ISO/IEC 27701:2025
(Main)Information security, cybersecurity and privacy protection - Privacy information management systems - Requirements and guidance
Information security, cybersecurity and privacy protection - Privacy information management systems - Requirements and guidance
This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.
Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la protection de la vie privée — Exigences et recommandations
Le présent document spécifie les exigences relatives à la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie privée (PIMS). Des recommandations sont également fournies pour faciliter la mise en œuvre des exigences du présent document. Le présent document s'adresse aux responsables de traitement de données à caractère personnel (DCP) et aux sous-traitants de DCP chargés et responsables du traitement des DCP. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organismes à but non lucratif.
General Information
- Status
- Published
- Publication Date
- 13-Oct-2025
- Current Stage
- 6060 - International Standard published
- Start Date
- 14-Oct-2025
- Due Date
- 17-Oct-2025
- Completion Date
- 14-Oct-2025
Relations
- Effective Date
- 22-Oct-2022
Overview
ISO/IEC 27701:2025 is the international standard for a Privacy Information Management System (PIMS). It specifies requirements for establishing, implementing, maintaining and continually improving a PIMS and provides implementation guidance. Intended for organizations that process personally identifiable information (PII), the standard helps demonstrate accountability and consistent privacy management across public and private sectors, government entities and not‑for‑profits.
Key topics and requirements
ISO/IEC 27701:2025 follows the ISO management‑system structure and covers practical privacy controls and processes. Major areas include:
- Scope and context: defining the PIMS boundary and understanding interested parties and legal requirements.
- Leadership and governance: top‑management commitment, privacy policy, and clear roles and responsibilities.
- Planning: identification of risks and opportunities, privacy risk assessment and risk treatment, and setting privacy objectives.
- Support and resources: competence, awareness, communications and documented information management.
- Operation: operational planning and control for PII processing, including controls for PII controllers and PII processors.
- Performance evaluation: monitoring, measurement, internal audit and management review.
- Improvement: continual improvement, nonconformity handling and corrective actions.
- Annexes: normative control objectives and controls for PII controllers/processors (Annex A), implementation guidance (Annex B), and mappings to ISO/IEC 29100, GDPR, ISO/IEC 27018 and ISO/IEC 29151.
Keywords: privacy information management system, PIMS, PII, privacy risk assessment, privacy controls, data protection, ISO/IEC 27701:2025.
Practical applications
ISO/IEC 27701:2025 is used to:
- Build or extend an ISO/IEC 27001 information security management system with privacy-specific controls.
- Demonstrate legal and contractual compliance for organizations acting as PII controllers or PII processors.
- Support GDPR readiness and cross-border data protection agreements via mapped guidance to the EU GDPR.
- Provide evidence of privacy governance for suppliers, customers and regulators during audits or due diligence.
- Guide Privacy Officers, CISOs, compliance teams, DPOs and auditors in implementing repeatable privacy risk management and accountability mechanisms.
Who should use it
- Organizations processing PII of any size or sector (public, private, non‑profit)
- Cloud and service providers acting as PII processors or sub‑processors
- Data protection officers, privacy program managers, information security teams and auditors
Related standards
- ISO/IEC 27001 (Information security management) - for alignment/integration
- ISO/IEC 29100 (Privacy framework) - conceptual mapping
- ISO/IEC 27018 and ISO/IEC 29151 - additional mappings provided in the standard
- EU GDPR - mapping and guidance included
ISO/IEC 27701:2025 provides a practical, auditable framework to manage privacy risk, improve accountability and integrate privacy into existing security and compliance programs.
ISO/IEC 27701:2025 - Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance Released:10/14/2025
ISO/IEC 27701:2025 - Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la protection de la vie privée — Exigences et recommandations Released:10/14/2025
Frequently Asked Questions
ISO/IEC 27701:2025 is a standard published by the International Organization for Standardization (ISO). Its full title is "Information security, cybersecurity and privacy protection - Privacy information management systems - Requirements and guidance". This standard covers: This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.
This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.
ISO/IEC 27701:2025 is classified under the following ICS (International Classification for Standards) categories: 35.030 - IT Security. The ICS classification helps identify the subject area and facilitates finding related standards.
ISO/IEC 27701:2025 has the following relationships with other standards: It is inter standard links to ISO/IEC 27701:2019. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.
You can purchase ISO/IEC 27701:2025 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.
Standards Content (Sample)
International
Standard
ISO/IEC 27701
Second edition
Information security, cybersecurity
2025-10
and privacy protection — Privacy
information management systems
— Requirements and guidance
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la protection de la vie
privée — Exigences et recommandations
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviations . 1
4 Context of the organization . 4
4.1 Understanding the organization and its context .4
4.2 Understanding the needs and expectations of interested parties .5
4.3 Determining the scope of the privacy information management system .5
4.4 Privacy information management system .6
5 Leadership . 6
5.1 Leadership and commitment .6
5.2 Privacy policy .6
5.3 Roles, responsibilities and authorities .7
6 Planning . 7
6.1 Actions to address risks and opportunities .7
6.1.1 General .7
6.1.2 Privacy risk assessment.7
6.1.3 Privacy risk treatment .8
6.2 Privacy objectives and planning to achieve them .9
6.3 Planning of changes .10
7 Support .10
7.1 Resources .10
7.2 Competence .10
7.3 Awareness .10
7.4 Communication .10
7.5 Documented information .11
7.5.1 General .11
7.5.2 Creating and updating documented information .11
7.5.3 Control of documented information .11
8 Operation .12
8.1 Operational planning and control . 12
8.2 Privacy risk assessment . 12
8.3 Privacy risk treatment. 12
9 Performance evaluation .12
9.1 Monitoring, measurement, analysis and evaluation . . 12
9.2 Internal audit . 13
9.2.1 General . 13
9.2.2 Internal audit programme . 13
9.3 Management review . 13
9.3.1 General . 13
9.3.2 Management review inputs . 13
9.3.3 Management review results .14
10 Improvement . 14
10.1 Continual improvement .14
10.2 Nonconformity and corrective action .14
11 Further information on annexes . 14
Annex A (normative) PIMS reference control objectives and controls for PII controllers and PII
processors .15
© ISO/IEC 2025 – All rights reserved
iii
Annex B (normative) Implementation guidance for PII controllers and PII processors .21
Annex C (informative) Mapping to ISO/IEC 29100 . 51
Annex D (informative) Mapping to the General Data Protection Regulation .53
Annex E (informative) Mapping to ISO/IEC 27018 and ISO/IEC 29151 .56
Annex F (informative) Correspondence with ISO/IEC 27701:2019 .58
Bibliography .64
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 27701:2019), which has been technically
revised.
The main changes are as follows:
— the document has been redrafted as a stand-alone management system standard.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.
© ISO/IEC 2025 – All rights reserved
v
Introduction
0.1 General
Almost every organization processes personally identifiable information (PII). Further, the quantity and
types of PII processed are increasing, as are the number of situations where an organization needs to
cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of
the processing of PII is a societal need, as well as the topic of dedicated legal requirements worldwide.
This document includes mapping to:
— the privacy framework and principles defined in ISO/IEC 29100;
— ISO/IEC 27018;
— ISO/IEC 29151;
— the EU General Data Protection Regulation.
NOTE These mappings can be interpreted to take into account local legal requirements.
This document can be used by PII controllers (including those that are joint PII controllers) and PII
processors (including those using subcontracted PII processors and those processing PII as subcontractors
to PII processors).
By complying with the requirements in this document, an organization can generate evidence of how it
handles the processing of PII. Such evidence can be used to facilitate agreements with business partners
where the processing of PII is mutually relevant. This can also assist in relationships with other interested
parties. The use of this document can provide independent verification of this evidence.
0.2 Compatibility with other management system standards
This document applies the framework developed by ISO to improve alignment among its management
system standards.
This document enables an organization to align or integrate its privacy information management system
(PIMS) with the requirements of other management system standards, and in particular with the
information security management system specified in ISO/IEC 27001.
© ISO/IEC 2025 – All rights reserved
vi
International Standard ISO/IEC 27701:2025(en)
Information security, cybersecurity and privacy protection —
Privacy information management systems — Requirements
and guidance
1 Scope
This document specifies requirements for establishing, implementing, maintaining and continually
improving a privacy information management system (PIMS).
Guidance is also provided to assist in the implementation of the requirements in this document.
This document is intended for personally identifiable information (PII) controllers and PII processors
holding responsibility and accountability for PII processing.
This document is applicable to all types and sizes of organizations, including public and private companies,
government entities and not-for-profit organizations.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
3 Terms, definitions and abbreviations
For the purposes of this document, the terms and definitions given in ISO/IEC 29100 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives (3.6)
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not,
public or private.
Note 2 to entry: If the organization is part of a larger entity, the term “organization” refers only to the part of the larger
entity that is within the scope of the privacy informationmanagement system (3.23).
3.2
interested party
person or organization (3.1) that can affect, be affected by, or perceive itself to be affected by a decision or
activity
© ISO/IEC 2025 – All rights reserved
3.3
top management
person or group of people who directs and controls an organization (3.1) at the highest level
Note 1 to entry: Top management has the power to delegate authority and provide resources within the organization.
Note 2 to entry: If the scope of the management system (3.4) covers only part of an organization, then top management
refers to those who direct and control that part of the organization.
3.4
management system
set of interrelated or interacting elements of an organization (3.1) to establish policies (3.5) and objectives
(3.6), as well as processes (3.8) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: The management system elements include the organization’s structure, roles and responsibilities,
planning and operation.
3.5
policy
intentions and direction of an organization (3.1) as formally expressed by its top management (3.3)
3.6
objective
result to be achieved
Note 1 to entry: An objective can be strategic, tactical, or operational.
Note 2 to entry: Objectives can relate to different disciplines (such as finance, health and safety, and environment).
They can be, for example, organization-wide or specific to a project, product or process (3.8).
Note 3 to entry: An objective can be expressed in other ways, e.g. as an intended result, as a purpose, as an operational
criterion, as a privacy objective or by the use of other words with similar meaning (e.g. aim, goal, or target).
Note 4 to entry: In the context of privacy information management systems (3.23), privacy objectives are set by the
organization (3.1), consistent with the privacy policy (3.5), to achieve specific results.
3.7
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence, or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events and consequences, or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes
in circumstances) and the associated likelihood of occurrence.
3.8
process
set of interrelated or interacting activities that uses or transforms inputs to deliver a result
Note 1 to entry: Whether the result of a process is called an output, a product or a service depends on the context of
the reference.
3.9
competence
ability to apply knowledge and skills to achieve intended results
© ISO/IEC 2025 – All rights reserved
3.10
documented information
information required to be controlled and maintained by an organization (3.1) and the medium on which it
is contained
Note 1 to entry: Documented information can be in any format and media and from any source.
Note 2 to entry: Documented information can refer to:
— the management system (3.4), including related processes (3.8);
— information created in order for the organization to operate (documentation);
— evidence of results achieved (records).
3.11
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to managing activities, processes (3.8), products, services, systems or
organizations (3.1).
3.12
continual improvement
recurring activity to enhance performance (3.11)
3.13
effectiveness
extent to which planned activities are realized and planned results are achieved
3.14
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization (3.1) and
interested parties (3.2) that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, e.g. in documented information (3.10).
3.15
conformity
fulfilment of a requirement (3.14)
3.16
nonconformity
non-fulfilment of a requirement (3.14)
3.17
corrective action
action to eliminate the cause(s) of a nonconformity (3.16) and to prevent recurrence
3.18
audit
systematic and independent process (3.8) for obtaining evidence and evaluating it objectively to determine
the extent to which the audit criteria are fulfilled
Note 1 to entry: An audit can be an internal audit (first party) or an external audit (second party or third party), and it
can be a combined audit (combining two or more disciplines).
Note 2 to entry: An internal audit is conducted by the organization (3.1) itself, or by an external party on its behalf.
Note 3 to entry: “Audit evidence” and “audit criteria” are defined in ISO 19011.
© ISO/IEC 2025 – All rights reserved
3.19
measurement
process (3.8) to determine a value
3.20
monitoring
determining the status of a system, a process (3.8) or an activity
Note 1 to entry: To determine the status, there can be a need to check, supervise or critically observe.
3.21
joint PII controller
personally identifiable information (PII) controller that determines the purposes and means of the
processing of PII jointly with one or more other PII controllers
3.22
customer
person or organization (3.1) that can or does receive a product or a service that is intended for or required
by this person or organization
EXAMPLE Consumer, client, end-user, retailer, receiver of product or service from an internal process (3.8),
beneficiary and purchaser.
Note 1 to entry: A customer can be internal or external to the organization.
Note 2 to entry: A customer can be an organization that has a contract with a PII controller, a PII controller who has a
contract with a PII processor or a PII processor that has a contract with a subcontractor for PII processing.
3.23
privacy information management system
PIMS
management system (3.4) which addresses the protection of privacy as potentially affected by the processing
of personally identifiable information
3.24
information security programme
set of policies (3.5), objectives (3.6) and processes (3.8) designed to manage risks (3.7) to an organization's
(3.1) assets, to ensure confidentiality, integrity and availability of information
Note 1 to entry: An information security programme can be, for example, an information security management system
such as one based on ISO/IEC 27001.
3.25
statement of applicability
documentation of all necessary controls and justification for the inclusion or exclusion of such controls
4 Context of the organization
4.1 Understanding the organization and its context
The organization shall determine external and internal issues that are relevant to its purpose and that affect
its ability to achieve the intended result(s) of its privacy information management system.
The organization shall determine whether climate change is a relevant issue.
The organization shall determine if it is acting as a PII controller (including as a joint PII controller) or as a
PII processor.
The organization shall determine external and internal issues that are relevant to its context and that affect
its ability to achieve the intended outcome(s) of its PIMS.
NOTE 1 External and internal issues can include but are not limited to:
© ISO/IEC 2025 – All rights reserved
— applicable privacy legislation;
— applicable regulations;
— applicable judicial decisions;
— applicable organizational context, governance, policies and procedures;
— applicable administrative decisions;
— applicable contractual requirements.
Where the organization acts in both roles (i.e. a PII controller and a PII processor), separate roles shall be
determined, each of which is the subject of a separate set of controls.
NOTE 2 The role of the organization can be different for each instance of the processing of PII, since it depends on
who determines the purposes and means of the processing.
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
— the interested parties that are relevant to the privacy information management system;
— the relevant requirements of these interested parties;
— which of these requirements will be addressed through the privacy information management system.
NOTE 1 Relevant interested parties can have requirements related to climate change.
The organization shall include among its interested parties those parties having interests or responsibilities
associated with the processing of PII, including the PII principals.
NOTE 2 Other interested parties can include customers, supervisory authorities, other PII controllers, PII
processors and their subcontractors.
Depending on the role of the organization, “customer” can be understood as either:
a) an organization who has a contract with a PII controller (e.g. the customer of the PII controller);
NOTE 3 This can be the case of an organization which is a joint PII controller.
b) a PII controller who has a contract with a PII processor (e.g. the customer of the PII processor); or
c) a PII processor who has a contract with a subcontractor for PII processing (e.g. the customer of the
subcontracted PII processor).
NOTE 4 An individual person whose PII is processed in a business association (for example in a consumer, employee,
vendor, visitor relationship) is referred to as a “PII principal” in this document.
NOTE 5 Requirements relevant to the processing of PII can be determined by legal and regulatory requirements, by
contractual obligations and by self-imposed organizational objectives. The privacy principles set out in ISO/IEC 29100
provide guidance concerning the processing of PII.
NOTE 6 To demonstrate conformity with the organization's obligations, some interested parties can expect that
the organization is in conformity with specific standards, such as the management system specified in this document
or any relevant set of specifications. These parties can call for independently audited conformity to these standards.
4.3 Determining the scope of the privacy information management system
The organization shall determine the boundaries and applicability of the privacy information management
system to establish its scope.
© ISO/IEC 2025 – All rights reserved
When determining this scope, the organization shall consider:
— the external and internal issues referred to in 4.1;
— the requirements referred to in 4.2.
The scope shall be available as documented information.
When determining the scope of the PIMS, the organization shall include the processing of PII.
4.4 Privacy information management system
The organization shall establish, implement, maintain and continually improve a privacy information
management system, including the processes needed and their interactions, in accordance with the
requirements of this document.
5 Leadership
5.1 Leadership and commitment
Top management shall demonstrate leadership and commitment with respect to the privacy information
management system by:
— ensuring that the privacy policy (see 5.2) and privacy objectives (see 6.2) are established and are
compatible with the strategic direction of the organization;
— ensuring the integration of the privacy information management system requirements into the
organization’s business processes;
— ensuring that the resources needed for the privacy information management system are available;
— communicating the importance of effective privacy information management and of conforming to the
privacy information management system requirements;
— ensuring that the privacy information management system achieves its intended result(s);
— directing and supporting persons to contribute to the effectiveness of the privacy information
management system;
— promoting continual improvement;
— supporting other relevant roles to demonstrate their leadership as it applies to their areas of responsibility.
NOTE Reference to “business” in this document can be interpreted broadly to mean those activities that are core
to the purposes of the organization’s existence.
5.2 Privacy policy
Top management shall establish a privacy policy that:
a) is appropriate to the purpose of the organization;
b) provides a framework for setting privacy objectives;
c) includes a commitment to meet applicable requirements;
d) includes a commitment to continual improvement of the privacy information management system.
The privacy policy shall:
— be available as documented information;
© ISO/IEC 2025 – All rights reserved
— be communicated within the organization;
— be available to interested parties, as appropriate.
5.3 Roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for relevant roles are assigned and
communicated within the organization.
Top management shall assign the responsibility and authority for:
a) ensuring that the privacy information management system conforms to the requirements of this
document;
b) reporting on the performance of the privacy information management system to top management.
6 Planning
6.1 Actions to address risks and opportunities
6.1.1 General
When planning for the privacy information management system, the organization shall consider the issues
referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that
need to be addressed to:
— give assurance that the privacy information management system can achieve its intended result(s);
— prevent, or reduce, undesired effects;
— achieve continual improvement.
The organization shall plan:
a) actions to address these risks and opportunities;
b) how to
— integrate and implement the actions into its privacy information management system processes;
— evaluate the effectiveness of these actions.
6.1.2 Privacy risk assessment
The organization shall define and apply a privacy risk assessment process that:
a) establishes and maintains privacy risk criteria that include:
1) the risk acceptance criteria; and
2) criteria for performing privacy risk assessments;
b) ensures that repeated privacy risk assessments produce consistent, valid and comparable results;
c) identifies the privacy risks:
1) associated with the protection of privacy and information security risks within the scope of the
privacy information management system; and
© ISO/IEC 2025 – All rights reserved
2) that identify the risk owners;
d) analyses the privacy risks that:
1) assess the potential consequences for both the organization and PII principals that would result if
the risks identified in c) 1) were to materialize;
2) assess the realistic likelihood of the occurrence of the risks identified in c) 1); and
3) determine the levels of risk;
e) evaluates the privacy risks that:
1) compare the results of risk analysis with the risk criteria established in a); and
2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the privacy risk assessment process.
NOTE For further information on the privacy risk assessment process, see ISO/IEC 27557.
6.1.3 Privacy risk treatment
The organization shall define and apply a privacy risk treatment process to treat risks related to the
processing of PII, including risks to PII principals, and including the security of PII, by:
a) selecting appropriate privacy risk treatment options, taking account of the risk assessment results;
b) determining all controls that are necessary to implement the privacy risk treatment option(s) chosen;
NOTE 1 Organizations can design controls as required or identify them from any source.
c) identifying and documenting the information security programme implemented by the organization,
including the appropriate security controls;
The information security programme at a minimum should address the following:
— information security risk management;
— policies for information security;
— organization of information security;
— human resources security;
— asset management;
— access control;
— operations security;
— network security management;
— development security;
— supplier management;
— incident management;
— information security continuity;
— information security reviews;
— cryptography; and
© ISO/IEC 2025 – All rights reserved
— physical and environmental security.
NOTE 2 ISO/IEC 27002 provides a list of possible information security controls. If the information security
programme is based on ISO/IEC 27001, ISO/IEC 27002 can be consulted to ensure that no necessary information
security controls are overlooked.
d) comparing the controls determined in b) and c) above with those in Annex A and verifying that no
necessary controls have been omitted;
NOTE 3 Annex A contains a list of possible privacy controls. Annex A can be consulted to ensure that no
necessary privacy controls are overlooked.
NOTE 4 The privacy controls listed in Annex A are not exhaustive and additional privacy controls can be
included if needed.
NOTE 5 Organizations can address information security and privacy in an integrated manner when considering
the security of PII processing, combining information security and privacy risk assessments for example, or as
separate entities with overlapping areas.
e) producing a statement of applicability that includes:
— the necessary controls [see b), c) and d)];
— justification for their inclusion;
— whether the necessary controls are implemented or not; and
— the justification for excluding any of the controls from Annex A.
It is not necessary to include all controls listed in Annex A. For example, controls can be excluded if they are
not deemed necessary by the risk assessment or are not covered by (or are subject to exceptions under) the
applicable legal requirements, including those applicable to the PII principal.
f) formulating a privacy risk treatment plan;
g) obtaining the privacy risk owners’ approval of the privacy risk treatment plan and acceptance of the
residual privacy risks; and
h) considering the guidance in Annex B for the implementation of controls determined in b) and c).
The organization shall retain documented information about the privacy risk treatment process.
6.2 Privacy objectives and planning to achieve them
The organization shall establish privacy objectives at relevant functions and levels.
The privacy objectives shall:
a) be consistent with the privacy policy (see 5.2);
b) be measurable (if practicable);
c) take into account applicable requirements;
d) be monitored;
e) be communicated;
f) be updated as appropriate;
g) be available as documented information.
When planning how to achieve its privacy objectives, the organization shall determine:
— what will be done;
© ISO/IEC 2025 – All rights reserved
— what resources will be required;
— who will be responsible;
— when it will be completed;
— how the results will be evaluated.
6.3 Planning of changes
When the organization determines the need for changes to the privacy information management system,
the changes shall be carried out in a planned manner.
7 Support
7.1 Resources
The organization shall determine and provide the resources needed for the establishment, implementation,
maintenance and continual improvement of the privacy information management system.
7.2 Competence
The organization shall:
— determine the necessary competence of person(s) doing work under its control that affects its privacy
information management performance;
— ensure that these persons are competent on the basis of appropriate education, training, or experience;
— where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of
the actions taken.
Appropriate documented information shall be available as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the re-
assignment of currently employed persons; or the hiring or contracting of competent persons.
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
— the privacy policy (see 5.2);
— their contribution to the effectiveness of the privacy information management system, including the
benefits of improved privacy performance;
— the implications of not conforming with the privacy information management system requirements.
7.4 Communication
The organization shall determine the internal and external communications relevant to the privacy
information management system including:
— on what it will communicate;
— when to communicate;
— with whom to communicate;
— how to communicate.
© ISO/IEC 2025 – All rights reserved
7.5 Documented information
7.5.1 General
The organization’s privacy information management system shall include:
a) documented information required by this document;
b) documented information determined by the organization as being necessary for the effectiveness of the
privacy information management system.
NOTE The extent of documented information for a privacy information management system can differ from one
organization to another due to:
— the size of organization and its type of activities, processes, products and services;
— the complexity of processes and their interactions;
— the competence of persons.
7.5.2 Creating and updating documented information
When creating and updating documented information, the organization shall ensure appropriate:
— identification and description (e.g. a title, date, author, or reference number);
— format (e.g. language, software version, graphics) and media (e.g. paper, electronic);
— review and approval for suitability and adequacy.
7.5.3 Control of documented information
Documented information required by the privacy information management system and by this document
shall be controlled to ensure:
a) it is available and suitable for use, where and when it is needed;
b) it is adequately protected (e.g. from loss of confidentiality, improper use, or loss of integrity).
For the control of documented information, the organization shall address the following activities, as
applicable:
— distribution, access, retrieval and use;
— storage and preservation, including preservation of legibility;
— control of changes (e.g. version control);
— retention and disposition.
Documented information of external origin determined by the organization to be necessary for the planning
and operation of the privacy information management system shall be identified as appropriate, and
controlled.
NOTE Access can imply a decision regarding the permission to view the documented information only, or the
permission and authority to view and change the documented information.
© ISO/IEC 2025 – All rights reserved
8 Operation
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet requirements, and to
implement the actions determined in Clause 6, by:
— establishing criteria for the processes;
— implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes
have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking
action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to
the privacy information management system are controlled.
8.2 Privacy risk assessment
The organization shall perform privacy risk assessments at planned intervals or when significant changes
are proposed or occur, taking account of the criteria established in 6.1.2 a).
The organization shall retain documented information of the results of the privacy risk assessments.
8.3 Privacy risk treatment
The organization shall implement the privacy risk treatment plan.
The organization shall retain documented information of the results of the privacy risk treatment.
9 Performance evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
— what needs to be monitored and measured;
— the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results;
— when the monitoring and measuring shall be pe
...
Norme
internationale
ISO/IEC 27701
Deuxième édition
Sécurité de l'information,
2025-10
cybersécurité et protection de la vie
privée — Systèmes de management
de la protection de la vie privée —
Exigences et recommandations
Information security, cybersecurity and privacy protection —
Privacy information management systems — Requirements and
guidance
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Contexte de l'organisme . 5
4.1 Comprendre l'organisme et son contexte .5
4.2 Comprendre les besoins et attentes des parties intéressées .5
4.3 Déterminer le champ d'application du système de management de la protection de la
vie privée .6
4.4 Système de management de la protection de la vie privée .6
5 Leadership . 6
5.1 Leadership et engagement .6
5.2 Politique de protection de la vie privée .7
5.3 Rôles, responsabilités et autorités au sein de l'organisme .7
6 Planification. 8
6.1 Actions pour traiter les risques et les opportunités .8
6.1.1 Généralités .8
6.1.2 Appréciation des risques sur la vie privée .8
6.1.3 Traitement des risques sur la vie privée .9
6.2 Objectifs de protection de la vie privée et planification pour les atteindre .10
6.3 Planification des changements .11
7 Support .11
7.1 Ressources .11
7.2 Compétences . . .11
7.3 Sensibilisation .11
7.4 Communication .11
7.5 Informations documentées . 12
7.5.1 Généralités . 12
7.5.2 Création et mise à jour des informations documentées . 12
7.5.3 Maîtrise des informations documentées . 12
8 Réalisation .13
8.1 Planification et maîtrise . . 13
8.2 Appréciation des risques sur la vie privée . . 13
8.3 Traitement des risques sur la vie privée . 13
9 Évaluation des performances .13
9.1 Surveillance, mesure, analyse et évaluation . 13
9.2 Audit interne . .14
9.2.1 Généralités .14
9.2.2 Programme d'audit interne.14
9.3 Revue de direction .14
9.3.1 Généralités .14
9.3.2 Éléments d'entrée de la revue de direction .14
9.3.3 Résultats des revues de direction . 15
10 Amélioration .15
10.1 Amélioration continue . 15
10.2 Non-conformité et action corrective . 15
11 Informations supplémentaires sur les annexes .15
Annexe A (normative) Objectifs et mesures de référence du PIMS pour les responsables de
traitement de DCP et les sous-traitants de DCP . 17
© ISO/IEC 2025 – Tous droits réservés
iii
Annexe B (normative) Recommandations de mise en œuvre pour les responsables de
traitement de DCP et les sous-traitants de DCP .23
Annexe C (informative) Correspondance avec l'ISO/IEC 29100 .56
Annexe D (informative) Correspondance avec le Règlement général sur la protection des
données .59
Annexe E (informative) Correspondance avec l'ISO/IEC 27018 et l'ISO/IEC 29151 .62
Annexe F (informative) Correspondance avec l'ISO/IEC 27701:2019 .64
Bibliographie .71
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/iso/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec le comité technique CEN/CLC/JTC 13, Cybersécurité et protection des données, du Comité européen de
normalisation (CEN), conformément à l'Accord de coopération technique entre l'ISO et le CEN (Accord de
Vienne).
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27701:2019), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
— le document a été reformulé en tant que norme de système de management autonome.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/members.html et www.iec.ch/national-committees.
© ISO/IEC 2025 – Tous droits réservés
v
Introduction
0.1 Généralités
Tous les organismes ou presque traitent des données à caractère personnel (DCP). En outre, la quantité et
les types de DCP traitées sont en augmentation, de même que le nombre de situations où un organisme a
besoin de collaborer avec d'autres organismes en ce qui concerne le traitement des DCP. La protection de la
vie privée dans le contexte du traitement des DCP est une nécessité sociétale, et elle fait l'objet d’exigences
légales dédiées dans le monde entier.
Le présent document inclut une mise en correspondance avec:
— les principes et le cadre de la protection de la vie privée définis dans l'ISO/IEC 29100;
— l'ISO/IEC 27018;
— ISO/IEC 29151;
— le Règlement général sur la protection des données.
NOTE Il est possible d'interpréter ces correspondances de façon à tenir compte des exigences légales locales.
Le présent document peut être utilisé par les responsables de traitement de DCP (y compris ceux qui sont
des responsables conjoints de traitement) et les sous-traitants de DCP (y compris ceux qui utilisent des sous-
traitants de DCP sous-traitants et ceux qui traitent des DCP en tant que sous-traitants à des sous-traitants
de DCP).
En se conformant aux exigences du présent document, un organisme peut produire des preuves de la façon
dont il gère le traitement des DCP. Ces preuves peuvent être utilisées pour faciliter les accords avec les
partenaires d'affaires là où les deux parties sont concernées par le traitement des DCP. Cela peut également
faciliter les relations avec d'autres parties intéressées. L'utilisation du présent document peut fournir une
vérification indépendante de ces preuves.
0.2 Compatibilité avec les autres normes de systèmes de management
Le présent document applique le cadre élaboré par l'ISO afin d'améliorer l'harmonisation entre ses normes
de systèmes de management.
Le présent document permet à un organisme d'aligner ou d'intégrer son système de management de la
protection de la vie privée (PIMS) aux exigences d'autres normes de systèmes de management, et notamment
au système de management de la sécurité de l'information spécifié dans l'ISO/IEC 27001.
© ISO/IEC 2025 – Tous droits réservés
vi
Norme internationale ISO/IEC 27701:2025(fr)
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la protection de la vie
privée — Exigences et recommandations
1 Domaine d'application
Le présent document spécifie les exigences relatives à la création, la mise en œuvre, le maintien et
l'amélioration continue d'un système de management de la protection de la vie privée (PIMS).
Des recommandations sont également fournies pour faciliter la mise en œuvre des exigences du présent
document.
Le présent document s'adresse aux responsables de traitement de données à caractère personnel (DCP) et
aux sous-traitants de DCP chargés et responsables du traitement des DCP.
Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises
publiques et privées, les entités gouvernementales et les organismes à but non lucratif.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour
les références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 29100, Technologies de l'information — Techniques de sécurité — Cadre privé
3 Termes, définitions et abréviations
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 29100 ainsi que les suivants
s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
organisme
personne ou groupe de personnes ayant ses propres fonctions, avec des responsabilités, des autorités et des
relations lui permettant d'atteindre ses objectifs (3.6)
Note 1 à l'article: Le concept d'organisme englobe, sans s'y limiter, les travailleurs indépendants, les compagnies,
les sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les
institutions, ou bien une partie ou une combinaison des entités précédemment mentionnées, qu'il s'agisse d'une
personne morale ou non, de droit public ou privé.
Note 2 à l'article: Si l'organisme fait partie d'une plus grande entité, le terme «organisme» fait uniquement référence à
la partie de cette entité qui est comprise dans le champ d'application du système de management (3.23) de la protection
de la vie privée.
© ISO/IEC 2025 – Tous droits réservés
3.2
partie intéressée
personne ou organisme (3.1) qui peut soit influer sur une décision ou une activité, soit être influencé(e) ou se
sentir influencé(e) par une décision ou une activité
3.3
direction
personne ou groupe de personnes qui oriente et dirige un organisme (3.1) au plus haut niveau
Note 1 à l'article: La direction a le pouvoir de déléguer son autorité et de fournir des ressources au sein de l'organisme.
Note 2 à l'article: Si le domaine d'application du système de management (3.4) ne couvre qu’une partie de l’organisme,
alors «direction» fait référence à ceux qui orientent et dirigent cette partie de l’organisme.
3.4
système de management
ensemble d'éléments corrélés ou en interaction d'un organisme (3.1), utilisés pour établir des politiques (3.5)
et des objectifs (3.6), ainsi que des processus (3.8) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification et le fonctionnement de l'organisme.
3.5
politique
intentions et orientations d'un organisme (3.1) telles qu'elles sont officiellement formulées par sa direction (3.3)
3.6
objectif
résultat à atteindre
Note 1 à l'article: Un objectif peut être stratégique, tactique ou opérationnel.
Note 2 à l'article: Les objectifs peuvent se rapporter à plusieurs domaines (tels que la finance, la santé et la sécurité, et
l'environnement). Ils peuvent, par exemple, concerner tout l'organisme ou bien un projet, un produit ou un processus (3.8).
Note 3 à l'article: Il est possible qu'un objectif soit exprimé de différentes manières, par exemple par un résultat
attendu, une finalité, un critère opérationnel, un objectif de protection de la vie privée, ou par l'utilisation d'autres
termes ayant la même signification (par exemple ambition, but ou cible).
Note 4 à l'article: Dans le contexte des systèmes de management de la protection de la vie privée (3.23), les objectifs de
protection de la vie privée sont fixés par l'organisme (3.1), en cohérence avec sa politique (3.5) de protection de la vie
privée et en vue d'obtenir des résultats précis.
3.7
risque
effet de l'incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L'incertitude est l'état, même partiel, de manque d'information, de compréhension ou de connaissance
relative à un événement, à ses conséquences ou à sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels et à des conséquences
potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(y compris une variation des circonstances) et de la vraisemblance de son occurrence.
© ISO/IEC 2025 – Tous droits réservés
3.8
processus
ensemble d'activités corrélées ou en interaction qui utilise ou transforme des éléments d'entrée pour
produire un résultat
Note 1 à l'article: La désignation du résultat d'un processus comme «élément de sortie», «produit» ou «service» dépend
du contexte de référence.
3.9
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
3.10
information documentée
information devant être maîtrisée et tenue à jour par un organisme (3.1) ainsi que le support sur lequel elle
est disponible
Note 1 à l'article: Les informations documentées peuvent se présenter sous n'importe quels format et support et
peuvent provenir de n'importe quelle source.
Note 2 à l'article: «Information documentée» peut renvoyer:
— au système de management (3.4), y compris les processus (3.8) connexes;
— aux informations créées en vue du fonctionnement de l'organisme (documentation);
— aux preuves des résultats obtenus (enregistrements).
3.11
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent se rapporter à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d'activités, de processus (3.8), de produits, de
services, de systèmes ou d'organismes (3.1).
3.12
amélioration continue
activité récurrente menée pour améliorer les performances (3.11)
3.13
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
3.14
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme (3.1) et les parties
intéressées (3.2), que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence qui est formulée, par exemple dans une information
documentée (3.10).
3.15
conformité
satisfaction d'une exigence (3.14)
3.16
non-conformité
non-satisfaction d'une exigence (3.14)
© ISO/IEC 2025 – Tous droits réservés
3.17
action corrective
action visant à éliminer la ou les causes d'une non-conformité (3.16) et à prévenir sa récurrence
3.18
audit
processus (3.8) systématique et indépendant visant à obtenir des preuves et à les évaluer de manière
objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits
Note 1 à l'article: Un audit peut être interne (de première partie) ou externe (de seconde ou tierce partie), et il peut être
un audit combiné (s'il combine au moins deux domaines).
Note 2 à l'article: Un audit interne est conduit par l'organisme (3.1) lui-même ou par une partie externe pour le compte
de celui-ci.
Note 3 à l'article: Les termes «preuves d'audit» et «critères d'audit» sont définis dans l'ISO 19011.
3.19
mesure mesurage
processus (3.8) visant à déterminer une valeur
3.20
surveillance
détermination de l'état d'un système, d'un processus (3.8) ou d'une activité
Note 1 à l'article: Pour déterminer cet état, il peut être nécessaire de vérifier, de superviser ou d'observer d'un point de
vue critique.
3.21
responsable conjoint de traitement
responsable de traitement de données à caractère personnel (DCP) qui détermine les finalités et les moyens
du traitement des DCP conjointement avec un ou plusieurs autres responsables de traitement de DCP
3.22
client
personne ou organisme (3.1) qui peut recevoir ou qui reçoit un produit ou un service destiné à, ou demandé
par, cette personne ou cet organisme
EXEMPLE Consommateur, client, utilisateur final, détaillant, destinataire d'un produit ou d'un service issu d'un
processus (3.8) interne, bénéficiaire et acheteur.
Note 1 à l'article: Un client peut être interne à l'organisme ou lui être externe.
Note 2 à l'article: Un client peut être un organisme qui a conclu un contrat avec un responsable de traitement de DCP,
un responsable de traitement de DCP qui a conclu un contrat avec un sous-traitant de DCP ou un sous-traitant de DCP
qui a conclu un contrat avec un sous-traitant pour le traitement de DCP.
3.23
système de management de la protection de la vie privée
PIMS
système de management (3.4) qui gère la protection de la vie privée telle que potentiellement affectée par le
traitement des données à caractère personnel
3.24
programme de sécurité de l'information
ensemble de politiques (3.5), d'objectifs (3.6) et de processus (3.8) conçu pour gérer les risques (3.7) pour les
actifs d'un organisme (3.1), afin d'assurer la confidentialité, l'intégrité et la disponibilité des informations
Note 1 à l'article: Un programme de sécurité de l'information peut, par exemple, être un système de management de la
sécurité de l'information tel qu'un système basé sur l'ISO/IEC 27001.
© ISO/IEC 2025 – Tous droits réservés
3.25
déclaration d'applicabilité
documentation de toutes les mesures de sécurité nécessaires et justification de l'inclusion ou de l'exclusion
de telles mesures
4 Contexte de l'organisme
4.1 Comprendre l'organisme et son contexte
L'organisme doit déterminer les enjeux internes et externes pertinents par rapport à sa finalité et qui ont
une incidence sur sa capacité à atteindre le ou les résultats attendus de son système de management de la
protection de la vie privée.
L'organisme doit déterminer si de tels enjeux découlent des changements climatiques.
L'organisme doit déterminer s'il agit comme responsable de traitement de DCP (y compris comme
responsable conjoint de traitement) ou comme sous-traitant de DCP.
L'organisme doit déterminer les enjeux externes et internes pertinents pour son contexte, et qui ont une
incidence sur sa capacité à atteindre le ou les résultat(s) attendu(s) de son PIMS.
NOTE 1 Les enjeux internes et externes peuvent comprendre, sans que cela s'y limite:
— législation applicable en matière de protection de la vie privée;
— réglementations applicables;
— décisions judiciaires applicables;
— contexte, gouvernance, politiques et procédures organisationnels applicables;
— décisions administratives applicables;
— exigences contractuelles applicables.
Lorsque l'organisme agit dans les deux rôles (c'est-à-dire comme responsable de traitement de DCP et
comme sous-traitant de DCP), les différents rôles doivent être déterminés, chacun d'entre eux faisant l'objet
d'une série de mesures distincte.
NOTE 2 Le rôle de l'organisme peut être différent pour chaque instance du traitement des DCP, étant donné qu'il
dépend de qui détermine les finalités et les moyens du traitement.
4.2 Comprendre les besoins et attentes des parties intéressées
L'organisme doit déterminer:
— les parties intéressées qui sont concernées par le système de management de la protection de la vie privée;
— les exigences pertinentes de ces parties intéressées;
— lesquelles de ces exigences seront traitées par le système de management de la protection de la vie privée.
NOTE 1 Les parties intéressées concernées peuvent avoir des exigences relatives aux changements climatiques.
L'organisme doit inclure parmi ses parties intéressées les parties ayant des intérêts ou des responsabilités
associés au traitement des DCP, y compris les personnes concernées.
NOTE 2 Les autres parties intéressées peuvent inclure les clients, les autorités de contrôle, d'autres responsables
de traitement de DCP, les sous-traitants de DCP et leurs sous-traitants.
© ISO/IEC 2025 – Tous droits réservés
Selon le rôle de l'organisme, le terme «client» peut être compris comme signifiant:
a) un organisme qui a conclu un contrat avec un responsable de traitement de DCP (par exemple: le client
du responsable de traitement de DCP);
NOTE 3 Cela peut être le cas d'un organisme qui est un responsable conjoint de traitement de DCP.
b) un responsable de traitement de DCP qui a conclu un contrat avec un sous-traitant de DCP (par exemple:
le client du sous-traitant de DCP); ou
c) un sous-traitant de DCP qui a conclu un contrat avec un sous-traitant pour le traitement de DCP (par
exemple: le client du sous-traitant de DCP sous-traitant).
NOTE 4 Une personne physique dont les DCP sont traitées dans le cadre d'une association professionnelle (par
exemple, dans le cas d'une relation avec un consommateur, un employé, un vendeur, un visiteur) est appelée «personne
concernée» dans le présent document.
NOTE 5 Les exigences pertinentes pour le traitement des DCP peuvent être déterminées par les exigences légales
et réglementaires, par les obligations contractuelles et les objectifs que l'organisation s'impose elle-même. Les
principes de protection de la vie privée énoncés dans l'ISO/IEC 29100 fournissent des recommandations concernant le
traitement des DCP.
NOTE 6 Afin de démontrer la conformité aux obligations de l'organisme, certaines parties intéressées peuvent
attendre de l'organisme qu'il se conforme à des normes spécifiques, telles que le système de management spécifié dans
le présent document, ou à tout ensemble pertinent de spécifications. Ces parties peuvent demander que la conformité
à ces normes fasse l'objet d'un audit indépendant.
4.3 Déterminer le champ d'application du système de management de la protection de la
vie privée
L'organisme doit déterminer le ou les périmètres et l'applicabilité du système de management de la protection
de la vie privée, afin d'en déterminer le champ d'application.
Ce faisant, l'organisme doit prendre en compte:
— les enjeux externes et internes auxquels il est fait référence en 4.1;
— les exigences mentionnées en 4.2.
Le périmètre doit être disponible sous forme d'information documentée.
Lors de la détermination du champ d'application du PIMS, l'organisme doit inclure le traitement des DCP.
4.4 Système de management de la protection de la vie privée
L'organisme doit établir, mettre en œuvre, tenir à jour et améliorer en continu un système de management
de la protection de la vie privée, y compris les processus nécessaires et leurs interactions, conformément
aux exigences du présent document.
5 Leadership
5.1 Leadership et engagement
La direction doit démontrer son leadership et engagement vis-à-vis du système de management de la
protection de la vie privée en:
— s'assurant que la politique de protection de la vie privée (voir 5.2) et les objectifs de protection de la vie
privée (voir 6.2) sont établis et qu'ils sont compatibles avec l'orientation stratégique de l'organisme;
— s'assurant que les exigences liées au système de management de la protection de la vie privée sont
intégrées aux processus métier de l'organisme;
© ISO/IEC 2025 – Tous droits réservés
— s'assurant que les ressources nécessaires pour le système de management de la protection de la vie
privée sont disponibles;
— communiquant sur l'importance de l'efficacité du management de la protection de la vie privée et de la
conformité aux exigences du système de management de la protection de la vie privée;
— s'assurant que le système de management de la protection de la vie privée atteint le ou les résultats
attendus;
— orientant et soutenant les personnes pour qu'elles contribuent à l'efficacité du système de management
de la protection de la vie privée;
— promouvant l'amélioration continue;
— soutenant les autres rôles pertinents afin de démontrer que leur leadership s'applique dans leurs
domaines de responsabilité.
NOTE La référence au «métier» dans le présent document peut s'interpréter au sens large, c'est-à-dire comme les
activités qui contribuent directement aux finalités de l'organisme.
5.2 Politique de protection de la vie privée
La direction doit établir une politique de protection de la vie privée:
a) appropriée à la finalité de l’organisme;
b) fournissant un cadre pour établir des objectifs de protection de la vie privée;
c) incluant l'engagement de satisfaire aux exigences applicables;
d) comprenant un engagement en faveur de l'amélioration continue du système de management de la
protection de la vie privée.
La politique de protection de la vie privée doit:
— être disponible sous forme d’information documentée;
— être communiquée au sein de l'organisme;
— être disponible pour les parties intéressées, le cas échéant.
5.3 Rôles, responsabilités et autorités au sein de l'organisme
La direction doit s'assurer que les responsabilités et autorités des rôles pertinents sont attribuées et
communiquées au sein de l'organisme.
La direction doit attribuer la responsabilité et l'autorité pour:
a) s'assurer que le système de management de la protection de la vie privée est conforme aux exigences du
présent document;
b) rendre compte des performances du système de management de la protection de la vie privée à la
direction.
© ISO/IEC 2025 – Tous droits réservés
6 Planification
6.1 Actions pour traiter les risques et les opportunités
6.1.1 Généralités
Lors de la planification de son système de management de la protection de la vie privée, l'organisme doit
examiner les enjeux mentionnés en 4.1 et les exigences mentionnées en 4.2 et déterminer les risques et les
opportunités à traiter en vue de:
— donner l'assurance que le système de management de la protection de la vie privée peut atteindre le ou
les résultats attendus;
— prévenir ou réduire les effets indésirables; et
— appliquer avec succès une démarche d'amélioration continue.
L'organisme doit planifier:
a) les actions pour traiter les risques et les opportunités;
b) la manière:
— d'intégrer et de mettre en œuvre les actions au sein des processus de son système de management de la
protection de la vie privée;
— d'évaluer l'efficacité de ces actions.
6.1.2 Appréciation des risques sur la vie privée
L'organisme doit définir et appliquer un processus d'appréciation des risques sur la vie privée qui:
a) établit et tient à jour les critères de risques sur la vie privée incluant:
1) les critères d'acceptation des risques; et
2) les critères de réalisation des appréciations des risques sur la vie privée;
b) s'assure que la répétition de ces appréciations des risques sur la vie privée produit des résultats
cohérents, valides et comparables;
c) identifie les risques sur la vie privée:
1) associés à la protection de la vie privée et aux risques liés à la sécurité de l'information dans le
domaine d'application du système de management de la protection de la vie privée; et
2) qui identifient les propriétaires des risques;
d) analyse les risques sur la vie privée qui:
1) apprécient les conséquences potentielles, tant pour l'organisme que pour les personnes concernées,
dans le cas où les risques identifiés en c) 1) se concrétiseraient;
2) procèdent à une évaluation réaliste de la vraisemblance d'apparition des risques identifiés en c) 1); et
3) déterminent les niveaux des risques;
e) évalue les risques sur la vie privée qui:
1) comparent les résultats d'analyse des risques avec les critères de risque déterminés en a); et
2) priorisent les risques analysés pour le traitement des risques.
© ISO/IEC 2025 – Tous droits réservés
L'organisme doit conserver des informations documentées sur le processus d'appréciation des risques sur la
vie privée.
NOTE Pour des informations supplémentaires sur le processus d'appréciation des risques sur la vie privée, voir
l'ISO/IEC 27557.
6.1.3 Traitement des risques sur la vie privée
L'organisme doit définir et appliquer un processus de traitement des risques sur la vie privée pour traiter
les risques liés au traitement des DCP, y compris les risques pour les personnes concernées et la sécurité des
DCP, en:
a) choisissant les options appropriées de traitement des risques sur la vie privée, en tenant compte des
résultats de l'appréciation des risques;
b) déterminant toutes les mesures nécessaires à la mise en œuvre de(s) (l')option(s) de traitement des
risques sur la vie privée choisie(s);
NOTE 1 Les organismes peuvent concevoir ces mesures, le cas échéant, ou bien les identifier à partir de
n'importe quelle source.
c) identifiant et documentant le programme de sécurité de l'information mis en œuvre par l'organisme, y
compris les mesures de sécurité appropriées;
Il convient que le programme de sécurité de l'information couvre au moins les aspects suivants:
— la gestion des risques liés à la sécurité de l'information;
— les politiques de sécurité de l'information;
— l’organisation de la sécurité de l'information;
— la sécurité des ressources humaines;
— la gestion d'actifs;
— les contrôles d'accès;
— la sécurité liée à l'exploitation;
— le management de la sécurité des réseaux;
— la sécurité du développement;
— la gestion des fournisseurs;
— la gestion des incidents;
— la continuité de la sécurité de l'information;
— la revue de la sécurité de l'information;
— la cryptographie; et
— la sécurité physique et environnementale.
NOTE 2 L'ISO/IEC 27002 fournit une liste des mesures de sécurité de l'information possibles. Si le programme
de sécurité de l'information est basé sur l'ISO/IEC 27001, l'ISO/IEC 27002 peut être consultée pour s'assurer
qu'aucune mesure de sécurité de l'information nécessaire n'a été négligée.
d) comparant les mesures déterminées ci-dessus en b) et en c) avec celles de l'Annexe A et en vérifiant
qu'aucune mesure nécessaire n'a été omise;
NOTE 3 L'Annexe A comporte une liste des mesures de protection de la vie privée possibles. L'Annexe A peut
être consultée pour s'assurer qu'aucune mesure de protection de la vie privée n'a été négligée.
© ISO/IEC 2025 – Tous droits réservés
NOTE 4 Les mesures de protection de la vie privée énumérées dans l'Annexe A ne sont pas exhaustives et des
mesures de protection de la vie privée additionnelles peuvent être incluses si nécessaire.
NOTE 5 Les organismes peuvent traiter de la sécurité de l’information et de la protection de la vie privée
de manière intégrée lorsqu'ils envisagent la sécurité du traitement des DCP, en combinant par exemple des
appréciations des risques de sécurité de l’information et des risques sur la vie privée, ou en tant qu'entités
distinctes avec des domaines qui se chevauchent.
e) produisant une déclaration d'applicabilité contenant:
— les mesures nécessaires [voir b), c) et d)];
— la justification de leur insertion;
— si les mesures de sécurité nécessaires sont mises en œuvre ou non; et
— la justification de l'exclusion de toute mesure de l'Annexe A.
Il n'est pas nécessaire d'inclure toutes les mesures énumérées à l'Annexe A. Par exemple, des mesures
peuvent être exclues si elles ne sont pas jugées nécessaires par l'appréciation des risques ou ne sont pas
couvertes par les (ou sont soumises à des exceptions en vertu des) exigences légales applicables, y compris
celles applicables à la personne concernée.
f) formulant un plan de traitement du risque sur la vie privée;
g) obtenant l'approbation des propriétaires des risques sur la vie privée du plan de traitement des risques
sur la vie privée, ainsi que leur acceptation des risques résiduels sur la vie privée; et
h) tenant compte des recommandations de l'Annexe B pour la mise en œuvre des mesures déterminées en
b) et c).
L'organisme doit conserver des informations documentées sur le processus de traitement des risques sur la
vie privée.
6.2 Objectifs de protection de la vie privée et planification pour les atteindre
L'organisme doit établir des objectifs de protection de la vie privée aux fonctions et niveaux pertinents.
Les objectifs de protection de la vie privée doivent:
a) être en cohérence avec la politique de protection de la vie privée (voir 5.2);
b) être mesurables (si possible);
c) tenir compte des exigences applicables;
d) être surveillés;
e) être communiqués;
f) être mis à jour comme approprié;
g) être tenus à jour sous la forme d'une information documentée.
Lorsque l'organisme planifie la façon d'atteindre ses objectifs de protection de la vie privée, il doit déterminer:
— ce qui sera fait;
— quelles ressources seront nécessaires;
— qui sera responsable;
— quand ce sera terminé; et
— comment les résultats seront évalués.
© ISO/IEC 2025 – Tous droits réservés
6.3 Planification des changements
Lorsque l'organisme détermine qu'il y a besoin d'apporter des changements au syst
...
ISO/IEC 27701:2025 표준은 개인 정보 관리 시스템(PIMS)의 구축, 구현, 유지 및 지속적 개선을 위한 요구 사항을 명확히 규정하고 있습니다. 이 표준의 범위는 PII(개인 식별 정보) 책임자 및 처리자에게 필요한 지침을 제공하여, 개인 정보 처리에 관한 책임과 의무를 부여하는 것입니다. 이 표준의 강점은 포괄적인 체계를 마련해 준다는 점입니다. ISO/IEC 27701:2025는 다양한 유형과 규모의 조직에 적용 가능하여, 공공 및 민간 기업, 정부 기관, 비영리 조직 등 모든 단체가 활용할 수 있도록 설계되었습니다. 이러한 유연성 덕분에, 각 조직은 자신의 필요에 맞게 개인 정보 보호 시스템을 효과적으로 구현할 수 있습니다. 또한, 이 표준은 개인 정보 보호와 관련된 국제적인 기준을 설정하여, 기업들이 글로벌 시장에서도 경쟁력을 갖출 수 있도록 지원합니다. 정보 보안, 사이버 보안과 같은 다른 분야와의 통합적인 접근 방식을 제공함으로써, 개인정보 보호 관리 체계의 지속 가능한 발전을 도모합니다. ISO/IEC 27701:2025는 개인 정보 보호에 관한 정책과 절차를 명확히 하고, 개인 정보 처리를 위한 체계적인 관리를 통해대외 신뢰도를 높일 수 있는 중요한 기준이 됩니다. 이 표준의 적용은 특히 개인정보 유출 및 사이버 공격 위험을 줄이는 데 기여할 수 있으며, 결과적으로 기업의 브랜드 가치를 높이는 요소로 작용할 것입니다. 따라서 ISO/IEC 27701:2025는 개인 정보 보호 제도의 확립 및 운영에 있어 필수적인 기준으로, 모든 유형의 조직에게 중요한 지침을 제공하고 있습니다.
ISO/IEC 27701:2025は、情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する標準であり、プライバシー情報管理システム(PIMS)に関する要求事項とガイダンスを定めています。この文書は、個人を特定できる情報(PII)の管理において責任とアカウンタビリティを持つコントローラーおよびプロセッサーを対象としています。 この標準の強みは、PIMSの確立、実施、維持、および継続的改善のための具体的な要求事項を提供している点にあります。組織におけるプライバシー管理のフレームワークを明確にし、組織のニーズに応じた柔軟な実装が可能です。特に、公的機関、民間企業および非営利団体を含むあらゆるタイプと規模の組織に適用できるため、広範な利用が見込まれます。 また、ISO/IEC 27701:2025は、プライバシー情報の取り扱いに関するベストプラクティスを導入する上での指針も提供しており、個人情報保護に対する信頼を築くための重要なステップとなります。この点において、標準は現在のデジタル社会におけるニーズに非常に関連性の高いものとなっています。 この標準は、情報セキュリティとプライバシーの統合的な管理の重要性を強調し、組織が法令遵守を確保しつつ、リスクを最小限に抑えられるよう支援します。ISO/IEC 27701:2025は、今後ますます重要性を増すプライバシー保護のための強力なツールとなるでしょう。
La norme ISO/IEC 27701:2025 constitue une avancée significative dans le domaine de la gestion de la protection de la vie privée et de la sécurité de l'information, offrant un cadre solide pour l'établissement d'un système de gestion des informations de confidentialité (PIMS). Cette norme est particulièrement pertinente dans un contexte où la protection des données personnelles devient cruciale pour toutes les organisations. Le champ d'application de cette norme est étendu, ciblant les contrôleurs et les processeurs d'informations personnellement identifiables (PII). Ainsi, elle s'applique à une variété d'organisations, comprenant tant des entreprises publiques et privées que des entités gouvernementales et des organisations à but non lucratif. Cela témoigne de la flexibilité et de l’adéquation de la norme face à différents contextes organisationnels. Parmi les forces de la norme ISO/IEC 27701:2025, on peut souligner la clarté des exigences pour l'établissement, la mise en œuvre et l'amélioration continue du PIMS. La guidance fournie pour l'implémentation des exigences enrichit l'accessibilité de la norme, permettant une adoption plus fluide par les organisations, quel que soit leur niveau de maturité en matière de gestion de la protection des données. De plus, la norme favorise une approche harmonisée de la gestion des informations de confidentialité, renforçant ainsi la responsabilité et la responsabilisation des acteurs impliqués dans le traitement des PII. En intégrant les meilleures pratiques en matière de sécurité et de conformité, ISO/IEC 27701:2025 s'aligne parfaitement sur les exigences réglementaires croissantes à l'échelle mondiale, telles que le RGPD en Europe. L'importance de cette norme pour la protection de la vie privée ne peut être sous-estimée, car elle offre non seulement un cadre pour la conformité réglementaire mais également un moyen d'instaurer la confiance des consommateurs, essentielle dans un monde de plus en plus numérique. En résumé, ISO/IEC 27701:2025 se positionne comme un outil indispensable pour toutes organisations soucieuses de gérer efficacement les risques liés à la vie privée.
The ISO/IEC 27701:2025 standard offers a comprehensive framework for organizations aiming to establish, implement, and maintain an effective privacy information management system (PIMS). The scope of this standard emphasizes its applicability to a diverse range of organizations, including public and private entities, government bodies, and not-for-profit organizations. This inclusivity ensures that all types and sizes of organizations can adopt the guidelines provided, promoting a unified approach to privacy protection. One of the key strengths of ISO/IEC 27701:2025 is its focus on providing clear requirements and practical guidance for PII controllers and PII processors. This differentiation is crucial as it delineates responsibilities and accountability in the processing of personally identifiable information (PII). The standard fosters a structured methodology for managing privacy risks, thereby enhancing organizational compliance with various privacy regulations and frameworks. The relevance of this standard in today’s data-driven environment cannot be overstated. As organizations increasingly handle vast amounts of PII, the need for robust privacy management systems becomes paramount. ISO/IEC 27701:2025 aligns with and supports existing cybersecurity and information security frameworks, providing organizations with the tools to integrate privacy management seamlessly into their broader risk management strategies. Furthermore, the emphasis on continual improvement within the PIMS framework encourages organizations to regularly assess and enhance their privacy management practices, thus preparing them for evolving privacy challenges. This proactive approach not only safeguards customer trust but also strengthens the organization’s reputation in the marketplace. In conclusion, ISO/IEC 27701:2025 stands as a pivotal standard in the realms of information security, cybersecurity, and privacy protection, providing critical requirements and guidance for effective privacy information management. Its broad applicability, clear delineation of responsibilities, and commitment to continual improvement solidify its position as an essential resource for organizations striving to protect PII effectively.
Die ISO/IEC 27701:2025 ist ein richtungsweisendes Dokument, das Anforderungen an die Etablierung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutz-Informationsmanagementsystems (PIMS) festlegt. Es bietet nicht nur eine umfassende Grundlage für Organisationen, sondern unterstreicht auch die zunehmende Bedeutung von Informationssicherheit, Cybersecurity und Datenschutz in der heutigen digitalen Welt. Ein wesentlicher Stärke dieser Norm ist ihre Flexibilität und Anwendbarkeit auf unterschiedliche Organisationstypen und -größen. Ob öffentliche oder private Unternehmen, Regierungsstellen oder gemeinnützige Organisationen – alle können von den Richtlinien und Anforderungen der ISO/IEC 27701:2025 profitieren. Dies stellt sicher, dass PII-Controller und PII-Processor, die für die Verarbeitung personenbezogener Informationen verantwortlich sind, über klare Vorgaben verfügen, um ihren Verpflichtungen nachzukommen. Darüber hinaus unterstützt das Dokument nicht nur die reine Einhaltung rechtlicher Vorgaben, sondern fördert auch das proaktive Management von Datenschutzrisiken. Die bereitgestellten Leitlinien helfen Organisationen dabei, die Anforderungen effektiv umzusetzen und die entsprechenden Prozesse nachhaltig zu integrieren. Dadurch wird nicht nur das Vertrauen der Stakeholder gestärkt, sondern es trägt auch dazu bei, potenzielle Datenschutzverletzungen zu minimieren. Die Relevanz der ISO/IEC 27701:2025 im aktuellen Kontext der Datensicherheit und des Datenschutzes kann nicht hoch genug eingeschätzt werden. Angesichts der ständig wachsenden Bedrohungen im Bereich der Cybersecurity und der strenger werdenden Datenschutzvorschriften ist die Implementierung eines robusten PIMS für Organisationen, die mit personenbezogenen Informationen arbeiten, von entscheidender Bedeutung. Insgesamt bietet die ISO/IEC 27701:2025 einen klaren Rahmen für Organisationen, um effektive Datenschutzpraktiken zu implementieren. Ihre umfassenden Anforderungen und praktischen Leitlinien stellen sicher, dass das Management personenbezogener Informationen sowohl effizient als auch sicher erfolgt.
ISO/IEC 27701 표준은 정보 보안, 사이버 보안 및 개인 정보 보호를 위한 프라이버시 정보 관리 시스템(PIMS)의 요구사항 및 지침을 규정합니다. 이 표준의 범위는 PIMS의 수립, 구현, 유지관리 및 지속적인 개선을 위한 요구사항을 명확히 하고 있습니다. 또한, 관련 통제를 효과적으로 구현하는 데 도움이 되는 지침을 제공함으로써 조직이 개인 정보 보호에 대한 책임과 회계성을 강화할 수 있도록 지원합니다. 이 표준의 강점은 모든 유형과 규모의 조직에 적용 가능하다는 점입니다. 공공 및 민간 기업, 정부기관, 비영리 단체 등 다양한 조직이 ISO/IEC 27701을 통해 개인 정보 처리에 대한 체계적인 접근 방식을 개발할 수 있습니다. 이는 사용자와 고객의 신뢰를 구축하는 데 중요한 역할을 하며, 데이터 보호 의무를 준수하는 데 필수적입니다. ISO/IEC 27701은 개인 정보 처리자와 정보 관리자가 반드시 따라야 할 기준을 제공하여, 개인 정보 보호 법규 및 규정을 충족할 수 있도록 돕습니다. 이러한 이유로 ISO/IEC 27701은 현재 개인 정보 관리에 있어 가장 중요한 표준 중 하나로 자리 잡고 있으며, 조직들이 프라이버시를 보다 잘 관리하고 보호할 수 있도록 하는 데 기여합니다.
The ISO/IEC 27701 standard provides a comprehensive framework for organizations to establish, implement, maintain, and perpetually enhance a privacy information management system (PIMS). Its scope is meticulously defined to cater to the needs of both PII controllers and PII processors, ensuring that those who bear responsibility for personally identifiable information (PII) processing adhere to structured guidelines. One of the key strengths of ISO/IEC 27701 is its broad applicability across all types and sizes of organizations, including private and public entities, government organizations, and non-profit institutions. This inclusivity underscores the standard's relevance in today's diverse operational landscapes, where data protection and privacy are paramount. The guidance embedded within the standard offers practical assistance in implementing essential controls for managing PII effectively. Organizations can leverage this guidance to cultivate robust privacy management practices that align with their operational needs while complying with regulatory expectations. Moreover, ISO/IEC 27701 enhances the existing frameworks of ISO/IEC 27001 and ISO/IEC 27002 by integrating privacy considerations seamlessly with information security and cybersecurity practices. This holistic approach not only strengthens the overall security posture of organizations but also fosters a culture where privacy is prioritized alongside other critical governance aspects. In summary, ISO/IEC 27701 stands out for its structured approach towards developing a PIMS, its applicability across various organizational types, and its role in enhancing existing security frameworks. The relevance of this standard cannot be overstated, as it addresses the increasing global demand for rigorous privacy protection measures and establishes a blueprint for responsible data management.
ISO/IEC 27701 is a pivotal standard that addresses the increasing need for effective privacy information management systems (PIMS). The primary scope of this document is to outline specific requirements for the establishment, implementation, maintenance, and ongoing improvement of PIMS. This is crucial for organizations handling personally identifiable information (PII), ensuring that both PII controllers and PII processors can fulfill their responsibilities and demonstrate accountability in PII processing. One of the significant strengths of ISO/IEC 27701 is its comprehensive guidance for implementing the necessary controls for privacy information management. The document is designed to be adaptable, making it suitable for all types and sizes of organizations, whether public, private, governmental, or non-profit. This inclusivity enhances the standard's relevance and applicability across diverse sectors, addressing the universal challenge of privacy protection. The standard’s focus on continual improvement aligns with the ever-evolving landscape of cybersecurity and privacy threats, making it an essential framework for organizations looking to enhance their privacy practices. Furthermore, the clarity and structure of the requirements and guidance facilitate easier integration within existing information security management systems, promoting a holistic approach to information security, cybersecurity, and privacy protection. In summary, ISO/IEC 27701 serves as a benchmark for organizations seeking to bolster their privacy frameworks, ensuring they meet both legal requirements and stakeholder expectations. Its strengths in applicability, clarity, and structured guidance make it an invaluable resource for effective privacy information management.
ISO/IEC 27701は、情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する重要な標準であり、プライバシー情報管理システム(PIMS)の確立、実施、維持、そして継続的な改善に関する要件を詳述しています。この標準は、個人情報(PII)の処理に責任と説明責任を持つPII管理者およびPII処理者に適用されます。 この標準の強みは、さまざまなタイプや規模の組織に対して適用可能である点です。公的機関、私企業、非営利団体を含むあらゆる組織が対象となっており、広範な適用性を持つことから、多様な業界で有用です。また、Guidanceが提供されており、この文書内のコントロールの実施を補助するための具体的な手法が示されています。これにより、組織は自身のニーズにおいて、柔軟かつ効果的にプライバシー管理を行うことが可能になります。 さらに、ISO/IEC 27701は、プライバシー保護に関する国際的な基準を設定し、組織がプライバシーに関連するリスクを効果的に管理する手段を提供します。このような標準に準拠することで、組織は信頼性を高め、顧客やパートナー間の信頼関係を構築することができるでしょう。 総じて、ISO/IEC 27701は、組織がプライバシー情報管理システムを効果的に導入し、運用できるための強力なフレームワークを提供しており、プライバシー保護における重要性を実感させる文書です。
ISO/IEC 27701は、情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する体系的なアプローチを提供する重要なスタンダードです。この標準は、プライバシー情報管理システム(PIMS)の確立、実施、維持、継続的な改善に必要な要件を明確に示しています。また、文書内で提示されている管理策の実施を支援するためのガイダンスも含まれていますので、ユーザーはより効果的にPIMSを導入できます。 ISO/IEC 27701の強みは、その適用範囲の広さにあります。公共および民間企業、政府機関、非営利団体を含むあらゆる規模の組織に対応できるため、さまざまな業種においてプライバシーの管理が一貫して行われることを保証します。この標準は、個人情報(PII)の処理に対する責任と説明責任を持つPII管理者およびPII処理者にとって、貴重なツールとなります。 さらに、ISO/IEC 27701は、プライバシー保護の強化に寄与するための一連のガイダンスを提供しています。これにより、組織は従業員や顧客のプライバシーを適切に保護し、リスクを軽減することが期待されます。加えて、この標準は、プライバシー対応の透明性を高めるためのフレームワークを提供し、利害関係者との信頼関係を築く助けとなります。 総じて、ISO/IEC 27701は、プライバシー情報管理に関する国際的なベンチマークを提供し、組織が持つべき責任と義務を明確にすることで、プライバシー保護を強化するための堅固な基盤を築いています。これにより、プライバシー情報管理システムの実装は、持続可能で効果的なものになることが期待されるため、非常に重要なスタンダードと言えるでしょう。
ISO/IEC 27701은 정보 보안, 사이버 보안 및 개인 정보 보호에 관한 표준으로, 개인 정보 관리 시스템(Privacy Information Management System, PIMS)의 구축, 구현, 유지 및 지속적인 개선에 대한 요구사항을 명시하고 있습니다. 이 표준은 개인 정보를 처리하는 책임과 의무를 지닌 PII(개인 식별 정보) 컨트롤러 및 PII 프로세서에게 맞춤형 지침을 제공합니다. 이 표준의 가장 큰 장점은 모든 유형과 규모의 조직, 즉 공공 및 민간 기업, 정부 기관, 비영리 단체 등 다양한 환경에 적용 가능하다는 점입니다. 이는 조직들이 개인 정보를 효과적으로 관리하고 보호하는 데 있어 유용한 지침을 제공하여, 개인 정보 보호의 중요성을 강조하고 있습니다. ISO/IEC 27701은 개인 정보 관리 시스템을 지속적으로 개선하기 위한 프레임워크를 제시하여, 개인 정보 유출과 같은 위험을 최소화하는 데 기여합니다. 이와 같은 강력한 요구사항과 지침은 기업들이 법적 요구사항을 충족하는 동시에 고객 신뢰를 구축하는 데 필수적입니다. 따라서 이 표준은 현재 개인 정보 보호가 중시되는 시대에서 그 중요성과 관련성이 더욱 부각되고 있습니다.
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...