ISO/IEC 27701 隱私資訊管理系統
ISO/IEC 27701 是一項國際標準,它明確規定了建立、實施、維護和持續改善「隱私資訊管理系統」( PIMS ) 的完整要求。
ISO/IEC 27701:2025 隱私資訊管理系統
(Privacy information management systems, PIMS)
什麼是 ISO/IEC 27701:2025?
ISO/IEC 27701 是一項國際標準,它明確規定了建立、實施、維護和持續改善「隱私資訊管理系統」( PIMS ) 的完整要求。
核心目的是為組織(無論規模大小)提供一個清晰、可被稽核驗證的框架,用以:
- 系統性地管理因處理「個人可識別資訊」( PII ) 所產生的隱私風險。
- 履行對 PII 當事人的隱私保護義務。
為何需要 ISO/IEC 27701:2025?
獨立、強大、全球適用:定義當前隱私管理的黃金標準
在當今這個幾乎所有組織都在處理個人可識別資訊 ( PII ) 的時代,隱私保護不僅是社會需求,更是嚴格的法律義務。隨著全球隱私資訊法規(如我國的個人資料保護法、歐盟的 GDPR、美國加州的CCPA)日益嚴格,組織極需一個強大且可驗證的框架來管理其隱私風險。
本標準適用於誰?
ISO/IEC 27701:2025 適用於全球所有類型和規模的組織,只要有處理 PII,本標準就與你相關:
- PII 控制者 (PII Controllers):
決定 PII 處理目的和方式的組織(例如,企業、雇主、醫療機構)。 - PII 處理者 (PII Processors):
代表 PII 控制者處理 PII 的組織(例如,雲端服務供應商、行銷外包商)。 - 聯合 PII 控制者 (Joint PII Controllers):
共同決定處理目的和方式的組織。
核心概念
重大變革:ISO/IEC 27701:2025 — 完整的獨立標準
與 2019 年版作為 ISO 27001 的「擴展」不同,ISO/IEC 27701:2025 現在是一個完整的、獨立的管理系統標準。
這意味著什麼?
- 更大的靈活性:
組織現在可以獨立實施 ISO 27701,或選擇將其與 ISO/IEC 27001(資訊安全管理系統)及其他管理系統整合。 - 更清晰的架構:
採用 ISO 管理系統的高階架構(High-Level Structure, HLS),共 10 個章節,使 PIMS 的導入與維護更加系統化。
ISO 27701 條文架構與大綱
| 前言 | 正式宣告了 2025 年版的最重大變革:本文件已被重新起草為一個「獨立的管理系統標準」(stand-alone management system standard)。 | |
| 0. 簡介 | 說明 PIMS 的核心價值與架構。 | 0.1 概述 0.2 與其他管理系統標準的相容性 |
| 1. 範圍 | 說明標準的適用範圍。 | |
| 2. 引用標準 | 列出與本標準相關的其他標準和文件。 | |
| 3. 術語、定義與縮寫 | 提供在標準中使用的關鍵術語和其定義。 | |
| 4. 組織背景 | 要求組織理解其PIMS相關之內外部議題,以及利害關係人的需求與期望,確定PIMS的範圍。也要確認組織是作為 PII 控制者還是 PII 處理者。 | 4.1 了解組織及其背景 4.2 了解利害關係人的需求和期望 4.3 確定隱私資訊管理系統的範圍 4.4 隱私資訊管理系統 |
| 5. 領導力 | 強調高階管理階層在PIMS中的角色,包括制定政策、確保資源和明確職責。 | 5.1 領導力與承諾 5.2 隱私政策 5.3 角色、責任和權限 |
| 6. 規劃 | 要求組織規劃PIMS評鑑與處理機會和風險的流程、設定目標並制定實現目標的計劃。 | 6.1 應對風險和機會的措施 6.1.1 一般要求 6.1.2 隱私風險評鑑 6.1.3 隱私風險處理 6.2 隱私目標及其實現的規劃 6.3 變更的規劃 |
| 7. 支援 | 涵蓋資源管理、能力建設、意識培養、溝通以及文件化資訊的控制。 | 7.1 資源 7.2 能力 7.3 認知 7.4 溝通 7.5 文件化資訊 7.5.1 一般要求 7.5.2 建立和更新文件化資訊 7.5.3 文件化資訊的管制 |
| 8. 營運 | 描述為實現PIMS要求所需的運作策劃和控制,包括風險評鑑所決定的控制措施。 | 8.1 營運規劃與管制 8.2 隱私風險評鑑 8.3 隱私風險處理 |
| 9. 績效評估 | 要求組織監督、測量、分析和評估 PIMS的績效,並進行內部稽核和管理審查。 | 9.1 監督、量測、分析與評估 9.2 內部稽核 9.2.1 一般要求 9.2.2 內部稽核計畫 9.3 管理階層審查 9.3.1 一般要求 9.3.2 管理階層審查輸入 9.3.3 管理階層審查結果 |
| 10. 改善 | 確保PIMS能持續改善,核心要求是建立不符合和矯正措施的流程。 | 10.1 持續改善 10.2 不符合性與矯正措施 |
| 11. 關於附錄的進一步資訊 | 作為附錄的導覽頁 | |
| 附錄A:PII 控制者與 PII 處理者的 PIMS 參考控制目標與控制措施 | 這是 PIMS 的核心控制措施清單,也是 適用性聲明(Statement of Applicability, SoA)的基礎。 | A.1 PII 控制者的控制目標與控制措施 A.2 PII 處理者的控制目標與控制措施 A.3 PII 控制者與 PII 處理者的控制目標與控制措施 |
| 附錄B:PII 控制者與 PII 處理者的實施指引 | 附錄A的「操作手冊」,針對每一項控制措施,都提供了詳細的實施指引。 | B.1 PII 控制者的實施指引 B.2 PII 處理者的實施指引 B.3 PII 控制者與 PII 處理者的實施指引 |
| 附錄C:與 ISO/IEC 29100 的對應關係 | 展示 PIMS 的要求如何對應 ISO 29100 的 11 項核心隱私原則。 | C.1 PII 控制者的控制措施與 ISO/IEC 29100 之對照 C.2 PII 處理者的控制措施與 ISO/IEC 29100 之對照 |
| 附錄D:與 GDPR 的對應關係 | 提供了 PIMS 控制措施與 GDPR 法條的詳細映射,是證明法遵的關鍵工具。 | D.1 ISO/IEC 27701 與 GDPR 條款之對照 |
| 附錄E:與 ISO/IEC 27018 及 ISO/IEC 29151 的對應關係 | 展示 PIMS 如何對應其他既有的ISO隱私標準 | E.1 ISO/IEC 27701 與 ISO/IEC 27018 及 ISO/IEC 29151 之對照 |
| 附錄F:與 ISO/IEC 27701:2019 的對應關係 | 可做為轉版指南,用來進行差異分析以完成升級。 | F.1 ISO/IEC 27701:2025 控制措施與 ISO/IEC 27701:2019 控制措施之對照 F.2 ISO/IEC 27701:2019 控制措施與 ISO/IEC 27701:2025 控制措施之對照 |
核心優勢與效益
- 系統化管理法遵要求:
ISO 27701 提供一個框架,系統性地識別所有利害關係人的要求,其中即可能包含如我國的個人資料保護法、歐盟的GDPR、美國加州的CCPA等複雜的法律規範。 - 系統化的隱私風險管理:
透過「隱私風險評鑑」與「隱私風險處理」,可以系統性地識別、分析和處理 PII 當事人及組織面臨的風險。 - 整合隱私與資安:
雖然是獨立標準,但其設計與 ISO/IEC 27001 相容。附錄 A.3 和 B.3 提供了處理 PII 的特定資訊安全控制措施,確保隱私保護建立在堅實的資安基礎之上。 - 贏得商業信任與合作:
向客戶、合作夥伴和主管機關證明對隱私保護的承諾。PIMS 驗證可簡化 PII 處理相關的商業協議,是贏得 B2B 合約的關鍵。
成功導入 ISO 27701之前,要了解什麼事?
- 選擇實施路徑:選擇獨立實施 ISO 27701,或者將它與申請 ISO/IEC 27701 隱私資訊管理系統標準 交給領導力企管或其他管理系統進行整合 。
- 釐清法律角色:必須釐清組織在處理 PII 時扮演的角色,因為這會決定組織的責任與適用的控制措施。確認自己是:
- PII 控制者 (PII Controllers):決定 PII 處理目的和方式的組織 。
- PII 處理者 (PII Processors):代表 PII 控制者處理 PII 的組織 。
- 識別法律規範:識別適用於組織的隱私資訊法規。
ISO 9001:2015 交給領導力企管
領導力企管擁有深厚的管理系統輔導經驗,提供 ISO/IEC 27701:2025 最佳解決方案。協助釐清 PII 控制者 (Controller) 或處理者 (Processor) 的角色,並提供條文教育訓練(Training)、建置(Implementing)、 驗證(Certification)、維護(Maintaining)4大服務流程,協助建立隱私資訊管理系統。最終產出符合規定的程序書、紀錄等相關文件,順利通過第三方驗證機構認證,取得符合國際公信力的 ISO/IEC 27701:2025 證書。 歡迎立即與我們聯繫。