ISO 27701 隱私資訊管理

關於 ISO/IEC 27701 隱私資訊管理

ISO/IEC 27701 隱私資訊管理為 ISO/IEC 27001 資訊安全管理系統和 ISO/IEC 27002 資訊安全控制措施的擴展，是 ISO 國際標準組織於 2019 年發布之 PIMS 國際標準。

ISO/IEC 27701 為保護個人隱私資訊提供指引，藉由補充額外的管控要求，以建立、實施、維護和持續改善在 ISMS 範圍內的隱私資訊管理（Privacy Information Management），降低隱私資訊所面臨的風險。

ISO/IEC 27701 對組織的益處：

為個人資訊管理建立信任
為利害關係者之間提供透明度
促成有效的商業協議
更明確的角色管理和職責
在 ISO/IEC 27001 範圍內實施隱私保護

誰適用 ISO/IEC 27701

PII 控制者（包括 PII 的協同控制者）
PII 處理者（包括使用外包商的 PII 處理者）
在隱私保護範圍內已實施完整 ISMS

標準相輔相成，從 ISMS 資訊安全到 PIMS 個資保護

為維護組織及個人使用者資訊安全，國內外皆陸續制修訂一系列資訊安全或個資保護相關標準，如：國際標準 ISO/IEC 27000 系列標準、BS 10012、ISO 29100...等，這些標準之間相輔相成，其關聯如下，從中參考各項標準要點，進而建立適合組織情況的 PIMS 個資管理系統。

	版本年份	主要目的	特色

ISO/IEC 27001	前身為 1995 年發布之 BS 7799 2005 首次發布 2013 改版 ( 現行版本 )	全球第一個資訊安全管理國際標準建置符合組織需求的資訊安全控制措施，達成一定水準的資安防護能力	全球第一個資訊安全管理國際標準建置符合組織需求的資訊安全控制措施，達成一定水準的資安防護能力

ISO/IEC 27701	2019 首次發布	擴充 ISO/IEC 27001 與 ISO/IEC 27002 下的隱私保護要求和控制措施透過增項要求強化 ISO/IEC 27001，以利建置、實施、維護與持續改善 PIMS	著重隱私保護的控制措施 • 定義管理流程並提供持續發展的基礎上保護PII (個人識別資訊) 的實務指南同時整合ISO 27001、ISO 27002、ISO 29100之實務作法是目前相關標準中最新公布的版本，亦與趨勢議題有高度接軌

BS 10012	2009 首次發布 2017 改版 ( 與 GDPR 接軌，現行版本 )	全球第一個個人資訊管理國際標準 2017 年版修訂目的是調和歐盟於 2016 年公布「GDPR 一般資料保護規範」，BS 10012:2017 率先成為全球最佳 PIMS 實務參考	採用 PDCA 結構，為現行國際間運行最為成熟的 PIMS 實務管理框架之一已有多數國內組織採用且運行多年，實務上亦與台灣個資法、歐盟 GDPR 進行調和，作法相對成熟穩健與我國個資法同為基於 OECD、APEC 及多國資料保護法最佳實務所制定

ISO 29100	2011 首次發布 2018 小幅改版 ( 與GDPR 接軌，同時與 ISO 29134:2017 隱私衝擊評估標準定義整合 )	協助組織定義、辨識並保護其資通訊系統中的個人資訊隱私安全	具體說明在資訊科技運用上如何建立管理控制要求，以符合個人資料保護法的相關規範，讓組織能設計必要的控制點以符合個人資料保護法律及產業優良實務的遵循