ISO27701:2025

ISO/IEC 27701:2025 標準核心資訊

• 發布日期：2025 年 10 月

• 版本地位：第二版，取代 ISO/IEC 27701:2019

• 最大變革：正式成為獨立標準 (Standalone Standard)。

  • 舊版 (2019)：是 ISO/IEC 27001 的「擴充標準」，必須先有 ISO 27001 才能做 ISO 27701。

新版 (2025)：組織可以單獨申請 ISO 27701 驗證，不再強制綁定 ISO 27001（雖仍強烈建議整合） 

ISO/IEC 27701:2025 標準架構

新版採用了 ISO 管理系統的高階結構 (Harmonized Structure, HS/HLS)，因此條款 4-10 的標題與 ISO 27001:2022 完全一致，但內容專注於隱私 (Privacy)。 

• 正文條款 (Clauses 4-10)

•  附錄控制措施 (Annexes) 

新版將控制措施重新編排，使其更清晰：

• • Annex A (規範性 Normative)：PII 控制者與處理者的控制目標與措施

    • 這是查核表的核心。新版將控制措施分為三類：

      1. PII Controllers (控制者) 專用控制措施

      2. PII Processors (處理者) 專用控制措施 

      3. Joint/Common (共同) 控制措施 

  • Annex B (規範性 Normative)：實作指引

    • 針對 Annex A 的每一項控制措施提供具體的實作建議（Guidance）。

  • Annex C, D, E... (參考性 Informative)：

    • 提供與 GDPR、ISO 29100、ISO 27018 等其他標準的對照表 (Mapping)。

2025 年版 vs 2019 年版：3 大關鍵差異

如果您熟悉舊版，只需關注以下變化：

1. 脫鉤 ISO 27001 (Standalone)：

   • 文件不再稱自己為 "Extension to ISO 27001"。

   • 這意味著如果您只有隱私需求（例如純粹的資料處理公司），可以只導入 ISO 27701（雖然實務上結合資安仍是最佳解）。

2. 控制措施重組 (Restructured Controls)：

   • 舊版將資安控制 (基於 ISO 27002:2013) 和隱私控制混在一起。

   • 新版配合 ISO/IEC 27002:2022 的新架構進行了調整，並刪減了與隱私無直接關係的純資安控制，使清單更精簡聚焦。

3. 強化風險管理 (Risk Management)：

   • 更明確要求將「對個人的隱私風險」與「對組織的資安風險」分開或是並行評估，不再含糊帶過。