ISO/IEC 27701:2025 – нова ера в управлението на поверителността

Picture of e-security.bg
e-security.bg
Поверителност
27 октомври 2025

През октомври Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC) публикуваха дългоочакваната нова версия на стандарта ISO/IEC 27701:2025 – Системи за управление на информацията за поверителност (PIMS). Тази ревизия бележи най-съществената трансформация от създаването му през 2019 г., превръщайки го от разширение на ISO/IEC 27001 в напълно независим стандарт за управление на поверителността.

Защо бе необходима ревизия?

Промени в ISO/IEC 27001 и ISO/IEC 27002

След актуализациите на стандартите ISO/IEC 27001 и ISO/IEC 27002 през 2022 г., които въведоха нова структура и контролни мерки в управлението на информационната сигурност, стана ясно, че и стандартът за управление на поверителността трябва да бъде обновен.
Новата версия премахва задължителната зависимост от ISO/IEC 27001, като позволява внедряване и сертифициране на PIMS като самостоятелна система. Същевременно е запазена пълната съвместимост между двата стандарта, което улеснява интеграцията.

Засилени изисквания за защита на данните

С нарастващата строгост на регулациите като GDPR, както и навлизането на технологии като ИИ, облачни услуги, автоматизирани решения и трансгранични потоци от данни, рискът за личната информация значително се увеличи. ISO/IEC 27701:2025 предоставя практическа рамка за управление на тези рискове, адаптирана към съвременната технологична и регулаторна среда.

Повече гъвкавост и самостоятелен PIMS

Докато изданието от 2019 г. изискваше предварително внедряване на ISMS, новата версия позволява изграждане на PIMS като отделна управленска система, достъпна дори за организации без ISO/IEC 27001 сертификация.

Основни структурни и концептуални промени

ISO/IEC 27701:2025 вече не е представен като допълнение към ISO/IEC 27001 или 27002, а като пълноправен, сертифицируем стандарт.
Новата структура следва т.нар. Harmonized Structure (HS) – унифицирана рамка, която осигурява съвместимост между различни ISO стандарти като ISO 9001, ISO 14001 и ISO/IEC 42001.
Това позволява интегриране на процесите по качество, опазване на околната среда, информационна сигурност и поверителност в единна система за управление.

Включване на климатичните рискове

За първи път стандартът изисква да се разглеждат въздействията на климатичните промени върху поверителността и сигурността на данните. Организациите трябва да анализират потенциални заплахи, свързани с екстремни климатични събития или регулаторни промени, и да интегрират тези фактори в своя риск мениджмънт.

Преструктурирани приложения и контроли

Докато предишната версия разделяше контролните мерки между администратори и обработващи лични данни, новото издание ги консолидира в три групи:

  • A.1 – Контроли за администратори (PII controllers)

  • A.2 – Контроли за обработващи (PII processors)

  • A.3 – Общи контроли

Ново Приложение B предоставя практически насоки за внедряване, което улеснява одиторите и организациите при оценката на съответствието.

Преработени клаузи и приложения

Клауза 4–10

Стандартът вече съдържа задължителни изисквания за всички управленски процеси: контекст, лидерство, планиране, поддръжка, операции, оценка на представянето и подобрение. Това означава, че организации, заявяващи съответствие, не могат да изключват нито една от тези клаузи.

Разширени приложения

  • Приложение A – Консолидирани контроли и задължителен документ SoA (Statement of Applicability)

  • Приложение B – Практически насоки за внедряване

  • Приложение C – Съпоставяне с ISO/IEC 29100 (принципи на поверителността)

  • Приложение D – Карта към членове на GDPR

  • Приложение E – Връзка с ISO/IEC 27018 и 29151

  • Приложение F – Подробно сравнение между версиите 2025 и 2019 г.

Актуализиран каталог от контроли

Контролите вече включват нови мерки, обхващащи управление на рискове, ИИ и трансгранични прехвърляния на данни. Те отразяват и последните промени в ISO/IEC 27001:2022 и ISO/IEC 27002:2022.

Засилено управление и отговорност на ръководството

ISO/IEC 27701:2025 подчертава ролята на висшето ръководство в осигуряване на ресурси, дефиниране на отговорности и интегриране на поверителността в стратегическото планиране.
Ръководството носи пряка отговорност за резултатите и ефективността на системата за управление на поверителността.

Нови изисквания за риск, трансфери и ИИ

Новото издание въвежда връзка с ISO/IEC 42001 – стандарта за управление на системи с изкуствен интелект. Това насърчава етична и прозрачна обработка на лични данни в автоматизирани процеси.
Също така са засилени изискванията за контрол на трансграничните трансфери, облачните услуги и трети страни, като се изисква детайлна документация и оценка на въздействието върху субектите на данни.

Какво означава това за организациите?

По-достъпен стандарт за по-малки компании

Премахването на изискването за ISO/IEC 27001 сертификация улеснява малките организации да внедрят PIMS като самостоятелна система, с по-ниски разходи и административна тежест.

Лесен преход за вече сертифицирани организации

Организациите с ISO/IEC 27701:2019 трябва да извършат gap анализ и да приведат своята система в съответствие с новите изисквания. Повечето процеси ще останат познати, особено при интеграция с ISMS.

Необходими действия:

  • Актуализиране на политики, роли и отговорности

  • Преработка на процедури за оценка на риска

  • Документация на трансгранични прехвърляния, ИИ и трети страни

  • Провеждане на обучения и повишаване на осведомеността

Сертификация и преходен период

Детайлите за сертифициране и сроковете за преход ще бъдат определени от акредитационните органи през следващите месеци. Очаква се плавен преход за организациите, които вече прилагат ISO/IEC 27701:2019.

Публикуването на ISO/IEC 27701:2025 бележи нова фаза в глобалното управление на поверителността.
С превръщането на PIMS в самостоятелна, интегрируема система, стандартът поставя фокус върху прозрачността, отчетността и управлението на рисковете, включително тези, произтичащи от изкуствения интелект и трансграничните потоци от данни.

Организациите, които действат проактивно — с навременен анализ, обновени политики и ангажирано ръководство — ще бъдат по-добре позиционирани да демонстрират съответствие и доверие в ерата на цифровата поверителност.

#ISO/IEC 27701:2025, # PIMS, # защита на лични данни, # поверителност, # управление на лични данни
По материали от Интернет

Подобни

САЩ въвеждат Mobile Identify
10.11.2025
face recognition
WhatsApp въвежда нов режим за „строги настройки на акаунта“
9.11.2025
whatsapp-lock
„123456“ остава най-популярната парола в света според нов анализ
9.11.2025
password-list
Прецедент: американски съд изисква от OpenAI данни за потребителски заявки
6.11.2025
OpenAI-GPT-4
Google прави reCAPTCHA по-интелигентна
4.11.2025
google-report
Италия вече изисква проверка на възрастта за определени сайтове
4.11.2025
thumbnail_Cybersecurity Awareness Month2

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.