風險評鑑」與「隱私風險處理」,可以系統性地識別、分析和處理 PII 當事人及組織面臨的風險。
-
整合隱私與資安:
雖然是獨立標準,但其設計與 ISO/IEC 27001 相容。附錄 A.3 和 B.3 提供了處理 PII 的特定資訊安全控制措施,確保隱私保護建立在堅實的資安基礎之上。
-
贏得商業信任與合作:
向客戶、合作夥伴和主管機關證明對隱私保護的承諾。PIMS 驗證可簡化 PII 處理相關的商業協議,是贏得 B2B 合約的關鍵。
成功導入 ISO 27701之前,要了解什麼事?
-
選擇實施路徑:選擇獨立實施 ISO 27701,或者將它與 ISO 27001(資訊安全)或其他管理系統進行整合 。
-
釐清法律角色:必須釐清組織在處理 PII 時扮演的角色,因為這會決定組織的責任與適用的控制措施。確認自己是:
-
PII 控制者 (PII Controllers):決定 PII 處理目的和方式的組織 。
-
PII 處理者 (PII Processors):代表 PII 控制者處理 PII 的組織 。
-
-
識別法律規範:識別適用於組織的隱私資訊法規。
申請 ISO/IEC 27701 隱私資訊管理系統標準 交給領導力企管
領導力企管擁有深厚的管理系統輔導經驗,提供 ISO/IEC 27701:2025 最佳解決方案。協助釐清 PII 控制者 (Controller) 或處理者 (Processor) 的角色,並提供條文教育訓練(Training)、建置(Implementing)、 驗證(Certification)、維護(Maintaining)4大服務流程,協助建立隱私資訊管理系統。最終產出符合規定的程序書、紀錄等相關文件,順利通過第三方驗證機構認證,取得符合國際公信力的 ISO/IEC 27701:2025 證書。 歡迎立即與我們聯繫。