随着数据大模型的迭代、智能应用全面普及,AI技术重塑了数据的生产与流转方式。对于企业而言,AI时代的核心竞争力,早已不止技术迭代速度,更在于可控、合规、可信的数据隐私管理能力。强化隐私安全管理,既是遵守《个人信息保护法》等法规的要求,也是防范运营风险、提升市场竞争力的关键举措。
在此行业节点,全新升级的ISO 27701:2025为企业构建起完善的全球隐私信息管理体系的框架,成为AI时代企业合规经营、建立用户信任的重要支撑。
ISO 27701:2025为何重要?
新版标准有哪些变化?
SGS作为国际公认的测试、检验和认证机构,基于对标准变化的精准洞察,组织专家团队精心编制了深度解读报告。
1、标题
ISO/IEC 27701:2025重新命名为:信息安全,网络安全和隐私保护-隐私信息管理体系-要求和指南。标题更改反映了ISO/IEC 27701:2025与ISO/IEC 27001和ISO/IEC 27002没有扩展关系。
2、结构和要求
ISO/IEC 27701:2025被重新起草为独立文件。它应用了ISO开发的高阶结构,以提高与其他ISO管理体系标准的一致性,例如ISO 9001、ISO/IEC 20000-1、ISO/IEC 27001、ISO/IEC 42001等。
因此,一个组织不需要获得ISO/IEC 27001认证作为获得ISO/IEC 27701认证的条件。
ISO/IEC 27701:2025第4至10章规定了隐私信息管理体系(PIMS)的要求。一个组织声称符合要求时,不允许有任何排除。
在ISO/IEC 27701:2019中,只有第5条包含PIMS要求;第6至8条是组织可以选择的实施指南。
本报告末尾的表1包括ISO/IEC 27701:2025和ISO/IEC 27701:2019的条款对比。
3、个人信息(PII)安全
尽管ISO/IEC 27701:2025不再是ISO/IEC 27001的扩展,但新版中并没有放弃PII的安全性。
根据条款6.1.2(隐私风险评估)和6.1.3(隐私风险处理),组织需要识别“在隐私信息管理体系内与隐私保护相关的隐私风险和信息安全风险”,随后通过识别和记录采用适当安全控制措施实施的信息安全计划来处理风险。
在第6.1.3条中,建议在信息安全计划中解决15个安全要素,包括信息安全风险管理和14个安全域。ISO/IEC 27001和ISO/IEC 27002在第 6.1.3 条注释 2 中引用。
在ISO/IEC 27701:2025附录A中,列出了针对PII控制者和PII处理者的29类可能的信息安全控制措施。
4、附录 A和B
......
如需获取完整版白皮书,请联系我们或扫描下方二维码添加客服领取,
SGS体系认证官方联系方式:
24小时热线:400 060 7750
座机:010 5835 2655
手机号:18513733697
邮箱:Emma.bai@sgs.com
在数字信任的赛道上,SGS始终深耕不辍,数字信任从来不是企业的“单个战略重点”,而是关乎整个数字生态的“共同命题”。
依托SGS数字信任服务体系,我们搭建了覆盖全球的服务框架,助力客户在数字生态的每一个层级,都能实现信任的构建、验证与长效维系,让创新更有底气。
我们的服务围绕四大核心板块展开——互联产品与科技、数字服务与基础设施、数据与人工智能、组织与人员,全面覆盖数字信任全场景,为不同行业提供定制化解决方案。
关于SGS
SGS是国际公认的测试、检验和认证机构,被誉为可持续发展、质量和诚信的基准。SGS管理与保证事业部在数字信任(Digital Trust)领域深耕多年,为诸多知名企业提供信息安全、隐私安全管理等技术支持,致力于为各行业机构提供全方位管理提升服务,为企业信创保驾护航,如:ISO/IEC 42001、ISO/IEC 27001、ISO/IEC 27701、ISO/IEC 20000、ISO/IEC 27017、ISO/IEC 27018、ISO 22301、CSA STAR、TISAX、ISO/SAE 21434等产品培训和认证服务。
16th Floor, Block A, No.73 Fucheng Road, Century Yuhui Mansion,
北京, Haidian District, 中国大陆