国际标准 IEC iso IS0/IEC 27701 第二版 2025-10 信息安全、网络安全和隐私保护 隐私信息 管理体系 要求与指南 信息安全、网络安全与隐私保护一隐私信息管理体系一要求与建议 参考编号ISO/IEC 27701:2025(en) ISO/IEC2025 IS0/IEC 27701:2025(en) 版权保护文件 ISO/IEC 2025 保留所有权利。除非另有说明，或实施过程中有特殊要求，未经事先书面许可，不得以任何形式或任何手段（包括电子或机械方式）复制或使用本出版物的任何部 分，包括影印、在互联网或内联网上发布。许可申请可向下述地址的ISO或申请者所在国的ISO成员机构提出。 ISO版权办公室 CP401·布兰东内街8号CH-1214韦尔 尼耶，日内瓦电话：+41227490111 电子邮箱：[email protected]网站： www.iso.org 瑞士出版 ISO/IEC2025保留所有权利 i IS0/IEC 27701:2025(en) 目 页码 前言。 导言. 1 范围. 2 规范性引用. 3 术语、定义和缩写 4 组织背景. 4.1 理解组织及其背景 4.2 理解相关方的需求和期望 4.3 确定隐私信息管理体系的范围 4.4 隐私信息管理体系 5 领导层 5.1 领导力与承诺 5.2 隐私政策， 5.3 角色、职责与权限. 6 规划 6.1 应对风险与机遇的行动方案 6.1.1 般性 6.1.2 隐私风险评估 6.1.3 隐私风险处理 6.2 隐私目标及实现规划 6.3 变更规划 10 7 支持. 7.1 资源. 7.2 能力 10 7.3 意识.. 10 7.4 沟通. 10 7.5 文件化信息 7.5.1 般 7.5.2 创建和更新文件化信息 7.5.3 文件信息的控制 8 操作 12 8.1 运行计划与控制 8.2 隐私风险评估. 8.3 隐私风险处理.. 12 9 绩效评估 .12 9.1 监测、测量、分析和评估 9.2 内部审计 9.2.1 一般 13 9.2.2 内部审计计划. 13 9.3 管理层评审. 13 9.3.1 般 9.3.2 管理评审输入 13 9.3.3 管理评审结果， 10 改进 14 10.1 持续改进. 10.2 不符合项与纠正措施 11 附件的进一步信息 附件A（规范性）PIMS参考控制目标及PI控制器与PI处理器的控制措施. 15 ISO/IEC2025-保留所有权利 ii IS0/IEC 27701:2025(en) 附件B（规范性）PII控制器和PII处理器的实施指南 21 附件C（信息性）与ISO/IEC29100的映射关系. ..51 附录D（信息性）与《通用数据保护条例》的对照关系。 53 附录E（说明性）与ISO/IEC27018和ISO/IEC29151的映射关系 .56 附录F（信息性）与ISO/IEC27701:2019的对应关系. 参考文献. ISO/IEC2025-保留所有权利 iv IS0/IEC 27701:2025(en) 前言 国际标准化组织（ISO）与国际电工委员会（IEC）共同构成全球标准化专业体系。作为ISO或IEC成员的国家机构，通过各组织为特定技术 领域设立的技术委员会参与国际标准制定工作。ISO与IEC技术委员会在共同关注领域开展协作。其他与ISO和IEC保持联络的国际组织（包 括政府组织和非政府组织）也参与相关工作。 本文件的编制程序及其后续维护程序详见ISO/EC指令第1部分。特别需要注意的是，不同类型的文件需满足不同的批准标准。本文件的起 草遵循了ISO/IEC指令第2部分的编辑规则（详见www.iso.org/directives或www.iec.ch/membersexperts/refdocs）。 ISO和IEC提醒注意，实施本文件可能涉及使用一项或多项专利。ISO和IEC对任何相关专利权主张的证据、有效性或适用性不持任何立 场。截至本文件发布之日，ISO和IEC尚未收到实施本文件可能涉及的专利通知。但需提醒实施者注意，此信息可能并非最新状态，最新专利 信息可通过www.iso.org/patents和https://patents.iec.ch查询。ISO和IEC不承担识别任何或所有此类专利权利的责任。 本文件中使用的任何商标名称仅为方便用户而提供，并不构成推荐。 关于标准自愿性的说明、ISO特定术语及符合性评估相关表述的含义，以及ISO在《技术性贸易壁垒协定》(TBT)中遵循世界贸易组织(WTO)原 则的信息，请参阅www.iso.org/iso/foreword.html。在IEC中，请参阅www.iec.ch/understanding-standards 本文件由国际标准化组织/国际电工委员会联合技术委员会1（JTC1）下属信息技术分技术委员会27（SC27） 信息安全、网络安全与隐 私保护分技术委员会，与欧洲标准化委员会（CEN）技术委员会CEN/CLC/JTC13—网络安全与数据保护技术委员会共同编制，依据ISO与 CEN技术合作协议（维也纳协议）完成。 本第二版取代并废止了经技术修订的第一版（ISO/IEC27701:2019）。 主要变更如下： 一 本文件已重新编写为独立的管理体系标准。 www.lec.ch/national-committees ISO/EC2025-保留所有权利 V IS0/IEC 27701:2025(en) 前言 国际标准化组织（ISO）与国际电工委员会（IEC）共同构成全球标准化专业体系。作为ISO或IEC成员的国家机构，通过各组织为特定技术 领域设立的技术委员会参与国际标准制定工作。ISO与IEC技术委员会在共同关注领域开展协作。其他与ISO和IEC保持联络的国际组织（包 括政府组织和非政府组织）也参与相关工作。 本文件的编制程序及其后续维护程序详见ISO/EC指令第1部分。特别需要注意的是，不同类型的文件需满足不同的批准标准。本文件的起 草遵循了ISO/IEC指令第2部分的编辑规则（详见www.iso.org/directives或www.iec.ch/membersexperts/refdocs）。 ISO和IEC提醒注意，实施本文件可能涉及使用一项或多项专利。ISO和IEC对任何相关专利权主张的证据、有效性或适用性不持任何立 场。截至本文件发布之日，ISO和IEC尚未收到实施本文件可能涉及的专利通知。但需提醒实施者注意，此信息可能并非最新状态，最新专利 信息可通过www.iso.org/patents和https://patents.iec.ch查询。ISO和IEC不承担识别任何或所有此类专利权利的责任。 本文件中使用的任何商标名称仅为方便用户而提供，并不构成推荐。 关于标准自愿性的说明、ISO特定术语及符合性评估相关表述的含义，以及ISO在《技术性贸易壁垒协定》(TBT)中遵循世界贸易组织(WTO)原 则的信息，请参阅www.iso.org/iso/foreword.html。在IEC中，请参阅www.iec.ch/understanding-standards 本文件由国际标准化组织/国际电工委员会联合技术委员会1（JTC1）下属信息技术分技术委员会27（SC27） 信息安全、网络安全与隐 私保护分技术委员会，与欧洲标准化委员会（CEN）技术委员会CEN/CLC/JTC13—网络安全与数据保护技术委员会共同编制，依据ISO与 CEN技术合作协议（维也纳协议）完成。 本第二版取代并废止了经技术修订的第一版（ISO/IEC27701:2019）。 主要变更如下： 一 本文件已重新编写为独立的管理体系标准。 www.lec.ch/national-committees ISO/EC2025-保留所有权利 V IS0/IEC 27701:2025(en) 前言 国际标准化组织（ISO）与国际电工委员会（IEC）共同构成全球标准化专业体系。作为ISO或IEC成员的国家机构，通过各组织为特定技术 领域设立的技术委员会参与国际标准制定工作。ISO与IEC技术委员会在共同关注领域开展协作。其他与ISO和IEC保持联络的国际组织（包 括政府组织和非政府组织）也参与相关工作。 本文件的编制程序及其后续维护程序详见ISO/EC指令第1部分。特别需要注意的是，不同类型的文件需满足不同的批准标准。本文件的起 草遵循了ISO/IEC指令第2部分的编辑规则（详见www.iso.org/directives或www.iec.ch/membersexperts/refdocs）。 ISO和IEC提醒注意，实施本文件可能涉及使用一项或多项专利。ISO和IEC对任何相关专利权主张的证据、有效性或适用性不持任何立 场。截至本文件发布之日，ISO和IEC尚未收到实施本文件可能涉及的专利通知。但需提醒实施者注意，此信息可能并非最新状态，最新专利 信息可通过www.iso.org/patents和https://patents.iec.ch查询。ISO和IEC不承担识别任何或所有此类专利权利的责任。 本文件中使用的任何商标名称仅为方便用户而提供，并不构成推荐。 关于标准自愿性的说明、ISO特定术语及符合性评估相关表述的含义，以及ISO在《技术性贸易壁垒协定》(TBT)中遵循世界贸易组织(WTO)原 则的信息，请参阅www.iso.org/iso/foreword.html。在IEC中，请参阅www.iec.ch/understanding-standards 本文件由国际标准化组织/国际电