随着数据大模型的迭代、智能应用全面普及，AI技术重塑了数据的生产与流转方式。对于企业而言，AI时代的核心竞争力，早已不止技术迭代速度，更在于可控、合规、可信的数据隐私管理能力。强化隐私安全管理，既是遵守《个人信息保护法》等法规的要求，也是防范运营风险、提升市场竞争力的关键举措。

在此行业节点，全新升级的ISO 27701:2025为企业构建起完善的全球隐私信息管理体系的框架，成为AI时代企业合规经营、建立用户信任的重要支撑。

ISO 27701:2025为何重要？

新版标准有哪些变化？

SGS作为国际公认的测试、检验和认证机构，基于对标准变化的精准洞察，组织专家团队精心编制了深度解读报告。

1、标题

ISO/IEC 27701:2025重新命名为：信息安全，网络安全和隐私保护-隐私信息管理体系-要求和指南。标题更改反映了ISO/IEC 27701:2025与ISO/IEC 27001和ISO/IEC 27002没有扩展关系。

2、结构和要求

ISO/IEC 27701:2025被重新起草为独立文件。它应用了ISO开发的高阶结构，以提高与其他ISO管理体系标准的一致性，例如ISO 9001、ISO/IEC 20000-1、ISO/IEC 27001、ISO/IEC 42001等。

因此，一个组织不需要获得ISO/IEC 27001认证作为获得ISO/IEC 27701认证的条件。

ISO/IEC 27701:2025第4至10章规定了隐私信息管理体系（PIMS）的要求。一个组织声称符合要求时，不允许有任何排除。

在ISO/IEC 27701:2019中，只有第5条包含PIMS要求；第6至8条是组织可以选择的实施指南。

本报告末尾的表1包括ISO/IEC 27701:2025和ISO/IEC 27701:2019的条款对比。

3、个人信息(PII)安全

尽管ISO/IEC 27701:2025不再是ISO/IEC 27001的扩展，但新版中并没有放弃PII的安全性。

根据条款6.1.2（隐私风险评估）和6.1.3（隐私风险处理），组织需要识别“在隐私信息管理体系内与隐私保护相关的隐私风险和信息安全风险”，随后通过识别和记录采用适当安全控制措施实施的信息安全计划来处理风险。

在第6.1.3条中，建议在信息安全计划中解决15个安全要素，包括信息安全风险管理和14个安全域。ISO/IEC 27001和ISO/IEC 27002在第 6.1.3 条注释 2 中引用。

在ISO/IEC 27701:2025附录A中，列出了针对PII控制者和PII处理者的29类可能的信息安全控制措施。

4、附录 A和B

......

如需获取完整版白皮书，请联系我们或扫描下方二维码添加客服领取，

SGS体系认证官方联系方式：
24小时热线：400 060 7750
座机：010 5835 2655
手机号：18513733697
邮箱：Emma.bai@sgs.com