ISO 27701:2019 (下文簡稱2019年版)是國際標準組織發行的隱私資訊管理系統標準，其本質是以資訊安全管理系統 (ISO 27001:2013) 為基礎、進一步延伸至隱私資訊的管理。隨著ISO 27001:2013失效日的確立，關於ISO 27701:2019改版有關討論，就不曾停過。幾經波折，終於在2024年底完成ISO 27701 FDIS (下文簡稱FDIS) 的彙整，距離正式發行，只有一步之遙。

接下來，我們將分析FDIS與生效中2019年版的差異。

差異一：成為獨立運行的管理系統標準

FDIS於前言明確宣告，將成為獨立運行的管理系統標準 (as a stand-along management system standard)。從FDIS內文可觀察到更多細節，包括：標準命名移除延伸自資訊安全管理系統的訊息；主條文恢復完全依循Annex SL架構撰寫，捨棄參照其他標準的表達方式；所引用標準及用語定義，僅參照 ISO 29100、不再連結ISO 27000、ISO 27001、ISO 27002；決定管理系統範圍的條文4.4，同樣刪除遵循ISO 27001的文字。

儘管免去與資訊安全管理系統綁定，但隱私資訊本質上仍是資訊，資訊安全依然重要。條文6.1.3增訂應組織建立“資訊安全方案”(Information security programme) 的要求事項，並敘明該方案應至少包含：資訊安全風險管理、資產管理、存取控制、網路安全管理…等共15個資訊安全管理面向，以維護隱私資訊安全。備註也提示，組織可選擇ISO 27001作為資訊安全方案的設計參考。

差異二：控制措施大風吹

儘管鬆開了與資訊安全管理系統的強制連結，兩標準仍採用相同的風險管理設計：根據風險評鑑結果，選用羅列於附錄A、供組織選用的控制措施。

其中附錄A由：A.1、A.2、A.3三個部分組成。A.1取自2019年版的附錄A，維持4個控制目標、共31項適用於PII控制者的控制措施，僅微調文字以達成更精確的意思表達；A.2則取自2019年版的附錄B，所包含適用於PII處理者的控制目標及控制措施，與A.1同樣僅有文字微調。

A.3包含29項關於隱私資訊安全、同時適用於PII控制者及PII處理者的控制措施，這些控制措施取用自ISO 27001:2022附錄A，但調整用字、以進一步彰顯隱私資訊異於其他類別資訊的資訊安全考量。

附錄B是附錄A各項控制措施的實作指引，包含：B.1、B.2及B.3區塊，分別對應附錄A.1、A.2及A.3，相當於2019年版的主條文7、條文8及條文6。

未來的影響

讀到這裡，您已經發現FDIS的要求事項，儘管小有變化，但多已在2019年版提及，因而對於驗證準備階段及已經通過驗證的組織來說，新版發行的直接衝擊並不大。

若從捨棄與ISO 27001強制綁定的面向來看，組織在設定隱私資訊管理系統範圍時，可以不再受限於資訊安全管理系統範圍、直指對組織及當事人影響重大的個人資料處理流程。被迫選擇其他隱私資訊保護標準的組織，可以考慮在新版發布後，轉為採納ISO 27701。

新版標準預期於2025年間正式發布，標準轉版相關規定尚未發布。已經通過驗證的組織，宜持續關注標準轉版規定，以維持證書有效。