ISO/IEC 27701:2025
(Main)Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance
This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.
Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la protection de la vie privée — Exigences et recommandations
Le présent document spécifie les exigences relatives à la création, la mise en œuvre, le maintien et l'amélioration continue d'un système de management de la protection de la vie privée (PIMS). Des recommandations sont également fournies pour faciliter la mise en œuvre des exigences du présent document. Le présent document s'adresse aux responsables de traitement de données à caractère personnel (DCP) et aux sous-traitants de DCP chargés et responsables du traitement des DCP. Le présent document s'applique aux organismes de tous types et de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organismes à but non lucratif.
General Information
Standards Content (Sample)
International
Standard
ISO/IEC 27701
Second edition
Information security, cybersecurity
2025-10
and privacy protection — Privacy
information management systems
— Requirements and guidance
Sécurité de l'information, cybersécurité et protection de la vie
privée — Systèmes de management de la protection de la vie
privée — Exigences et recommandations
Reference number
© ISO/IEC 2025
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
© ISO/IEC 2025 – All rights reserved
ii
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviations . 1
4 Context of the organization . 4
4.1 Understanding the organization and its context .4
4.2 Understanding the needs and expectations of interested parties .5
4.3 Determining the scope of the privacy information management system .5
4.4 Privacy information management system .6
5 Leadership . 6
5.1 Leadership and commitment .6
5.2 Privacy policy .6
5.3 Roles, responsibilities and authorities .7
6 Planning . 7
6.1 Actions to address risks and opportunities .7
6.1.1 General .7
6.1.2 Privacy risk assessment.7
6.1.3 Privacy risk treatment .8
6.2 Privacy objectives and planning to achieve them .9
6.3 Planning of changes .10
7 Support .10
7.1 Resources .10
7.2 Competence .10
7.3 Awareness .10
7.4 Communication .10
7.5 Documented information .11
7.5.1 General .11
7.5.2 Creating and updating documented information .11
7.5.3 Control of documented information .11
8 Operation .12
8.1 Operational planning and control . 12
8.2 Privacy risk assessment . 12
8.3 Privacy risk treatment. 12
9 Performance evaluation .12
9.1 Monitoring, measurement, analysis and evaluation . . 12
9.2 Internal audit . 13
9.2.1 General . 13
9.2.2 Internal audit programme . 13
9.3 Management review . 13
9.3.1 General . 13
9.3.2 Management review inputs . 13
9.3.3 Management review results .14
10 Improvement . 14
10.1 Continual improvement .14
10.2 Nonconformity and corrective action .14
11 Further information on annexes . 14
Annex A (normative) PIMS reference control objectives and controls for PII controllers and PII
processors .15
© ISO/IEC 2025 – All rights reserved
iii
Annex B (normative) Implementation guidance for PII controllers and PII processors .21
Annex C (informative) Mapping to ISO/IEC 29100 . 51
Annex D (informative) Mapping to the General Data Protection Regulation .53
Annex E (informative) Mapping to ISO/IEC 27018 and ISO/IEC 29151 .56
Annex F (informative) Correspondence with ISO/IEC 27701:2019 .58
Bibliography .64
© ISO/IEC 2025 – All rights reserved
iv
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with the
European Committee for Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and
data protection, in accordance with the Agreement on technical cooperation between ISO and CEN (Vienna
Agreement).
This second edition cancels
...
Norme
internationale
ISO/IEC 27701
Deuxième édition
Sécurité de l'information,
2025-10
cybersécurité et protection de la vie
privée — Systèmes de management
de la protection de la vie privée —
Exigences et recommandations
Information security, cybersecurity and privacy protection —
Privacy information management systems — Requirements and
guidance
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
4 Contexte de l'organisme . 5
4.1 Comprendre l'organisme et son contexte .5
4.2 Comprendre les besoins et attentes des parties intéressées .5
4.3 Déterminer le champ d'application du système de management de la protection de la
vie privée .6
4.4 Système de management de la protection de la vie privée .6
5 Leadership . 6
5.1 Leadership et engagement .6
5.2 Politique de protection de la vie privée .7
5.3 Rôles, responsabilités et autorités au sein de l'organisme .7
6 Planification. 8
6.1 Actions pour traiter les risques et les opportunités .8
6.1.1 Généralités .8
6.1.2 Appréciation des risques sur la vie privée .8
6.1.3 Traitement des risques sur la vie privée .9
6.2 Objectifs de protection de la vie privée et planification pour les atteindre .10
6.3 Planification des changements .11
7 Support .11
7.1 Ressources .11
7.2 Compétences . . .11
7.3 Sensibilisation .11
7.4 Communication .11
7.5 Informations documentées . 12
7.5.1 Généralités . 12
7.5.2 Création et mise à jour des informations documentées . 12
7.5.3 Maîtrise des informations documentées . 12
8 Réalisation .13
8.1 Planification et maîtrise . . 13
8.2 Appréciation des risques sur la vie privée . . 13
8.3 Traitement des risques sur la vie privée . 13
9 Évaluation des performances .13
9.1 Surveillance, mesure, analyse et évaluation . 13
9.2 Audit interne . .14
9.2.1 Généralités .14
9.2.2 Programme d'audit interne.14
9.3 Revue de direction .14
9.3.1 Généralités .14
9.3.2 Éléments d'entrée de la revue de direction .14
9.3.3 Résultats des revues de direction . 15
10 Amélioration .15
10.1 Amélioration continue . 15
10.2 Non-conformité et action corrective . 15
11 Informations supplémentaires sur les annexes .15
Annexe A (normative) Objectifs et mesures de référence du PIMS pour les responsables de
traitement de DCP et les sous-traitants de DCP . 17
© ISO/IEC 2025 – Tous droits réservés
iii
Annexe B (normative) Recommandations de mise en œuvre pour les responsables de
traitement de DCP et les sous-traitants de DCP .23
Annexe C (informative) Correspondance avec l'ISO/IEC 29100 .56
Annexe D (informative) Correspondance avec le Règlement général sur la protection des
données .59
Annexe E (informative) Correspondance avec l'ISO/IEC 27018 et l'ISO/IEC 29151 .62
Annexe F (informative) Correspondance avec l'ISO/IEC 27701:2019 .64
Bibliographie .71
© ISO/IEC 2025 – Tous droits réservés
iv
Avant-propos
L'ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l’IEC participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique.
Les comités techniques de l'ISO et de l’IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l’IEC,
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents. Le présent document a été rédigé conformément
aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.iso.org/directives ou
www.iec.ch/members_experts/refdocs).
L’ISO et l’IEC attirent l’attention sur le fait que la mise en application du présent document peut entraîner
l’utilisation d’un ou de plusieurs brevets. L’ISO et l’IEC ne prennent pas position quant à la preuve, à la
validité et à l’applicabilité de tout droit de brevet revendiqué à cet égard. À la date de publication du présent
document, L’ISO et l’IEC n'avaient pas reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d’avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de
brevets, disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être
tenues pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.