新版ISO 27701標準已於2025-10-14發布,正式成為可獨立實施和驗證的隱私資訊管理系統標準,新版標準採用了調和結構 (Harmonized Structure),包括建立管理體系的本文4~10章,內容架構採用相同標題和文字,方便組織和其他標準進行整合。
在新版標準的附錄A,則針對「PII控制者 (A.1)」和「PII處理者 (A.2)」兩個角色,說明它的控制目標和控制措施。另外,也新增了兩個角色在資安方面需考量的控制措施 (A.3),並且在附錄B提供了控制措施實作的參考指引,以下列舉新版標準主要的調整和變動。
管理體系的調整
- 原本文5.2~5.8調整為4~10,建立完整的高階管理架構,讓組織更容易和其他標準對齊。
- 原本文6~8調整為新版的附錄B實作指引。
- 原舊版中的附錄A和B,在新版中調整為A.1和A.2,並新增A.3 資安控制措施 (A.3.3~A.3.31)。
控制措施的調整
- 原附錄A.7.2~A.7.5針對「PII控制者」的控制措施,新版調整為附錄A.1.2~A.1.5,包括四個控制領域:蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私及預設保護隱私,以及PII 共享、傳輸及揭露,一共有31個控制措施。
- 原附錄B.8.2~B.8.5針對「PII處理者」的控制措施,新版調整為附錄A.2.2~A.2.5,包括四個控制領域:蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私,以及預設保護隱私及PII 共享、傳輸及揭露,一共有18個控制措施。
- 取消原條款6 ISO 27002 資安控制措施指引,新增附錄A.3「PII控制者和PII處理者的安全事項」,挑選了包括A.3.3~A.3.31共29個資訊安全控制措施,同時也提供了附錄B.3 「PII控制者和PII處理者的實作指引」作為參考。
轉版規劃與準備
目前各家驗證公司還沒有發布轉版的時程 (個人預估最晚在2026 Q3),但對於已持有舊版證書,準備要進行轉版的組織而言,可以先透過以下步驟進行規劃與準備:
1. 進行差異分析:可對照舊版和新版的要求事項,評估目前的差異,包括本文新增的條款6.3變更之規劃、條款6.1.3要求建立資訊安全計畫 (information security programme),以及附錄A.3的29個資安控制措施。
2. 制訂轉版計畫:包括資源的準備,轉版工作的職責分配,本文4~10章管理體系各項流程實施完成時間的安排。
3. 實施新版要求:修訂管理制度文件,實作隱私控制措施,包括隱私風險評鑑和隱私風險處理、更新適用性聲明 (對應新版條款) 及隱私目標規劃與量測等,並且完成內部稽核和管理審查。
4. 申請轉版驗證:跟驗證公司確認轉版稽核時間,安排受稽人員和場地設施,以便順利取得新版證書。
.png)
沒有留言:
張貼留言