Wat beteken losstaande sertifisering?
Die 2025-uitgawe van ISO 27701 is 'n volledige, selfstandige bestuurstelselstandaard. Anders as die 2019-uitgawe, wat 'n uitbreiding van ISO 27001 was en slegs daarmee saam gesertifiseer kon word, sluit ISO 27701:2025 sy eie volledige stel bestuurstelselvereistes in. Klausules 4 tot 10.
Dit beteken dat organisasies nou ISO 27701:2025-sertifisering op eie meriete kan behaal, sonder om eers ISO 27001 te implementeer of daarteen te sertifiseer. Dit is een van die belangrikste veranderinge in die 2025-uitgawe en verander fundamenteel wie by die standaard kan baat.
Waarom is hierdie verandering aangebring?
Die 2019-uitgawe het vereis dat organisasies eers ISO 27001 (inligtingsekuriteit) implementeer voordat hulle ISO 27701 (privaatheid) daarby voeg. Hoewel dit sin gemaak het vir organisasies wat reeds inligtingsekuriteit bestuur, het dit 'n beduidende hindernis geskep vir:
- Organisasies wat privaatheidsertifisering benodig het, maar geen onmiddellike behoefte aan 'n volledige ISMS gehad het nie
- Kleiner organisasies waar die gekombineerde koste en moeite van twee standaarde onbetaalbaar was
- Privaatheid-eerste maatskappye wie se primêre bekommernis dit was om voldoening aan databeskerming te demonstreer
- Organisasies in sektore waar privaatheidsregulering die hoofdryfveer is (gesondheidsorg, onderwys, menslikehulpbrondienste)
Deur ISO 27701:2025 alleenstaande te maak, word die standaard toeganklik vir 'n veel breër reeks organisasies wat effektiewe privaatheidsbestuur wil demonstreer deur middel van 'n internasionaal erkende sertifisering.
Wie baat by losstaande sertifisering?
Alleenstaande sertifisering is veral waardevol vir:
- Privaatheidsgerigte opstartondernemings — Maatskappye gebou rondom dataverwerkingsdienste wat betroubaarheid aan kliënte moet demonstreer
- KMO's met beperkte hulpbronne — Organisasies wat privaatheidsertifisering wil hê sonder die oorhoofse koste van 'n volledige inligtingsekuriteitsbestuurstelsel
- Dataverwerkers — Wolkdiensverskaffers, SaaS-maatskappye en uitkontrakteringsdienste wat moet demonstreer BBP voldoening aan hul kliënte
- Gereguleerde nywerhede — Gesondheidsorgverskaffers, finansiëledienstefirmas en opvoedkundige instellings waar privaatheid die primêre regulatoriese bekommernis is
- Organisasies met bestaande sekuriteitsraamwerke — Maatskappye wat SOC 2, NIST of ander sekuriteitsraamwerke gebruik wat 'n toegewyde privaatheidsertifisering wil hê
Organisasies wat reeds ISO 27001 het, kan steeds beide stelsels integreer. Die standaarde is ontwerp om saam te werk, en 'n gekombineerde benadering bied omvattende inligtingsekuriteit en privaatheidsbestuur.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Wat behels die sertifiseringsproses?
Die sertifiseringsproses vir ISO 27701:2025 volg die standaard ISO-bestuurstelsel-sertifiseringsbenadering:
Jou Verklaring van Toepaslikheid sal verwys na die Tabel A.1 beheerderkontroles, Tabel A.2 verwerkerkontroles en Tabel A.3 gedeelde sekuriteitskontroles.
| Stadium | Wat gebeur | Tipiese duur |
|---|---|---|
| Voorbereiding | Implementeer die PIMS: vestig konteks, assesseer risiko's, implementeer beheermaatreëls, skep dokumentasie | 3 te 12 maande |
| Fase 1 oudit | Sertifiseringsliggaam hersien dokumentasie en gereedheid. Identifiseer enige areas wat aandag benodig voor Fase 2. | 1 om 2 dae |
| Fase 2 oudit | Assessering van PIMS-implementering en -doeltreffendheid op die perseel (of op afstand). Ouditeure ondervra personeel, hersien bewyse en toets beheermaatreëls. | 2 om 5 dae |
| Sertifiseringsbesluit | Sertifiseringsliggaam hersien ouditbevindinge en besluit of die sertifikaat uitgereik moet word | 2 om 4 weke |
| Toesig oudits | Jaarlikse oudits om te verifieer dat die PIMS steeds aan vereistes voldoen | 1 tot 2 dae per jaar |
| recertification | Volledige herassessering aan die einde van die driejaar-sertifiseringsiklus | 2 om 4 dae |
Hoe vergelyk dit met die 2019-benadering?
| Aspek | Die ISO 27701: 2019 | Die ISO 27701: 2025 |
|---|---|---|
| voorvereiste | ISO 27001-sertifisering vereis | Geen voorvereiste, losstaande sertifisering beskikbaar |
| Bestuurstelselklousules | Aangevulde ISO 27001-klousules 4 tot 10 | Bevat sy eie volledige klousules 4 tot 10 |
| Risikobepaling | Uitgebreide ISO 27001 inligtingsekuriteitsrisikoproses | Toegewyde privaatheidsrisiko-assesseringsproses |
| Verklaring van toepaslikheid | Het die ISO 27001 SoA uitgebrei | Selfstandige SoA wat ISO 27701 dek Aanhangsel A beheer |
| Sertifisering omvang | Altyd gekombineer met ISO 27001 | Alleenstaande of gekombineerde, organisasie se keuse |
| Ouditpoging | Bykomende ouditdae bo en behalwe ISO 27001 | Kan 'n enkele, gefokusde privaatheidsoudit wees |
Wat is die oorgangstydlyn?
Organisasies wat tans gesertifiseer is volgens ISO 27701:2019 moet oorskakel na die 2025-uitgawe teen Oktober 2028Belangrike datums:
- nou — ISO 27701:2025 is gepubliseer en sertifiseringsliggame berei hul akkreditasie voor
- 2025 2026 om — Sertifiseringsliggame begin ISO 27701:2025-sertifiseringsoudits aanbied
- Oktober 2028 — Alle ISO 27701:2019-sertifikate verval. Organisasies moet oorgeskakel het na die 2025-uitgawe.
Vir organisasies wat nuut is met ISO 27701, is daar geen oorgangsvereiste nie. U moet die 2025-uitgawe direk implementeer. Vir gedetailleerde oorgangsriglyne, sien ons oorgangsgids.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Kan jy steeds ISO 27701 met ISO 27001 kombineer?
Absoluut. Alhoewel losstaande sertifisering nou beskikbaar is, kan organisasies wat ISO 27001 besit of nastreef, steeds die twee standaarde integreer. Trouens, daar is sterk voordele daaraan verbonde:
- Gedeelde bestuurstelsel — Baie Klousule 4 tot 10 vereistes oorvleuel, wat duplisering van pogings verminder
- Geïntegreerde risikobestuur — Beoordeel inligtingsekuriteits- en privaatheidsrisiko's deur 'n enkele, gekoördineerde proses
- Gekombineerde oudits — Verminder ouditmoegheid deur toesig- en hersertifiseringsoudits te kombineer
- Omvattende dekking — Spreek beide inligtingsekuriteit en privaatheid in 'n enkele raamwerk aan, wat aantreklik is vir kliënte en reguleerders
Die keuse tussen alleenstaande en geïntegreerde sertifisering hang af van u organisasie se behoeftes, bestaande sertifisering en kliëntverwagtinge.
Hoekom kies ISMS.aanlyn vir ISO 27701:2025-sertifisering?
ISMS.aanlyn is doelgerig gebou om jou pad na sertifisering te versnel:
Belangrike kontroles om voor te berei sluit in A.1.2.6 Impakassessering vir privaatheid en A.1.2.9 Rekords van Verwerking.
- Voorafgekonfigureerde PIMS-raamwerk — Begin met 'n volledige ISO 27701:2025-struktuur, insluitend alle klousules en Aanhangsel A-kontroles, gereed om aan te pas
- Verklaring van Toepaslikheid-bouer — Genereer en onderhou u SoA met regverdigings, implementeringsstatus en bewysskakels
- Risiko bestuur — Geïntegreerde privaatheidsrisikoregister met assesserings- en behandelingswerkvloeie in lyn met die standaard
- Ouditgereedheid — Gesentraliseerde bewysinsameling, dokumentbestuur en ouditroete sodat u altyd gereed is vir sertifisering
- Kundige leiding — Ingeboude riglyne vir elke klousule en kontrole, wat jou span help om te verstaan wat vereis word sonder eksterne konsultasie
Vrae & Antwoorde
Moet ek ISO 27001 laat vaar om 'n losstaande ISO 27701-sertifisering te kry?
Nee. Onafhanklike sertifisering beteken dat ISO 27001 nie meer 'n voorvereiste is nie, nie dat jy nie albei kan besit nie. As jy reeds ISO 27001 het, kan jy dit behou en ISO 27701:2025 byvoeg as 'n onafhanklike of geïntegreerde sertifisering. Die onafhanklike opsie gee organisasies eenvoudig die buigsaamheid om teen ISO 27701 te sertifiseer sonder ISO 27001 indien dit beter by hul behoeftes pas.
Word losstaande sertifisering deur GDPR-toesighoudende owerhede erken?
ISO 27701-sertifisering (hetsy alleenstaande of geïntegreerd) is nie 'n amptelike GDPR-sertifiseringsmeganisme kragtens Artikel 42 nie. Dit word egter wyd erken deur toesighoudende owerhede en die bedryf as sterk bewys van effektiewe privaatheidsbestuur. Baie organisasies gebruik ISO 27701-sertifisering om aanspreeklikheid kragtens Artikel 5(2) te demonstreer en om te voldoen aan kliënte-omsigtigheidsvereistes vir dataverwerkingsooreenkomste kragtens Artikel 28.
Hoe lank neem dit om 'n selfstandige ISO 27701-sertifisering te behaal?
Vir 'n goed voorbereide organisasie neem die implementeringsfase tipies 3 tot 6 maande vir kleiner organisasies en 6 tot 12 maande vir groter of meer komplekse organisasies. Die ouditproses voeg 4 tot 8 weke by. Deur 'n platform soos ISMS.aanlyn kan die implementeringstydlyn aansienlik verminder deur voorafgeboude raamwerke, sjablone en leiding te verskaf wat die behoefte om van nuuts af te begin, uitskakel.
Vir 'n gedetailleerde koste-uiteensetting volgens organisasiegrootte, sien hoeveel kos ISO 27701:2025-sertifisering.
Ons ondersoek of die belegging in ons gids vrugte afwerp: Is ISO 27701:2025-sertifisering die moeite werd?.
Bekommerd oor bekostigbaarheid? Lees Is ISO 27701:2025 te duur vir KMO's? vir realistiese begrotings.
Nog steeds besig om te besluit? Ons gids dek of jy ISO 27701:2025-sertifisering benodig gebaseer op jou sektor en situasie.
