ISO 27701:2025 มีอะไรเปลี่ยนแปลงบ้าง?  เมื่อการรอคอยสิ้นสุดลงแล้ว! มาตรฐานสากลของ ISO/IEC 27701:2025 ได้ถูกเผยแพร่ ซึ่งเป็นการส่งสัญญาณถึงการเปลี่ยนแปลงครั้งสำคัญของมาตรฐานระบบการจัดการข้อมูลความเป็นส่วนตัว (PIMS) ที่ได้รับความนิยมสูงสุด

สำหรับองค์กรที่ได้รับการรับรองเวอร์ชัน 2019 (อ่านบทความ ISO 27701 (Privacy Information Management) เวอร์ชัน 2019) หรือกำลังวางแผนนำไปใช้ นี่คือการเปลี่ยนแปลงครั้งใหญ่ที่ส่งผลกระทบโดยตรงต่อนโยบายและการปฏิบัติงานด้านความเป็นส่วนตัว ความแตกต่างที่สำคัญที่สุดคือ ISO/IEC 27701:2025 ไม่ได้เป็น “ส่วนขยาย” (Extension) อีกต่อไป แต่ได้วิวัฒนาการเป็น “มาตรฐานระบบการจัดการแบบสแตนด์อโลน” (Stand-alone Management System)

เปรียบเทียบ ISO 27701:2025 ความแตกต่างหลักที่ทีม Marketing, Compliance และ IT ของคุณต้องทราบ

1. 🏗️ การเปลี่ยนแปลงโครงสร้างพื้นฐาน: จาก “ส่วนขยาย” สู่ “สแตนด์อโลน”

นี่คือการเปลี่ยนแปลงที่เป็นหัวใจหลักของเวอร์ชันใหม่:

• ฉบับปี 2019 (ของเดิม): ถูกออกแบบมาเป็น ส่วนขยาย ซึ่งหมายความว่า องค์กรจำเป็นต้องมีหรือต้องจัดทำระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ (ISMS) ตามมาตรฐาน ISO/IEC 27001:2013 เสียก่อน โครงสร้างของ 2019 จึงเป็นการ “เพิ่ม” ข้อกำหนดด้านความเป็นส่วนตัวเข้าไปในข้อกำหนดของ 27001
• ฉบับปี 2025 (ของใหม่): ถูกร่างขึ้นใหม่ทั้งหมดให้เป็น มาตรฐานระบบการจัดการ (MSS) ที่สมบูรณ์ในตัวเอง โดยใช้โครงสร้างระดับสูง (High-Level Structure – HLS) เช่นเดียวกับ ISO 9001 หรือ 27001 เอง

****องค์กรสามารถจัดทำและขอการรับรอง PIMS ได้ โดยไม่จำเป็นต้องได้รับการรับรอง ISO/IEC 27001 ก่อน ทำให้มีความยืดหยุ่นสูงมากสำหรับองค์กรที่ต้องการเน้น PIMS เป็นหลัก แต่ก็ยังคงสามารถบูรณาการเข้ากับ 27001 ได้อย่างแนบเนียน

2. 🏷️ ชื่อมาตรฐานที่เปลี่ยนไป (สะท้อนโครงสร้างใหม่)

การเปลี่ยนแปลงในข้อ 1 สะท้อนให้เห็นชัดเจนในชื่อของมาตรฐาน:

• ฉบับปี 2019: “Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management…” (เทคนิคการรักษาความปลอดภัย – ส่วนขยายของ ISO/IEC 27001 และ ISO/IEC 27002 สำหรับการจัดการข้อมูลความเป็นส่วนตัว…)
• ฉบับปี 2025: “Information security, cybersecurity and privacy protection – Privacy information management systems – Requirements and guidance” (ความมั่นคงปลอดภัยของสารสนเทศฯ – ระบบการจัดการข้อมูลความเป็นส่วนตัว – ข้อกำหนดและแนวทาง)

3. 🗂️ จัดระเบียบใหม่: รวม “ข้อควบคุม” และ “แนวทางปฏิบัติ”

เวอร์ชัน 2019 มีการวางแนวทางและข้อควบคุมไว้ค่อนข้างกระจัดกระจาย เวอร์ชัน 2025 ได้จัดระเบียบใหม่ทั้งหมดเพื่อความชัดเจน:

• ฉบับปี 2019:
  • แนวทางปฏิบัติ (Guidance) อยู่ใน Clauses 6, 7 และ 8
  • ข้อควบคุม (Controls) อยู่ใน Annex A (สำหรับ PII Controllers) และ Annex B (สำหรับ PII Processors)
• ฉบับปี 2025:
  • Annex A (บรรทัดฐาน): รวบรวม ข้อควบคุม (Controls) ทั้งหมดไว้ที่เดียว
    • Table A.1: ข้อควบคุมสำหรับ PII Controllers
    • Table A.2: ข้อควบคุมสำหรับ PII Processors
    • Table A.3: (ใหม่) ข้อควบคุมด้านความปลอดภัยสำหรับ ทั้ง Controllers และ Processors
  • Annex B (บรรทัดฐาน): รวบรวม แนวทางปฏิบัติ (Guidance) ทั้งหมดไว้ที่เดียว (ย้ายเนื้อหาจาก Clauses 7-8 เดิมมาไว้ที่นี่)

4. 🛡️ การบูรณาการด้านความปลอดภัยที่ชัดเจนขึ้น

เนื่องจากเวอร์ชัน 2025 เป็นมาตรฐานสแตนด์อโลน จึงไม่ได้อ้างถึงข้อควบคุมความปลอดภัยจาก ISO 27002:2013 อีกต่อไป แต่ได้กำหนดข้อกำหนดด้านความปลอดภัยที่จำเป็นไว้ภายในตัวเอง กล่าวคือ

• ฉบับปี 2025 กำหนดให้องค์กรต้องระบุและจัดทำ “โปรแกรมความมั่นคงปลอดภัยของสารสนเทศ (information security programme)” ที่เหมาะสมกับองค์กร โดยไม่จำเป็นต้องใช้ ISO 27001 เต็มระบบ แต่มี “หัวข้อบังคับ” (Domains) ด้านความปลอดภัยที่จำเป็น เช่น การควบคุมการเข้าถึง, การเข้ารหัสลับ, และการจัดการเหตุการณ์ ซึ่งอยู่ใน Clause 6.1.3 c)
• มีการเพิ่มข้อควบคุม (Annex A.3) และแนวทาง (Annex B.3) ด้านความปลอดภัยที่ใช้ร่วมกันสำหรับ PII โดยเฉพาะ ซึ่งเป็น “คู่มือปฏิบัติ” ว่าในแต่ละหัวข้อบังคับนั้นควรทำอะไรบ้าง

5. 🔄 ภาคผนวก F: ตัวช่วยในการเปลี่ยนผ่าน (Transition)

ภาคผนวก F (Annex F) ถูกปรับปรุงใหม่ทั้งหมดเพื่อช่วยองค์กรในการเปลี่ยนผ่าน:

• ฉบับปี 2019: Annex F อธิบาย “วิธีใช้ 27701 กับ 27001 และ 27002” (How to apply…)
• ฉบับปี 2025: Annex F คือ “ตารางเทียบเคียงกับ ISO/IEC 27701:2019” (Correspondence with…) ซึ่งเป็นเครื่องมือสำคัญสำหรับองค์กรที่ใช้เวอร์ชัน 2019 เพื่อดูว่าข้อควบคุมเดิมย้ายไปอยู่ที่ไหนในเวอร์ชันใหม่