Waarom is ISO 27701 opgedateer?
Die eerste uitgawe van ISO 27701 is in 2019 gepubliseer as 'n uitbreiding van ISO 27001 en ISO 27002. Sedertdien het die privaatheidslandskap aansienlik verskuif. Nuwe regulasies het na vore gekom, tegnologie het ontwikkel (KI, IoT, biometrie), en organisasies het gevra vir 'n standaard wat op sy eie kan staan eerder as om afhanklik te wees van 'n aparte inligtingsekuriteitsbestuurstelsel.
ISO/IEC 27701:2025, gepubliseer in Oktober 2025, is die tweede uitgawe. Dit vervang die 2019-weergawe geheel en stel strukturele veranderinge bekend wat ontwerp is om privaatheidsinligtingsbestuur meer prakties en toeganklik te maak.
Wat is die grootste veranderinge in ISO 27701:2025?
Die 2025-uitgawe bring sewe sleutelveranderinge wat organisasies moet verstaan:
1. Losstaande standaard
Die belangrikste verskuiwing is dat ISO 27701:2025 nou 'n selfstandige bestuurstelsel standaardOrganisasies hoef nie meer eers ISO 27001-sertifisering te besit nie. Die standaard bevat sy eie volledige stel vereistes (Klausules 4 tot 10), wat konteks, leierskap, beplanning, ondersteuning, bedryf, prestasie-evaluering en verbetering dek.
Dit maak die deur oop vir organisasies wat privaatheidsertifisering wil hê sonder die oorhoofse koste van 'n volledige ISMS, terwyl dit steeds integrasie met ISO 27001 moontlik maak vir diegene wat albei wil hê.
2. Herstruktureerde Aanhangsel A met drie beheertabelle
Die ou klousules 7 (PII-beheerderleiding) en 8 (PII-verwerkerleiding) is vervang deur 'n verenigde Aanhangsel A met drie tafels:
| Tabel | Omvang | Controls |
|---|---|---|
| Tabel A.1 | PII-beheerderkontroles | 31 kontroles |
| Tabel A.2 | PII-verwerkerkontroles | 18 kontroles |
| Tabel A.3 | Gedeelde sekuriteitskontroles (beheerders en verwerkers) | 29 kontroles |
Dit gee organisasies 78 privaatheidskontroles in totaal, elk met ooreenstemmende implementeringsriglyne in Aanhangsel B. Die struktuur maak dit baie duideliker watter kontroles op jou rol van toepassing is.
3. Aanhangsel B verskaf implementeringsriglyne
Aanhangsel B weerspieël elke Aanhangsel A-kontrole met gedetailleerde implementeringsriglyne. Waar die 2019-weergawe riglyne in Klousules 6, 7 en 8 ingebed het, skei die 2025-uitgawe die "wat" (Aanhangsel A) van die "hoe" (Aanhangsel B). Dit maak ouditering en gapingontleding meer eenvoudig.
4. Nuwe karteringsaanhangsels
Die 2025-uitgawe bevat vier karteringsaanhangsels:
- Bylae C — Kartering na ISO/IEC 29100 privaatheidsbeginsels
- Bylae D - Kartering na GDPR-artikels
- Bylae E — Kartering na ISO/IEC 27018 en ISO/IEC 29151
- Bylae F — Ooreenstemming met ISO 27701:2019 (nuut in 2025)
Aanhangsel F is veral waardevol vir organisasies wat oorskakel van die 2019-uitgawe, aangesien dit elke ou beheermaatreël na sy 2025-ekwivalent karteer.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
5. Gestroomlynde Klousule 6 vervang die ou Klousule 6
Die 2019-uitgawe se Klousule 6 het meer as 90 subklousules bevat wat verwys na ISO 27002-kontroles met PII-spesifieke byvoegings. In 2025 is dit gekonsolideer in Tabel A.3 (gedeelde sekuriteitsbeheermaatreëls) met 29 gefokusde kontroles. Die resultaat is 'n aansienlik meer hanteerbare omvang.
6. Vereenvoudigde vereistes vir bestuurstelsels
Klausules 4 tot 10 volg nou die standaard ISO-bestuurstelselstruktuur (Geharmoniseerde Struktuur). Hulle is selfstandig en vereis nie kruisverwysing met ISO 27001-klousules nie, alhoewel belyning eenvoudig is vir organisasies wat beide sertifisering besit.
7. Oorweging van klimaatsverandering
In ooreenstemming met onlangse ISO-wysigings oor alle bestuurstelselstandaarde, vereis klousules 4.1 en 4.2 nou dat organisasies bepaal of klimaatsverandering 'n relevante kwessie vir hul PIMS-konteks is.
Hoe vergelyk die beheerstruktuur met 2019?
| Aspek | Die ISO 27701: 2019 | Die ISO 27701: 2025 |
|---|---|---|
| afhanklikheid | Uitbreiding na ISO 27001 + 27002 | Losstaande standaard |
| Beheerderleiding | Klousule 7 (ingebed) | Tabel A.1 + Aanhangsel B.1 (31 kontroles) |
| Verwerkerleiding | Klousule 8 (ingebed) | Tabel A.2 + Aanhangsel B.2 (18 kontroles) |
| sekuriteitsbeheer | Klousule 6 (90+ subklousules wat na ISO 27002 verwys) | Tabel A.3 + Aanhangsel B.3 (29 kontroles) |
| Totale privaatheidskontroles | Versprei oor Klausules 6, 7, 8 | 78 kontroles in Aanhangsel A |
| BBP karteer | Bylae D | Aanhangsel D (opgedateer) |
| 2019 korrespondensie | N / A | Aanhangsel F (nuut) |
Wat is die oorgangsdatum?
Organisasies wat gesertifiseer is volgens ISO 27701:2019 het tot Oktober 2028 om oor te skakel na die 2025-uitgawe. Dit gee 'n venster van drie jaar vanaf die publikasiedatum.
'N Gestruktureerde gapingsanalise is die beste beginpunt om te verstaan wat die 2025-uitgawe vir jou huidige PIMS beteken.
Gedurende die oorgangstydperk:
- Nuwe sertifikate kan teen enige uitgawe uitgereik word
- Bestaande 2019-sertifikate bly geldig tot hul vervaldatum of die oorgangsdatum, wat ook al eerste plaasvind.
- Sertifiseringsliggame sal hul ouditprogramme moet opdateer om teen die 2025-vereistes te assesseer.
Vir 'n stap-vir-stap benadering tot die oorgang, sien ons ISO 27701 oorgangsgids.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Wat beteken losstaande sertifisering in die praktyk?
Onder die 2019-uitgawe kon 'n organisasie slegs ISO 27701-sertifisering behaal as dit reeds ISO 27001 gehad het (of gelyktydig daarvoor gesertifiseer het). Dit het 'n hindernis geskep vir organisasies wat privaatheidsertifisering benodig het, maar nie 'n volledige inligtingsekuriteitsbestuurstelsel nie.
Met die 2025-uitgawe kan organisasies onafhanklik volgens ISO 27701 sertifiseer. Die standaard sluit nou sy eie bestuurstelselvereistes (Klausules 4 tot 10) en sy eie stel kontroles (Aanhangsel A) in. Integrasie met ISO 27001 bly egter eenvoudig en word aangemoedig waar beide dissiplines relevant is.
Hoekom kies ISMS.aanlyn vir ISO 27701:2025?
ISMS.aanlyn gee jou 'n praktiese, gestruktureerde manier om jou Privaatheidsinligtingbestuurstelsel te implementeer en in stand te hou, in lyn met ISO 27701:2025:
- Voorafgeboude raamwerk — ISO 27701:2025-kontroles, klousules en bewysvereistes gekarteer en gereed om mee te werk vanaf dag een
- Geïntegreerde risikobestuur — Voer privaatheidsrisiko-assesserings saam met inligtingsekuriteitsrisiko's op een plek uit
- Beleid- en beheerbestuur — Stel privaatheidsbeleide op, keur dit goed, versprei dit en hou dit dop vir die erkenning daarvan
- Verskaffersbestuur — Spoor PII-verwerkerkontrakte, openbaarmakings van subkontrakteurs en grensoorskrydende oordragrekords op
- Ouditgereedheid — Handhaaf u toepaslikheidsverklaring, bewyspakkette en korrektiewe aksies in 'n enkele platform
- Ondersteuning vir dubbele sertifisering — Voer ISO 27701 alleenstaande of geïntegreerd met ISO 27001 uit sonder duplisering van pogings
Vrae & Antwoorde
Is ISO 27701:2025 agteruitversoenbaar met die 2019-weergawe?
Nie direk nie. Die struktuur het aansienlik verander, met die ou klousules 6, 7 en 8 wat vervang is deur Aanhangsel A en Aanhangsel B. Aanhangsel F verskaf egter 'n volledige ooreenstemmingstabel wat elke 2019-kontrole met sy 2025-ekwivalent karteer, wat gapingontleding eenvoudig maak.
Het ek steeds ISO 27001 nodig om ISO 27701-sertifisering te kry?
Nee. ISO 27701:2025 is 'n losstaande standaard met sy eie bestuurstelselvereistes. Jy kan onafhanklik daarvoor sertifiseer. As jy reeds ISO 27001 besit, kan jy beide stelsels integreer en voordeel trek uit gedeelde prosesse.
Wanneer moet ek oorskakel van ISO 27701:2019?
Die oorgangsdatum is Oktober 2028, wat jou drie jaar gee vanaf die publikasie van die 2025-uitgawe. Bestaande 2019-sertifikate bly geldig tot hul vervaldatum of die oorgangsdatum, wat ook al eerste plaasvind.
Hoeveel kontroles is daar in ISO 27701:2025?
Dek ISO 27701:2025 KI en biometriese data?
Die standaard is tegnologie-neutraal, maar die beheermaatreëls vir outomatiese besluitneming (A.1.3.11 Geoutomatiseerde besluitneming), impakstudie op privaatheid (A.1.2.6 Impakassessering vir privaatheid) en data-minimalisering (A.1.4.5 Minimalisering van persoonlike inligting) is direk relevant tot KI, IoT en biometriese verwerking. Die beginsels geld ongeag die tegnologie wat gebruik word.
As jy oorweeg of sertifisering geskik is vir jou organisasie, kyk na ons gids: Het ek ISO 27701:2025-sertifisering nodig?.
Vir 'n bondige oorsig om met senior belanghebbendes te deel, lees ons Uitvoerende Opsomming vir Raadslede.
