Waarom is ISO 27701 hersien?
ISO 27701:2019 is gepubliseer as 'n uitbreiding van ISO 27001 en ISO 27002, wat privaatheidspesifieke vereistes en beheermaatreëls bo-op 'n bestaande inligtingsekuriteitsbestuurstelsel bygevoeg het. Hoewel hierdie benadering meriete gehad het, het dit praktiese probleme geskep: organisasies het ISO 27001-sertifisering nodig gehad voordat hulle teen ISO 27701 kon sertifiseer, privaatheidsbeheermaatreëls was oor verskeie klousules versprei, en die struktuur het nie netjies ooreengestem met hoe organisasies privaatheid in die praktyk bestuur nie.
Die 2025-hersiening spreek al hierdie kwessies aan. ISO 27701:2025 is 'n selfstandige bestuurstelsel standaard met sy eie volledige stel vereistes in Klousules 4 tot 10, 'n herontwerpte Aanhangsel A wat 78 duidelik gekategoriseerde privaatheidskontroles bevat, en nuwe karteringsaanhangsels wat die standaard verbind met BBP, ISO 29100 en sy 2019-voorganger. Vir 'n volledige oorsig van wat verander het, sien ons gids tot wat is nuut in ISO 27701:2025.
Hoe het die struktuur verander?
Die mees fundamentele verandering is dat ISO 27701:2025 nie meer 'n uitbreidingsstandaard is nie. Dit is 'n volledige, selfstandige privaatheidsinligtingbestuurstelsel (PIMS) standaard.
| Aspek | Die ISO 27701: 2019 | Die ISO 27701: 2025 |
|---|---|---|
| Standaard tipe | Uitbreiding na ISO 27001/ISO 27002 | Standaard vir onafhanklike bestuurstelsels |
| voorvereiste | ISO 27001-sertifisering vereis | Geen voorvereiste nie; losstaande sertifisering moontlik |
| Bestuurstelselklousules | Aangevulde ISO 27001-klousules 4 tot 10 | Bevat sy eie volledige klousules 4 tot 10 |
| Privaatheidsbeheerligging | Klausules 7 (beheerder) en 8 (verwerker) met ingebedde beheermaatreëls | Aanhangsel A met drie tabelle: A.1 Beheerder, A.2 Verwerker, A.3 Gedeel |
| Implementering leiding | Afgewissel met normatiewe kontroles | Geskei in Aanhangsel B (normatief) |
| Risikobepaling | Uitgebreide ISO 27001 inligtingsekuriteitsrisikoproses | Toegewyde privaatheidsrisiko-assessering in Klousule 6 |
| Verklaring van toepaslikheid | Het die ISO 27001 SoA uitgebrei | Selfstandige SoA wat Aanhangsel A-kontroles dek |
| Klimaatverandering | Nie aangespreek nie | Ingesluit in Klousules 4.1 en 4.2 konteksoorwegings |
| sertifisering | Altyd gekombineer met ISO 27001 | Alleenstaande of gekombineerde, organisasie se keuse |
Hierdie strukturele verandering beteken dat organisasies wat privaatheidsertifisering nastreef, nie meer eers 'n volledige inligtingsekuriteitsbestuurstelsel hoef te implementeer nie. Vir besonderhede oor wat losstaande sertifisering behels, sien ons losstaande sertifiseringsgids.
Klousules 4 tot 10: vereistes vir 'n losstaande bestuurstelsel
In die 2019-uitgawe het klousules 5 tot 8 die ooreenstemmende ISO 27001-klousules aangevul. Die 2025-uitgawe bevat volledig selfstandige klousules:
- Klousule 4 (Konteks) — Stel die omvang van die PIMS onafhanklik vas, insluitend die nuwe vereiste om die relevansie van klimaatsverandering in ag te neem
- Klousule 5 (Leierskap) — Definieer topbestuursverantwoordelikhede vir privaatheid, insluitend 'n privaatheidsbeleid en die toewysing van rolle
- Klousule 6 (Beplanning) — Stel 'n toegewyde privaatheidsrisikobepaling- en -behandelingsproses bekend, apart van inligtingsekuriteitsrisikobestuur
- Klousule 7 (Ondersteuning) — Dek hulpbronne, bevoegdheid, bewustheid, kommunikasie en gedokumenteerde inligting vir die PIMS
- Klousule 8 (Operasie) — Operasionele beplanning en beheer van privaatheidsprosesse
- Klousule 9 (Prestasie-evaluering) — Monitering, meting, interne oudit en bestuursoorsig van die PIMS
- Klousule 10 (Verbetering) — Bestuur van nie-ooreenstemming, korrektiewe aksie en voortdurende verbetering
Dit beteken dat 'n organisasie 'n volledige Privaatheidsinligtingbestuurstelsel kan bou en sertifiseer sonder om hoegenaamd na ISO 27001 te verwys. Vir 'n gedetailleerde uiteensetting, sien ons ISO 27701:2025 vereistesgids.
Hoe is die Aanhangsel A-beheerstruktuur herorganiseer?
Die 2019-uitgawe het privaatheidskontroles in Klousules 7 en 8 ingebed, wat normatiewe vereistes met implementeringsriglyne gemeng het. Dit het dit moeilik gemaak om te onderskei wat verpligtend was van wat adviserend was, en het die skep van 'n Verklaring van Toepaslikheid bemoeilik.
ISO 27701:2025 volg 'n heeltemal ander benadering. Alle privaatheidskontroles is nou ingestel. Aanhangsel A, georganiseer in drie duidelike tabelle:
| Tabel | Omvang | Aantal kontroles | Is van toepassing op |
|---|---|---|---|
| Tabel A.1 | PII-beheerderkontroles | 31 | Organisasies wat as databeheerders optree |
| Tabel A.2 | PII-verwerkerkontroles | 18 | Organisasies wat as dataverwerkers optree |
| Tabel A.3 | Gedeelde kontroles | 29 | Alle organisasies ongeag rol |
Implementeringsriglyne is na Aanhangsel B verskuif, wat normatief is en 'moet'-taal gebruik om implementeringsaanbevelings te verskaf. Hierdie skeiding maak dit makliker om die standaard te oudit en duideliker vir organisasies om te implementeer, want jy kan presies sien watter kontroles verpligtend is en watter riglyne dit ondersteun.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Wat het geword van die 150+ kontroles van die 2019-uitgawe?
Die 2019-uitgawe het beheermaatreëls bevat wat versprei is oor Klousules 6, 7 en 8 (ongeveer 49 privaatheidspesifieke beheermaatreëls in Klousules 7 en 8, plus meer as 90 PII-verwante sekuriteitsubklousules in Klousule 6), waarvan baie uitbreidings op ISO 27002-beheermaatreëls was. Die 2025-uitgawe het 78 beheermaatreëls in Aanhangsel A. Dit verteenwoordig nie 'n vermindering in omvang nie. In plaas daarvan is die beheermaatreëls gekonsolideer, herstruktureer en in baie gevalle gekombineer waar daar oorvleueling was.
Belangrike veranderinge in die beheerlandskap:
- konsolidasie — Verwante beheermaatreëls wat in 2019 oor verskeie klousules versprei was, is in 2025 in enkele, omvattende beheermaatreëls saamgevoeg.
- Duideliker kategorisering — Kontroles word nou eksplisiet aan beheerder, verwerker of gedeelde kategorieë toegeken, wat dubbelsinnigheid uitskakel.
- Duplikasie verwyder — Die 2019-uitgawe het kontroles bevat wat ISO 27002-vereistes gedupliseer het. Die 2025-uitgawe het sy eie toegewyde kontrolestel, wat onnodige oorvleueling verwyder.
- Nuwe kontroles — Sommige gebiede het nuwe of aansienlik uitgebreide beheermaatreëls verkry, veral rondom outomatiese besluitneming (A.1.3.11 Geoutomatiseerde besluitneming), de-identifikasie en anonimisering (A.1.4.6 De-identifikasie en Verwydering), en veilige ontwikkelingspraktyke (A.3.27 Veilige ontwikkelingslewensiklus)
Vir 'n gedetailleerde kartering tussen die 2019- en 2025-kontrolestelle, sluit ISO 27701:2025 in Bylae F, wat 'n volledige korrespondensietabel verskaf wat wys hoe elke 2019-kontrole ooreenstem met sy 2025-ekwivalent.
Watter nuwe bylaes is bygevoeg?
Die 2025-uitgawe stel opgedateerde karteringsaanhangsels en een heeltemal nuwe aanhangsel (Aanhangsel F) bekend, tesame met die herstruktureerde Aanhangsel A en Aanhangsel B:
| Aanhangsel | Titel | Tipe | Doel |
|---|---|---|---|
| A | Beheer oor privaatheid | normatiewe | 78 verpligte kontroles in 3 tabelle (beheerder, verwerker, gedeel) |
| B | Implementering leiding | normatiewe | Gedetailleerde riglyne vir die implementering van elke Aanhangsel A-beheermaatreël |
| C | Kartering na ISO/IEC 29100 | insiggewende | Koppel kontroles aan die 11 ISO 29100-privaatheidsbeginsels |
| D | Kartering na GDPR | insiggewende | Koppel kontroles aan relevante GDPR-artikels vir voldoeningsbelyning |
| E | Kartering na ISO 27018 en ISO 29151 | insiggewende | Ooreenstemming met wolkprivaatheid en PII-beskermingsstandaarde |
| F | Ooreenstemming met ISO 27701:2019 | insiggewende | Volledige kartering tussen 2019 en 2025 kontroles vir oorgangsbeplanning |
Die insluiting van Bylae D (GDPR-kartering) is veral belangrik vir Europese organisasies, aangesien dit 'n amptelike verwysing bied vir hoe ISO 27701-beheermaatreëls ooreenstem met spesifieke GDPR-artikels. Dit maak dit aansienlik makliker om ISO 27701-sertifisering as bewys van GDPR-nakoming te gebruik.
Wat is die belangrikste praktiese verskille vir implementering?
Benewens die strukturele veranderinge, is daar verskeie praktiese verskille wat beïnvloed hoe organisasies die standaard implementeer:
- Privaatheidsrisiko-assessering — Klausule 6 vereis nou 'n toegewyde privaatheidsrisiko-assesseringsproses, apart van inligtingsekuriteitsrisiko-assessering. Dit moet spesifiek risiko's vir PII-prinsipale (datasubjekte) aanspreek, nie net risiko's vir die organisasie nie.
- Verklaring van toepaslikheid — Jy moet 'n SoA vir die Aanhangsel A-kontroles opstel, wat dokumenteer watter kontroles van toepassing is, jou regverdiging vir die insluiting of uitsluiting van elkeen, en die implementeringsstatus. Dit is nou 'n eksplisiete vereiste, nie 'n oorgeërfde een van ISO 27001 nie.
- Klimaatverandering — Na die 2024-wysiging aan alle ISO-bestuurstelselstandaarde, vereis klousules 4.1 en 4.2 nou dat organisasies moet oorweeg of klimaatsverandering relevant is vir die PIMS. Dit is 'n kort oorweging, nie 'n gedetailleerde omgewingsassessering nie.
- Duideliker ouditroete — Die skeiding van normatiewe beheermaatreëls (Aanhangsel A) van implementeringsriglyne (Aanhangsel B) maak ouditvoorbereiding meer eenvoudig. Ouditeure beoordeel teen Aanhangsel A; Aanhangsel B verskaf die konteks.
- Vereenvoudigde dokumentasie — Omdat die standaard selfstandig is, hoef organisasies nie na ISO 27001 en ISO 27002 te verwys om hul verpligtinge te verstaan nie. Alles is in een dokument.
Impak op bestaande dokumentasie
Organisasies wat van 2019 na 2025 oorskakel, moet verwag om verskeie sleuteldokumente op te dateer:
- Privaatheidsbeleid — Moet die losstaande PIMS-omvang weerspieël eerder as om na die ISO 27001 ISMS te verwys
- Risikobepalingsmetodologie — Moet privaatheidspesifieke risiko's vir PII-hoofde aanspreek, nie net organisatoriese inligtingsekuriteitsrisiko's nie
- Verklaring van toepaslikheid — Moet herbou word teen die 78 Aanhangsel A-kontroles, met regverdigings vir insluiting of uitsluiting van elkeen
- Verwerking van rekords — Die beheervereistes vir rekords van verwerking (A.1.2.9 Rekords van Verwerking van PII en A.2.2.7 Rekords van Verwerking van PII) word meer eksplisiet gedefinieer in 2025
- Interne ouditprogram — Ouditkriteria moet verwys na die 2025-klousulestruktuur en Aanhangsel A-kontroles
Vir 'n omvattende oorsig van die 2025-vereistes, sien ons ISO 27701:2025 vereistesgids.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Wat beteken dit vir organisasies wat tans tot 2019 gesertifiseer is?
Indien u organisasie reeds ISO 27701:2019-sertifisering het, vereis die oorgang na 2025 noukeurige beplanning, maar dit beteken nie dat u van voor af moet begin nie. Baie van die werk wat u reeds gedoen het, bly geldig. U bestaande privaatheidsbeleide, verwerkingsrekords en baie van u operasionele prosedures sal met opdaterings voortgesit word eerder as grootskaalse vervanging.
Die belangrikste areas wat aandag benodig, is:
- Gapingontleding teenoor Aanhangsel A — Koppel u bestaande 2019-kontroles aan die 78 Aanhangsel A-kontroles deur gebruik te maak van Bylae F as jou verwysing. Identifiseer enige nuwe kontroles wat jy nog nie voorheen aangespreek het nie
- Herbeoordeling van privaatheidsrisiko — Jou risikobepalingsmetodologie moet moontlik opgedateer word om die vereistes van Klousule 6 te weerspieël, wat spesifiek fokus op risiko's vir PII-prinsipale eerder as organisatoriese inligtingsekuriteitsrisiko's.
- SoA-herbou — Jou Toepaslikheidsverklaring moet herskryf word teen die nuwe Aanhangsel A-struktuur, met regverdigings vir elk van die 78 kontroles.
- Onafhanklikheidsoorsig — Indien u van voorneme is om ISO 27701:2025 as 'n losstaande standaard te sertifiseer, maak seker dat u PIMS-dokumentasie selfstandig is en nie staatmaak op verwysings na u ISO 27001 ISMS vir volledigheid nie.
Wat is die oorgangstydlyn?
Organisasies wat tans gesertifiseer is volgens ISO 27701:2019 moet oorskakel na die 2025-uitgawe teen Oktober 2028. Sleutel mylpale:
- nou — ISO 27701:2025 is gepubliseer en beskikbaar vir implementering
- 2025 2026 om — Sertifiseringsliggame voltooi hul akkreditasie en begin ISO 27701:2025-oudits aanbied
- Oktober 2028 — Alle ISO 27701:2019-sertifikate verval. Oorgang moet voltooi wees.
Die oorgangsvenster van drie jaar is ruim, maar organisasies moet nie tot die laaste oomblik wag nie. Vroeë aanvaarders sal baat vind by minder mededinging vir ouditeurbeskikbaarheid en meer tyd om enige gapings wat tydens implementering geïdentifiseer is, aan te spreek.
Organisasies wat nuut is met ISO 27701 moet die 2025-uitgawe direk implementeer. Daar is geen voordeel om die 2019-uitgawe op hierdie stadium te implementeer nie, aangesien dit aan die einde van die oorgangstydperk onttrek sal word. Vir stapsgewyse oorgangsbeplanning, sien ons oorgangsgids.
Hoekom kies ISMS.aanlyn vir jou oorgang?
ISMS.aanlyn is doelgerig gebou om organisasies te help om die oorgang van 2019 na 2025 te navigeer en sertifisering doeltreffend te behaal:
- Voorafgeboude ISO 27701:2025-raamwerk — Begin met die volledige klousulestruktuur, al 78 Aanhangsel A-kontroles en implementeringsriglyne reeds gekarteer en gereed om aan te pas
- Gap-analise-instrumente — Identifiseer presies waar u bestaande PIMS aan 2025-vereistes voldoen en waar addisionele werk nodig is.
- Verklaring van Toepaslikheid-bouer — Genereer en onderhou u SoA met beheerregverdigings, implementeringsstatus en gekoppelde bewyse.
- Privaatheidsrisikoregister — Geïntegreerde risikobepaling- en behandelingswerkvloei in lyn met die vereistes van Klousule 6
- Ouditgereedheidsdashboard — Volg jou vordering, sentraliseer bewyse en maak seker dat jy gereed is vir sertifisering voor jou ouditdatum
Vrae & Antwoorde
Moet ek her-sertifiseer onder die 2025-uitgawe?
Ja. Alle ISO 27701:2019-sertifikate moet teen Oktober 2028 na die 2025-uitgawe oorgeskakel word. Dit kan gedoen word tydens 'n geskeduleerde toesig- of her-sertifiseringsoudit, of deur 'n toegewyde oorgangsoudit. Jou sertifiseringsliggaam sal jou PIMS assesseer teen die 2025-vereistes, insluitend die herstruktureerde Aanhangsel A-kontroles en die nuwe Klousule 6-privaatheidsrisikobepalingsvereistes.
Kan ek my bestaande ISO 27001 ISMS saam met ISO 27701:2025 gebruik?
Absoluut. ISO 27701:2025 is ontwerp om beide as 'n alleenstaande standaard en as 'n aanvulling tot ISO 27001 te werk. As jy reeds 'n ISMS in plek het, kan jy jou PIMS daarmee integreer en gemeenskaplike bestuurstelselelemente soos dokumentbeheer, interne oudit en bestuursoorsig deel. Baie organisasies sal hierdie benadering kies om duplisering van pogings tussen die twee stelsels te vermy.
Wat is die sperdatum vir die oorgang van ISO 27701:2019?
Die oorgangsdatum is Oktober 2028. Na hierdie datum sal alle ISO 27701:2019-sertifikate nie meer geldig wees nie. Organisasies moet hul oorgang vroegtydig beplan om ouditeurbeskikbaarheid te verseker en voldoende tyd toe te laat vir enige nodige veranderinge aan hul privaatheidsinligtingbestuurstelsel.
Identifiseer presies waar jou huidige PIMS tekort skiet met ons stap-vir-stap gapingontledingsgids.
sien die vinnigste pad na sertifisering vir 'n realistiese tydlyn gebaseer op jou beginpunt.
Leer by ander en hersien die mees algemene implementeringsfoute.
