臺灣個人資料保護法全面施行之初,英國國家標準 BS 10012 為許多組織提供了個資管理系統的建置參考,在當時國內缺乏成熟框架的時空背景下,奠定了臺灣個資管理制度的早期基礎。
然而,BS 10012:2017 自發布至今已近十年未有更新,其在技術性資訊安全控制措施的具體指引上較為薄弱,面對近年資訊技術的急遽變動已形成嚴峻挑戰。且條文高度對齊歐盟法規環境(GDPR),對於非 GDPR 適用地區的組織而言,部分要求在本國法遵實務上的對應空間相對侷限,這也使得業界轉換至其它個資管理標準的探尋與討論未曾停歇。
ISO 27701:2025 的重大變革:獨立運行的管理系統
ISO 27701:2019 曾提供另一項選擇,然而當時標準定位為 ISO 27001 的「延伸」,組織必須在建置 ISO 27001 的範圍之內導入 ISO 27701,這使得無意另建資安管理系統之組織卻步。
到了 2025 年 10 月 14 日,ISO/IEC 27701:2025 正式發布,最關鍵的結構性變化在於轉型為獨立運行的管理系統標準,不再受限於 ISO 27001 的範圍,前述的導入門檻已不復存在。
若組織目前持有 BS 10012:2017 驗證證書,並正考慮轉換至 ISO 27701:2025,以下我們依「組織策略」、「管理制度」與「實作要項」三個層面,為您解析兩套標準在架構與實務要求上的差異。
組織策略:法規遵循性的重新識別
BS 10012 涵蓋多項歐盟特定規範,包括條文 8.2.1.2 資料保護官(DPO)設置、條文 8.2.1.3 日常政策遵循責任之 12 項要求、條文 8.2.11.8 歐盟跨境傳輸限制,以及條文 8.2.12.6 資料可攜性等,對於非 GDPR 適用司法管轄區,上述要求與本地法遵實務上有所差異,調整空間相對有限。
ISO 27701:2025 則允許組織依循實際適用之司法管轄區法規,組織可重新識別與臺灣個資法相關的要定,使管理系統更貼近運營現況。以告知義務為例, BS 10012 條文 8.2.6.5 規定由第三方間接蒐集個資時,須於一個月內告知當事人;在 ISO 27701 框架下,組織僅需符合個資法第 9 條規定,於處理利用前告知當事人相關事項即可。法規遵循性的重新識別,需要組織審慎評估,作為後續差異分析的定錨。
管理制度:架構相容與銜接
制度轉換的摩擦成本是最受關注的議題,而 BS 10012 在制定之初即參照 ISO Harmonized Structure 的共通架構進行設計, ISO 27701:2025 同樣遵循此一架構。兩套標準在管理結構、風險管理方法與核心管理精神上具有高度相容性,已維護 BS 10012 管理系統的組織,現有的管理文件基礎與管理流程即可作為轉換的起點,毋須重新建置整套管理制度。
對於已導入其他 ISO 管理系統的組織,ISO 27701:2025 的共通架構,可降低多套管理系統並行的整合成本。此外, ISO 27701 亦提供對接 ISO 27018 、ISO 29151 及 GDPR 的延伸指引,供組織依實際需求參考運用。
實作要項:關注三大關鍵落差
完成法規遵循範圍的重新識別、確認管理架構的相容性之後,於實作層面逐項識別與現行 BS 10012 之間的具體差距,以下分享實務上需要著重關注的三個項目,主要涉及附錄控制措施的結構調整、清冊文件更新,以及資訊安全管理措施的整合評估。
☑ PII 控制者與處理者角色明確區分
ISO 27701:2025 附錄 A 依角色將控制措施明確區分為三部分:A.1 適用於 PII 控制者、 A.2 適用於PII 處理者,以及 A.3 同時適用於兩者的資訊安全控制措施。組織需就各類個資處理活動識別對應角色,並實施相應 A.1 或 A.2 之控制措施要求。
☑ 個資清冊格式的彈性調整
BS 10012 條文 6.1.2 對個人資訊的資料盤點及資料流訂有明確的格式要求,涵蓋營運流程、來源、利用目的等項目。ISO 27701:2025 則回歸風險導向原則,未強制規定清冊格式,由組織自行判定並維護必要紀錄。組織可就現有文件評估後,依新標準精神調整沿用。
☑ 資訊安全控制措施的納入
BS 10012 對技術性資料安全控制措施(如安全鑑別、系統開發)著墨有限,缺乏具體的資安指引。 ISO 27701:2025 附錄 A.3 共 29 項資訊安全控制措施,取自 ISO 27001:2022 附錄 A,並針對隱私安全的特性進行調整。
對於已建置資訊安全管理措施的組織,可評估將既有措施納入,而尚未建置資安管理的組織,A.3 的控制措施則需另行評估差異以規劃相應措施。
結語:穩健邁向國際標準
就架構相容性而言,BS 10012 與 ISO 27701 的轉換作業,核心在於差異分析與局部調整,毋須全面重建管理體系。已建置維護 BS 10012 管理系統的組織,所挹注資源與現有制度均可作為轉換基礎。
標準轉換的相關認證規定及過渡期安排,可持續關注認證機構的正式公告,以確保轉換規劃符合最新要求。
