Новый стандарт ISO/IEC 27701:2025: усиление роли конфиденциальности
- Основные изменения и независимость стандарта
- Ключевые поправки в стандарте 2025 года
- Вывод и перспективы
- Напишите нашим экспертам, чтобы узнать подробности
10 октября 2025 года была опубликована новая редакция стандарта ISO/IEC 27701:2025.
Напомним, что ISO 27701 представляет собой международно признанную систему управления. Предыдущая версия 2019 года предоставляла организациям международно признанную структуру, позволяющую управлять рисками, связанными с персонально идентифицируемой информацией (ПИИ), и совершенствовать свою практику обеспечения конфиденциальности.
Основные изменения и независимость стандарта
До настоящего времени стандарт ISO 27701 функционировал как расширение стандарта ISO/IEC 27001. На практике это требовало сертификации по обоим стандартам (ISO 27001 + ISO 27701) для обеспечения их согласованности. Редакция 2025 года теперь утверждается как независимая Система менеджмента конфиденциальной информации (PIMS) под пересмотренным названием: «Информационная безопасность, кибербезопасность и защита конфиденциальности – Системы менеджмента конфиденциальной информации – Требования и руководство».
Это означает, что ISO 27701 может быть внедрен как самостоятельная PIMS, при этом сохраняя совместимость с другими системами ISO.
Согласно большинству законов о защите данных, включая Статью 42 GDPR, сертификация по ISO 27701 не является обязательной, однако ее принятие может существенно повысить ценность бизнеса и его кредибилитет. На практике необходимость в ISO 27701 часто возникает при демонстрации комплаенса с законодательством о защите данных (таким как GDPR, CCPA, DPDPA, UAE PDPL и LGPD), например, в ходе M&A дью-дилидженс или при регуляторных расследованиях после инцидента с утечкой данных.
Ключевые поправки в стандарте 2025 года
- Иерархия стандартов: Вопросы конфиденциальности и управления рисками ПИИ теперь подняты до равнозначного уровня с общими системами информационной безопасности, такими как ISO 27001.
- Области контроля: Стандарт вводит обновленные меры контроля, конкретно охватывающие новые технологии, такие как искусственный интеллект (ИИ), облачные системы и трансграничную передачу данных.
- Повышенный порог соответствия: Новый стандарт устанавливает более строгие механизмы корпоративного управления (governance), требования к политикам конфиденциальности, четко определенные роли в области конфиденциальности (например, DPO), измеримые KPI и постоянный мониторинг производительности.
- Переходный период: Организации, сертифицированные по ISO 27701:2019, будут иметь переходный период, но им следует начать приведение своих внутренних процессов в соответствие с новыми требованиями PIMS.
Вывод и перспективы
Хотя новый стандарт остается полностью совместимым с другими системами ISO, редакция ISO 27701:2025 окончательно закрепляет защиту персональных данных как самостоятельный и критически важный элемент информационной политики и корпоративного управления. Этот сдвиг требует проактивного анализа существующих комплаенс-практик.
Напишите нашим экспертам, чтобы узнать подробности
Написать экспертамУважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
