新版ISO/IEC 27701 标准已发布_本臻力行认证官网

当前位置：首页 > 新闻动态 > 行业新闻

0571-87351223

cs@benchmarks.cc

中国（浙江）自由贸易试验区杭州市滨江区浦沿街道滨康路795、797号2幢206室（自主申报）

微信客服

新版ISO/IEC 27701 标准已发布

文章来源：小编

时间:2026-01-20

尊敬的BMC隐私管理体系认证客户及相关方：

国际标准化组织（ISO）于2025年10月正式出版ISO/IEC 27701:2025（第二版），取代2019版。新版与ISO/IEC 27001:2022深度对齐，新增AI处理、跨境数据、隐私增强技术（PETs）等控制要求，并对隐私风险评估、数据主体响应时限、处理者审计权等条款作出重大修订。

值得注意的是，ISO/IEC 27701现已成为独立标准，组织可以将其作为独立的管理体系标准，而无需依赖于现有的信息安全管理体系。

一、2025 版主要变化（对比 2019 版）

维度	关键更新	客户需采取的行动
HLS 结构	现有体系是否重构为 “4-10 章” 高阶结构（组织环境→改进）	同步更新手册框架，必要时修订手册
结构对齐	全面与 ISO/IEC 27001:2022 Annex A 控制保持一致，新增 11 个控制域	同步更新 ISMS 控制矩阵，必要时修订适用性声明
隐私控制集	新增 5 类控制：AI 算法处理 PII、跨境数据转移、PETs、自动化数据主体权利响应、去标识化生命周期管理	制定或补充对应程序文件（PETs 选型指南、AI 隐私影响评估模板等）
双重风险评估	要求“ISMS 风险 + 隐私特定风险”并行评估，并输出联合风险处置计划	更新《风险评估方法》，增加隐私风险评分表
数据主体权利 SLA	明确 72 h 内响应访问、删除、可携权请求（如适用法规更低，以法规为准）	在服务等级协议（SLA）及客服系统中量化时限
处理者审计权	对下游处理者须保留“隐私能力审计权”，并在合同中约定	修订所有处理者协议，增加审计条款与合规证明要求
记录保存期	PII 处理活动记录 ≥ 3 年，或法规要求孰长	在《记录控制程序》中明确保存期限与销毁规则
认证范围描述	证书附件须列出“PII 类别-处理活动-司法管辖区”三维表	提前重新界定范围，准备新版范围声明文件
控制措施整合	Annex A 统一实施，替代旧版控制器和处理器双附录	同步修订隐私安全策略，必要时修订手册关联内容

二、组织行动建议

认证独立性

ISO/IEC 27701:2025 已脱离“必须叠加 ISO/IEC 27001”的限制，可单独取证；相较 2019 版，路径更短、门槛更低。

未获证组织行动清单

立即导入隐私管理体系

盘点个人信息流向与现有控制

提前起草/修订数据处理协议

抢在首批获得新版证书。

已获证企业须知

静待相应转换细则发布后，BMC将即时通知，按规则完成版本升级。