用系统方法保障个人隐私信息
持续提升隐私保护成熟度
降低违规与泄露风险
满足监管与合同要求
增强客户与生态信任
什么是 ISO 27701?
信息无处不在并贯穿每个业务过程。部分信息一般性,更多时候却敏感且涉及个人。要在组织内作出这一区分,首先需要识别并分类 PII:依据信息的敏感度、处理目的、保存期限与共享范围进行分级,并明确组织在不同场景下是PII 控制者(Controller)还是处理者(Processor)。在 ISO/IEC 27701 中,PIMS 的措施与流程正是以此为依据进行设计与落地。
PIMS 为保护个人信息建立了管理与控制框架:从隐私政策与角色职责(如 DPO)、数据流梳理与 PIA/DPIA、同意与合法性基础、数据主体权利响应(访问、更正、删除、可携带性)、最小化与保留/删除策略,到第三方与跨境传输管理、事件响应与通报以及审计与持续改进。在此框架下,组织不仅关注信息的机密性、完整性与可用性,也强调透明度与可证明性(accountability)。
在认证层面,ISO/IEC 27701 作为对 ISO/IEC 27001/27002 的扩展实施,通常与 ISMS 一体化审核与验证。取得 27701 认证向市场与合作伙伴发出强烈信号:你的组织已通过独立外部评估,其隐私治理能力、受托处理能力与合规性得到有效性确认。
作为对 27001/27002 的扩展,ISO/IEC 27701 并不改变既有信息安全管理要求,而是补充面向隐私的条款与控制,将“隐私保护自设计与默认”(Privacy by Design & by Default)嵌入到日常运营之中,持续提升组织的隐私保护成熟度与商业信任。
ISO 27701认证适用于谁?
在欧盟和德国,GDPR 与《联邦数据保护法》(BDSG) 要求组织对个人数据处理履行可证明的责任制,包括记录处理活动、开展 PIA/DPIA、实施技术与组织措施(TOMs)、管理受托处理者以及及时通报事件。基于 ISO/IEC 27001 与 27701 构建的一体化管理体系,可以系统性说明“如何确保个人信息保护”,并在客户或合作伙伴审计、招投标尽调及第三方评估中作为有力佐证。需要强调的是,ISO/IEC 27701 并不替代法律合规或监管认证,但它为满足 GDPR、PIPL 等法规提供了结构化方法和可验证证据,从而提升企业在医疗、金融、公共事业、通信和跨境互联网等高敏领域的隐私治理成熟度与市场信任度。
什么使 ISO/IEC 27701 标准对我的公司有用?
在 ISO/IEC 27701:2025 中,附录 A 列出了隐私与信息安全控制,分为三类:A.1(控制者适用)、A.2(处理者适用)、A.3(控制者与处理者共同的信息安全控制)。新版共包含 31 项控制(控制者)、18 项控制(处理者)和 29 项共同控制。组织需基于隐私风险评估(6.1.2)与处理(6.1.3),选择适用控制并形成适用性声明(SoA),必要时还可补充额外隐私控制。
将流程与 27701 对齐,会带来一系列可验证的收益:
- 持续提升隐私保护成熟度(隐私设计与默认、可证明性/Accountability 落地);
- 降低违规与泄露风险(系统化开展 PIA/DPIA、事件通报与跨境传输管理);
- 满足监管与合同要求(与 GDPR、PIPL 等框架建立清晰映射与证据链);
- 提升员工意识与角色清晰度(控制者/处理者分责、职责与沟通机制);
- 增强客户与生态信任(对外可展示的第三方审核/认证结论)。这些点在 27701 的条款与附录(含 GDPR 与隐私框架的映射)中均给出实施与对应关系。
要实现这些收益,内部审核和管理评审是关键“内生杠杆”,并需结合度量指标(如权利请求响应、数据保留与删除、第三方管理、事件处置等),形成“评估—改进”的闭环。依据 ISO/IEC 27701 的条款和附录指引,隐私治理可以嵌入开发、运维、供应商和跨境等全链路过程,既覆盖隐私控制,又与必要的信息安全计划和控制域相衔接。
与其他管理体系的关系
ISO 27701:2025 设计目的是便于与 ISO 9001、14001、27001 等管理体系集成。是否同时认证,可根据业务和市场需求决定。已运行 ISMS 的企业可沿用风险管理与控制基线,降低实施成本;尚未实施 27001 的组织也可直接依据 27701:2025 的 Clauses 4–10 建立 PIMS 并寻求认证。具体认证与过渡安排以认证机构和认可机构的发布为准。
ISO 27701 提供一套可审计、可度量、可对外证明的隐私治理框架。2025 版更突出独立性与兼容集成,使组织能更灵活地将隐私保护与业务目标、合规要求和信息安全计划结合。
谁可以根据 ISO/IEC 27701 进行认证?
开展第三方认证时,认证机构必须获得认可,并符合两类核心要求:
- ISO/IEC 17021-1:管理体系认证机构的通用能力与公正性要求;
- ISO/IEC 27706:2025(取代 TS 27006-2):针对 PIMS 的附加能力与方法要求,包括审计团队的隐私与法规知识、取证与抽样、证书信息等。
在国家认可机构(如 UKAS、ANAB)层面,PIMS 认可还会检查人员胜任、见审安排、机密性与独立性控制等细节,以确保认证结果的公信力与可比性。
为什么选择 DQS?
- 全球认可与覆盖:DQS 集团持有 100+ 项国家/国际认可,覆盖信息安全与隐私,可由具备相应认可范围的实体实施审核与认证。
- ISMS × PIMS 能力:我们熟悉 27701 与 27001 的集成路径,能在合规、风险和治理方面提出可执行改进建议(不涉及咨询冲突)。
- 平滑迁移到 27701:2025:对于已获 27701:2019 的组织,DQS 可依 IAF/各地认可机构安排,支持在过渡期内顺利迁移至 2025 版独立 PIMS。
ISO/IEC 27701 认证是如何进行的?
当 ISO/IEC 27701 的要求在组织内部完成规划并基本落地后,即可启动认证。DQS 将提供一个多阶段、透明可控的流程。若贵司已运行 ISO/IEC 27001 的 ISMS,我们会以集成方式开展审核,以缩短周期并减少干扰。
第一步,我们将与您沟通组织业务、PIMS 的适用范围与角色(控制者/处理者)、法规关注点(如 GDPR/PIPL)及认证目标,并据此提供详细报价与项目计划。
审核结束后,DQS 的独立认证决策委员会将对证据进行技术评定和合规确认。若符合标准要求,我们将签发 ISO/IEC 27701 证书(通常与 ISO/IEC 27001 证书及范围保持一致或关联),以证明贵组织在隐私治理和受托处理方面的能力与成熟度。
认证后,每年至少进行一次监督审核,重点检查关键环节的持续符合与改进,如 PIA/DPIA 实施、数据主体请求与指标管理、数据保留与删除、第三方与跨境管理更新、事件处置与复盘,以及度量与管理评审。监督审核有助于组织维持并提升 PIMS 的运行绩效。
证书通常有效期三年。到期前将开展再认证审核,以全面复核体系的持续适宜性、充分性与有效性。符合要求后,签发新证书并进入下一周期的监督审核。
ISO 27701 认证的费用是多少?
一)PII处理风险(Annex B — Table B.2)
1. PII的分类(Classification of PII)
是否涉及高敏/特殊类别PII,是否需要DPIA/同类流程等。
2. PII的传输(Transfer of PII)
是否跨司法辖区/地区转移,是否有足够的传输与合同控制。
3. 处理的复杂度(Complexity of processing)
是否多平台/多地域/多流程自动化;是否做画像、算法决策、数据挖掘等。
以上三项分别评为 High / Medium / Low,综合给出“处理风险”定级。
二)PII运营风险(Annex B — Table B.3)
1. 处理/访问PII的人数
与认证范围相关的人员覆盖比例。
2. PII主体数据量(记录数)
数据规模与数据集数量。
3. 已实施的控制措施数量(A.1/A.2/A.3)
附录A相关控制的覆盖度与成熟度。
以上三项同样评为 High / Medium / Low,综合给出“运营风险”定级。
三)从风险到审核人天与费用(Annex B — Table B.4)
将“处理风险 × 运营风险”代入表B.4矩阵,得到对审核人天的百分比调整区间(例如在一定范围内上调/下调)。
在基线人天(考虑组织规模、站点/国家数、是否与27001集成审核等)上应用该区间,形成人天估算;
以标准日费率×人天,给出费用区间,并记录关键假设与排除项。
四)我们需要的前期信息(用于快速出区间)
认证范围与商业场景;涉及PII类别与规模;是否跨境;主要系统/平台清单;自研与三方比例;站点/国家;控制者/处理者角色;已获ISO/IEC 27001情况及是否考虑集成审核。
五)小提示:与27001集成审核更高效
可复用既有管理框架与证据,减少重复访谈与取证,通常能缩短周期并降低综合成本。
六)示例场景
- 单一云区的小型SaaS(低处理中、低运营风险):在基线人天上小幅调整,形成较小的区间。
- 多业务线的互联网零售(中处理中、中运营风险):人天区间中位数偏上,现场与远程结合。
- 多国多站点的受监管行业(高处理中、高运营风险):人天显著上调,需要更完整证据链与场景验证。
以上区间将以你提供的信息为准,我们会出具定制化的人天与费用区间及审核实施计划。
