ISO/IEC 27701:2025隐私信息标准新版正式发布

2025年10月，隐私信息管理领域将迎来重大转折——ISO/IEC 27701:2025新版标准将正式发布，从依附于ISO/IEC 27001的“延伸指南与标准”升级为独立的隐私信息管理体系（PIMS）标准。这意味着隐私管理，正从一项技术合规指南，跃升为企业管理的标准要求。
新版 ISO/IEC 27701 作为独立标准发布，旨在助力企业全面提升隐私信息管理能力。
备受期待的隐私信息管理体系标准 ISO/IEC 27701 新版已正式发布。国际标准化组织（ISO）和国际电工委员会（IEC）于 2025 年 10 月 14 日联合宣布新版标准已获批发布。
本次版本最重大的变革在于，ISO/IEC 27701 现已成为独立标准，旨在为全球组织的隐私信息管理体系（PIMS）提供更强大的支撑。这意味着企业可以将其作为独立的可认证管理体系标准，专门针对隐私风险与控制措施进行认证，而无需依附于既有的信息安全管理体系。这一变化使得更广泛类型的组织都能更容易地采用该标准。
需要说明的是，新版标准的要求和实施指南整合了先前 ISO/IEC 27701:2019、ISO/IEC 27001:2022 和 ISO/IEC 27002:2022 标准的既有要素。新标准的结构设计使其能够与 ISO 9001（质量）、ISO/IEC 27001（信息安全）及 ISO/IEC 42001（人工智能）等现有管理体系无缝集成，确保各类规模、类型和复杂程度的组织都能灵活适配。
该标准建立在ISO/IEC 27001要求的基础之上，在隐私方面提供了必要的额外要求。规定了建立、实施、维护和持续改进隐私相关所特定的信息安全管理体系的要求。换句话说，就是保护个人信息的管理体系（以下简称PIMS）。ISO/IEC 27701标准的正文由8个条款组成，其中：
条款1-4，给出了标准范围、术语、定义等
条款5给出了ISO 27001相关的PIMS要求
条款6给出了ISO 27002相关的PIMS指南
条款7给出了针对PII控制者的ISO 27002扩展指南
条款8给出了针对PII处理者的ISO 27002扩展指南
附录A，针对PII控制者的PIMS特定的控制目标和控制措施
附录B，针对PII处理者的PIMS特定的控制目标和控制措施
附录C，与ISO/IEC 29100的对应
附录D，与GDPR的对应
附录E，与ISO/IEC 27018和ISO/IEC 29151的对应
附录F，如何在ISO/IEC 27001和ISO/IEC 27002的基础上实施ISO/IEC 27701
ISO 27701的前身为ISO/IEC 27552，由ISO/IEC技术委员会ISO/IEC JTC1/SC 27,  Information security, cybersecurity and privacy protection第五工作组开发，该工作组由来自世界各地的数据保护机构、安全机构、学术界和工业界的专家组成。
几乎每个组织都处理个人身份信息(PII)，保护PII不仅是法律要求，也是社会需要。随着与隐私和数据保护相关的投诉和罚款数量的增加，对这一标准的需求现在是显而易见的。法国保护个人资料独立监察机构国家资讯及自由委员会的Matthieu Grall是SC 27的积极参与者，并对该标准的发展作出了贡献。他说，随着越来越严格的数据保护要求和法律，我们看到了对这一标准的强烈需求。此外，组织需要给他们的监管机构、合作伙伴、客户和雇员带来信任。这样的标准将有力地促进这种信任。