ISO/IEC 27701：2019：隱私權資訊管理

發行項
01/11/2024

ISO/IEC 27701：2019 概觀

ISO/IEC 27701：2019 的建置是為了補充廣泛使用的 ISO/IEC 27001 和 ISO/IEC 27002 資訊安全性管理標準。它會指定需求並提供隱私權資訊管理系統 (PIMS) 的指引，讓 PIMS 的實作成為許多依賴 ISO/IEC 27001 之組織的實用合規性新增專案，以及建立強式整合點來配合安全性和隱私權控制。 ISO/IEC 27701 透過管理數據控制者和數據處理者可使用之個人資料的架構來完成這項整合，這是一般數據保護規定 (GDPR) 合規性的重要區別。

此外，任何 ISO/IEC 27701 稽核都要求組織在其稽核准則中宣告適用的法律/法規，這表示標準可以對應至 GDPR、加州消費者隱私法 (CCPA) 或其他法律下的許多需求。對應之後，隱私權專業人員會實作 ISO/IEC 27701 作業控制。獲得評估許可權的內部或外部第三方，接著會評估組織是否符合標準的需求，並簽發憑證以生效。此通用架構可讓組織有效率地實作符合新法規需求的合規性。 Microsoft 贊助開放原始碼的數據保護對應專案，讓您瞭解 ISO/IEC 27701 與各種數據保護法規之間的關聯性。

Microsoft 範圍內雲端平台與服務

範圍中的 Microsoft 線上服務會顯示在 Azure ISO/IEC 27701 憑證上：

如需詳細見解的 Azure (，請參閱 Azure ISO/IEC 27701 供應專案)
如需詳細見解 Dynamics 365 (，請參閱 Azure ISO/IEC 27701 供應專案)
Microsoft Defender 全面偵測回應 (不在 Azure Government) 範圍內
Microsoft Bing 商業版 (不在 Azure Government) 範圍內
Microsoft 雲端 App 安全性
適用於端點的 Microsoft Defender
Microsoft Graph
Microsoft Intune
Microsoft 受管理的電腦 (不在 Azure Government 的範圍內)
Microsoft Stream
Microsoft 威脅專家 (不在 Azure Government 的範圍內)
Office 365、Office 365 美國政府和 Office 365 美國政府國防版
Power Apps
電源自動化
Power BI
Power BI Embedded
Power Virtual Agent (不在 Azure Government 的範圍內)
通用列印 (不在 Azure Government) 範圍內
Windows 365

Azure、Dynamics 365 和 ISO 27701

如需 Azure、Dynamics 365 和其他線上服務合規性的詳細資訊，請參閱 Azure ISO 27701：2019 供應專案。

Office 365 和 ISO 27001

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Access Online、Microsoft Entra ID、Azure Communications Service、Compliance Manager、Customer Lockbox、Delve、Exchange Online Protection、Exchange Online、Forms、Marketplace、Identity Manager、Lockbox (Torus) 、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365 客戶入口網站、Office 365 微服務 (包括但不限於 Kaizala、ObjectStore、Sway、PowerPoint Online 檔服務、查詢批注服務、學校數據同步、Siphon、語音、StaffHub、eXtensible Application Program) 、Office 365 Security & Compliance Center、Office Online、Office Pro Plus、Office Services 基礎結構、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI Project Online、使用 Microsoft Purview 客戶密鑰的服務加密、SharePoint Online、商務用 Skype、Stream
GCC	Microsoft Entra 標識碼、Azure 通訊服務、合規性管理員、Delve、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、MyAnalytics、Office 365 進階合規性附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online、商務用 Skype、Stream
GCC High	Microsoft Entra 標識碼、Azure Communications Service、Exchange Online、Forms、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、PowerApps、Power Automate、Power BI、SharePoint Online 商務用 Skype
DoD	Microsoft Entra 標識碼、Azure 通訊服務、Exchange Online、表單、適用於 Office 365 的 Microsoft Defender、Microsoft Teams、Office 365 進階合規性附加元件、Office 365安全性 & 合規性中心、Office Online、Office Pro Plus、商務用 OneDrive、Planner、Power BI、SharePoint Online 商務用 Skype

Office 365 稽核、報告和認證

Microsoft 雲端和商業技術支援服務每年會針對 ISO/IEC 27701 的認證程式稽核一次。

Microsoft Office 365 ISO 完整評定報告

常見問題集

ISO/IEC 27701 如何協助發展法規需求？

ISO/IEC 27701 包含一個附件，其中包含標準的操作控制，這些控制是根據控制者和處理者在 GDPR 中的相關需求而對應。此對應只是相對於 ISO 架構如何實作隱私權法規的範例。由於以其他法規進行的額外對應變得可用且經過驗證，因此來自標準的操作控制可直接從法規檢閱轉移至實作。此通用架構可讓組織可靠地實作相關的法規需求。

ISO/IEC 27701 如何協助處理稽核成本？

隨著更多隱私權法規在各個管轄區強制執行，提供合規性證明的壓力也增加。但是如果每個法規都要求自己的獨特稽核，那麼不同法規認證的成本將變得無法承受。透過概述一組通用作業控制措施，ISO/IEC 27701 也會概述通用合規性架構，以針對多個法規需求進行稽核，並可能進行認證。

請務必瞭解，建立官方GDPR認證需要歐洲監管者核准。雖然 ISO/IEC 27701 與 GDPR 之間的一致性很明顯，在完成法規決策之前，不應將 ISO/IEC 27701 認證視為 GDPR 合規性或官方 GDPR 認證的辨識項。

ISO/IEC 27701 如何協助處理涉及 PII 的商業合約？

涉及個人資訊移動的商業合約可能需要合規性認證。現今組織要處理複雜的資料傳輸，深入的網路涉及商務合作夥伴 (包括合作夥伴或組織或共同控制者)、處理者 (例如雲端提供者)，以及子處理者 (例如支援相同處理者的廠商)。如果在這個網路中的任何部分無法遵守法規，會造成整個供應鏈的階層式合規性問題。這就是合規性驗證價值超過組織之間的合約條款所能提供的保證之處。由於全球經濟規定這些組織大多分散在世界各地，因此使用 ISO 的國際標準來管理整個網路的合規性很實用。

此對於合規性的信賴提高了標準認證的重要性。雖然並非所有公司和組織都需要獲得這種認證，但大部分公司和組織都能從已獲得認證的合作夥伴和廠商那邊獲益，特別是當涉及處理敏感性資料或大量資料時。

ISO/IEC 27701 與 ISO/IEC 27001 有何關聯？

ISO/IEC 27701 建置於 ISO/IEC 27001 之上，這是資訊安全性管理最廣泛採用的國際標準之一。如果您的組織已經熟悉 ISO/IEC 27001，則整合 ISO/IEC 27701 所提供的新隱私權控制是邏輯式且更有效率的。這種方法表示兩者的實作和稽核成本較低且更容易達成。 ISO/IEC 27701 和 ISO/IEC 27001 的重點：

ISO/IEC 27001 是世界上最常使用的 ISO 標準之一，許多公司都已取得認證。
ISO/IEC 27701 包含新的控制器和處理器特定控件，可協助縮小隱私權和安全性之間的差距。它提供組織中兩個不同功能之間的整合點。
隱私權取決於安全性。同樣地，ISO/IEC 27701 依賴 ISO/IEC 27001 進行安全性管理。 ISO/IEC 27701 的認證必須取得為 ISO/IEC 27001 認證的延伸模組，且無法獨立取得。

您的組織應該如何使用 ISO/IEC 27701？

無論您的組織大小為何，無論是控制者或處理者，您的組織都應該考慮為您自己的組織進行認證，或根據您的業務需求向廠商或供應商要求認證。這種情況特別適用於處理敏感性或大量個人資料的處理器、子處理器和共同控制器。您的組織應該評估其業務需求，以判斷其產品和服務的認證是否適合。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站中的一項功能，可協助您了解組織的合規性狀態，並採取動作來協助降低風險。合規性管理員會提供特優範本以為此法規建立評定。可在合規性管理員的 [評定範本] 頁面尋找範本。瞭解如何在合規性管理員中建立評估。