ISO/IEC 27701隱私信息管理體系認證

ISO/IEC27701隱私信息管理體系標準作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準，其目標是通過新增的要求來增強現有信息安全管理體系（ISMS）,以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標準概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風險。

需要更多信息？

我們最快2小時內聯系您

手機號碼電子郵箱

*自動注冊會員，在線查看咨詢進度

立即咨詢

我已閱讀并同意隱私政策

發送成功

您的咨詢信息已收到，我們將盡快與您聯系！

用戶賬號：{{ form.phone || form.email }}

已為您注冊SGS在線商城會員
可使用賬號快捷登陸

到“我的咨詢”查看咨詢進度

{{countdownTime}}秒后自動跳轉

掃碼關注SGS官方微信公眾號，回復“0”贏驚喜禮品！

關閉

ISO/IEC27701隱私信息管理體系標準

作為隱私保護和個人信息管理的ISO國際標準

業務背景

隨著信息技術的不斷發展，人們對信息安全的關注日益提升，全球多個國家和地區相繼出臺了一系列隱私保護的法律法規，例如歐盟的GDPR，中國的網絡安全法，以及香港的個人隱私條例等，當前幾乎所有的組織都有處理個人信息 (PII) 的情況。

面對愈加嚴格的監管趨勢和眾多且復雜的法律法規, 企業如何有效的管理和保護用戶個人信息及隱私？
個人隱私安全管理體系國際標準。

ISO/IEC27001作為國際上公認的信息安全管理體系標準，在隱私保護方面提供了部分所需的信息安全控制措施，但如何從PII控制者和PII處理者二者不同的角度來實現和滿足不同國家和地區的隱私保護法律法規的要求，并沒有提供足夠的操作指引。

因此，新標準ISO/IEC27701隱私信息管理體系應勢而生。助力企業為GDPR合規展現、保護用戶隱私和個人信息合規管理提供了更多相關要求和指南。

標準概述

ISO/IEC 27701是一項國際標準，規定了建立、實施、維護和持續改進隱私信息管理體系（PIMS）的要求。它還為支持組織將這些要求付諸實踐提供了指導。該標準專為處理PII負有責任的個人身份信息（PII）控制者和處理者而制定。

2019年8月6日，國際標準化組織ISO和國際電工委員會IEC正式對外發布ISO/IEC27701隱私信息管理體系標準。這標志著信息安全、隱私與個人信息保護，在國際間法律與法規的合規展現有了一致性的標準。

2025年10月14日，國際標準化組織ISO和國際電工委員會IEC發布了第二版隱私信息管理體系標準，既ISO/IEC 27701:2025。

ISO/IEC27701作為ISO/IEC27001與ISO/IEC27002在管理上的延伸標準，其目標是通過新增的要求來增強現有信息安全管理體（ISMS）,以便建立、實施、維護和不斷改進隱私信息管理體系（PIMS），標準概述了適用于個人身份信息（PII）控制者和PII處理者的框架，用于隱私控制管理，以降低對個人隱私的各種風險。

（PS: 歐盟GDPR主責機構，前身為Article 29 Working Party的European Data Protection Board (EDPB)，于ISO/IEC27701的發展過程中積極參與，并提供歐盟個人信息保護的相關建議，如ISO/IEC27701與GDPR的條文對應。包含SC27眾會員國與EDPB，JTC1/SC27在各方達成合意后，公告了ISO/IEC27701，這也是為什么國際間認為ISO/IEC27701目前為GDPR合規展現的優秀方案之一。）

ISO/IEC 27701:2025標準包括了正文和附錄部分，正文采取了ISO標準的高階架構，其中：

第1至第3章：主要是適用范圍、參考標準和名詞定義的說明，ISO/IEC27701適用于任何類型的組織，包括政府、事業單位、金融、教育機構、企業及非營利組織。

第4章組織環境：包括確定組織與隱私管理相關的內外部問題、相關方的需求和期望、管理體系范圍等。

第5章領導作用：包括最高管理者在隱私管理方面的支持與承諾、隱私方針、隱私管理相關的角色、職責與權限等。

第6章策劃：包括應對組織方面的風險和機遇以及應對措施，隱私風險評估和處置，建立適用性聲明，隱私管理的目標以及管理體系變更的策劃等。

第7章：包括資源、能力、意識、溝通和文件化信息的要求等。

第8章：包括體系運行策劃與控制、實施隱私風險評估與處置等。

第9章：包括監視測量分析和評價，組織內部審核、管理評審等。

第10章：包括持續改進，不符合項和糾正措施等。

附錄A-F：

附錄 A	（規范性）個人信息控制者與處理者的隱私信息管理體系（PIMS）參考控制目標與控制措施，其中： A.1 控制者要求 A.2 處理者要求 A.3 控制者和處理者通用要求
附錄 B	（規范性）個人信息控制者與處理者的實施指南
附錄 C	（資料性）與 ISO/IEC 29100 的對照關系
附錄 D	（資料性）與《通用數據保護條例》的對照關系
附錄 E	（資料性）與 ISO/IEC 27018 和 ISO/IEC 29151 的對照關系
附錄 F	（資料性）與 ISO/IEC 27701:2019 的對照關系

認證益處

1. 可以使用一個體系來管理來自不同國家和地區的多項隱私法規和政策的合規性；
2. 有助于組織向組織的最高管理層、合作伙伴、監管機構及其他相關方提供組織有關隱私法規工作的盡職管理證據；
3. 隱私信息管理體系認證能向客戶和合作伙伴傳遞信任。

ISO/IEC27701隱私信息管理體系標準作為隱私保護和個人信息管理的ISO國際標準。不僅帶來新增的特定隱私要求，以便有效整合現行ISO/IEC27001信息安全管理體系，未來更是針對隱私保護之特定領域 (PIMS-Specific)，以 ISO/IEC27001延伸認證的方式實施，信息安全管理將與隱私信息管理進行密切整合。

認證規則

CNLPQP_PIMS_01 隱私信息管理體系認證規則版本3

發布單位	發布日期	規則來源
通標標準技術服務有限公司	20251224	自行制定

適用范圍

ISO/IEC 27701 隱私信息管理體系認證。本規則適用于任何處理PII的組織申請ISO/IEC 27701 隱私信息管理體系認證。

認證依據

ISO/IEC 27701:2025 信息安全，網絡安全和隱私保護-隱私信息管理體系-要求和指南

發布單位	發布日期	實施日期
國際標準化組織ISO/國際電工委員會IEC	20251014	20251014

認證流程

步驟1 – SGS根據組織的規模及業務類型提供定制化的建議，在您簽署建議書后，審核即可開始。
步驟2 – SGS提供可選擇的針對準備情況與薄弱環節的“預審”服務。
步驟3 – 正式審核。第一階段——準備情況評估：對組織建立的文件化體系及其他重要體系進行評估，提出不符合項。
步驟4 – 第二階段：包括與工作人員面談、文件記錄的檢查以及對工作實踐的現場考察，提出審核發現。審核合格后會簽發證書。
步驟5 – 根據合同，每半年或一年對體系和整改計劃的實施進行監督審核。
步驟6 – 證書簽發滿3年期后，實施再認證審核。

如需獲得認證規則全文，請聯系：010-58352655 BA.China@sgs.com

查看SGS實施守則、認證標志使用管理規則等通用條款與條件，請點擊條款與條件

證書模板

我們的優勢

作為國際公認的檢驗、鑒定、測試和認證機構，SGS在IT信息安全領域解決方案范圍廣泛，致力于為各行業機構提供全方位管理提升服務，包括：ISO/IEC27701、ISO/IEC29151、ISO/IEC27001、ISO/IEC20000、 CSA STAR、ISO/IEC27017、ISO/IEC27018、ISO22301、GDPR等培訓、認證和審核相關服務。