ISO/IEC 27706:2025
(Main)Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems
Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems
This document specifies requirements and provides guidance for bodies providing audit and certification of a privacy information management system (PIMS) according to ISO/IEC 27701, in addition to the requirements contained within ISO/IEC 17021-1. The requirements contained in this document are demonstrated in terms of competence and reliability by bodies providing PIMS certification. The guidance contained in this document provides additional interpretation of these requirements for bodies providing PIMS certification. NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.
Sécurité de l'information, cybersécurité et protection de la vie privée — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management de la protection de la vie privée
Le présent document spécifie les exigences et fournit des recommandations pour les organismes procédant à l'audit et à la certification des systèmes de management de la protection de la vie privée (SMVP) conformément à l'ISO/IEC 27701, en complément des exigences contenues dans l'ISO/IEC 17021‑1. Les organismes qui procèdent à la certification de systèmes PIMS démontrent qu'ils respectent les exigences de compétence et de fiabilité présentées dans le présent document. Les recommandations contenues dans le présent document fournissent une interprétation supplémentaire de ces exigences pour les organismes procédant à la certification de systèmes PIMS. NOTE Le présent document peut être utilisé comme référentiel pour l'accréditation, l'évaluation par des pairs ou d'autres processus d'audit.
General Information
Standards Content (Sample)
International
Standard
ISO/IEC 27706
First edition
Information security, cybersecurity
2025-10
and privacy protection —
Requirements for bodies providing
audit and certification of privacy
information management systems
Sécurité de l'information, cybersécurité et protection de la vie
privée — Exigences pour les organismes procédant à l'audit et à
la certification des systèmes de management de la protection de
la vie privée
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 3
5 General requirements . 3
5.1 Legal and contractual matters .3
5.2 Management of impartiality .3
5.2.1 General considerations .3
5.2.2 Conflicts of interest.3
5.3 Liability and financing .3
6 Structural requirements . 3
7 Resource requirements . 3
7.1 Competence of personnel .3
7.1.1 General considerations .3
7.1.2 Determination of competence criteria.4
7.1.3 Evaluation processes .4
7.1.4 Other considerations .5
7.2 Personnel involved in the certification activities .5
7.3 Use of individual auditors and external technical experts .5
7.4 Personnel records .5
7.5 Outsourcing .5
8 Information Requirements . 5
8.1 Public information . .5
8.2 Certification documents .5
8.2.1 General .5
8.2.2 PIMS certification documents .5
8.3 Reference to certification and use of marks .5
8.4 Confidentiality .6
8.4.1 General .6
8.4.2 Access to organizational records.6
8.5 Information exchange between a certification body and its clients .6
9 Process requirements . 6
9.1 Pre-certification activities .6
9.1.1 Application .6
9.1.2 Application review . .6
9.1.3 Audit programme .6
9.1.4 Determining audit time .7
9.2 Planning audits .7
9.2.1 Determining audit objectives, scope and criteria .7
9.2.2 Audit team selection and assignments .7
9.2.3 Audit plan .7
9.3 Initial certification .8
9.3.1 General .8
9.3.2 Initial certification audit .8
9.4 Conducting audits .9
9.4.1 General .9
9.4.2 Specific elements of the PIMS audit .9
9.4.3 Audit report .9
9.5 Certification decision . . .10
© ISO/IEC 2025 – All rights reserved
iii
9.6 Maintaining certification .10
9.6.1 General .10
9.6.2 Surveillance activities .10
9.7 Appeals .10
9.8 Complaints.10
9.9 Client records .11
10 Management system requirements for certification bodies .11
10.1 Options.11
10.2 Option A: General management system requirements .11
10.3 Option B: Management system requirements in accordance with ISO 9001 .11
Annex A (normative) Audit time .12
Annex B (informative) Methods for audit time calculations. 17
Annex C (normative) Required knowledge and skills .22
Bibliography .24
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organizati
...
Norme
internationale
ISO/IEC 27706
Première édition
Sécurité de l'information,
2025-10
cybersécurité et protection de la
vie privée — Exigences pour les
organismes procédant à l'audit et
à la certification des systèmes de
management de la protection de la
vie privée
Information security, cybersecurity and privacy protection —
Requirements for bodies providing audit and certification of
privacy information management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 3
5 Exigences générales . . 3
5.1 Domaine juridique et contractuel .3
5.2 Gestion de l'impartialité .3
5.2.1 Considérations générales .3
5.2.2 Conflits d'intérêts .3
5.3 Responsabilité et situation financière .3
6 Exigences structurelles . 3
7 Exigences relatives aux ressources . 4
7.1 Compétence du personnel .4
7.1.1 Considérations générales .4
7.1.2 Détermination des critères de compétence .4
7.1.3 Processus d'évaluation.4
7.1.4 Autres considérations .5
7.2 Personnel intervenant dans les activités de certification .5
7.3 Intervention d'auditeurs et d'experts techniques externes individuels .5
7.4 Enregistrements relatifs au personnel .5
7.5 Externalisation .5
8 Exigences relatives aux informations . 5
8.1 Informations publiques . . .5
8.2 Documents de certification .5
8.2.1 Généralités .5
8.2.2 Documents de certification des SMVP .5
8.3 Référence à la certification et utilisation des marques .6
8.4 Confidentialité .6
8.4.1 Généralités .6
8.4.2 Accès aux enregistrements de l'organisation .6
8.5 Échange d'informations entre l'organisme de certification et ses clients .6
9 Exigences relatives aux processus . 6
9.1 Activités préalables à la certification .6
9.1.1 Demande de certification .6
9.1.2 Revue de la demande .6
9.1.3 Programme d'audit .7
9.1.4 Détermination du temps d'audit .7
9.2 Planification des audits .7
9.2.1 Détermination des objectifs, du domaine d'application et des critères de l'audit .7
9.2.2 Constitution de l'équipe d'audit et affectation des missions .8
9.2.3 Plan d'audit .8
9.3 Certification initiale .8
9.3.1 Généralités .8
9.3.2 Audit de certification initiale .8
9.4 Réalisation des audits .9
9.4.1 Généralités .9
9.4.2 Éléments spécifiques de l'audit de SMVP .9
9.4.3 Rapport d'audit .9
9.5 Décision de certification .10
© ISO/IEC 2025 – Tous droits réservés
iii
9.6 Maintien de la certification .10
9.6.1 Généralités .10
9.6.2 Activités de surveillance .10
9.7 Appels .11
9.8 Plaintes .11
9.9 Enregistrements relatifs au client .11
10 Exigences relatives au système de management des organismes de certification .11
10.1 Options.11
10.2 Option A: Exigences générales relatives au système de management .11
10.3 Option B: Exigences relatives au système de management conformément à l'ISO 9001 .11
Annexe A (normative) Temps d'audit .12
Annexe B (informative) Méthodes de calcul du temps d'audit .18
Annexe C (normative) Connaissances et savoir-faire exigés .23
Bibliographie .25
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des d
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.