ИСО и МЭК: Опубликован новый стандарт ISO/IEC 27706:2025 «Требования к органам, проводящим аудит и сертификацию систем менеджмента персональных данных»

В октябре 2025 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27706:2025 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Требования к органам, проводящим аудит и сертификацию систем менеджмента персональных данных» (Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of privacy information management systems) объёмом 32 страницы, см. https://www.iso.org/standard/27706 и https://www.iso.org/obp/ui/en/#!iso:std:82894:en .

Стандартом подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). 

Ранее я уже рассказывала о работе над этим стандартом здесь: http://rusrim.blogspot.com/2024/08/isoiec-dis2-27706.html . Стандарт заменил технические спецификации ISO/IEC TS 27006-2:2021 «Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности – Часть 2: Системы менеджмента персональных данных» (Requirements for bodies providing audit and certification of information security management systems - Part 2: Privacy information management systems), о них см. мой пост http://rusrim.blogspot.com/2021/04/blog-post_3.html .

В аннотации на стандарт отмечается:

Что представляет собой стандарт ISO/IEC 27706:2025?

Стандарт ISO/IEC 27706:2025 устанавливает требования к органам, которые проводят аудит и сертификацию систем менеджмента персональных данных (Privacy Information Management Systems, PIMS) на основе стандарта ISO/IEC 27701:2025  «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Системы менеджмента персональных данных - Требования и рекомендации» (Information security, cybersecurity and privacy protection - Privacy information management systems — Requirements and guidance, см. https://www.iso.org/standard/27701 и https://www.iso.org/obp/ui/en/#!iso:std:85819:en , а также мой пост http://rusrim.blogspot.com/2024/08/isoiec-dis-27701.html - Н.Х.).

Данный стандарт содержит как обязательные требования, так и практические рекомендации, позволяющие обеспечить компетентность, согласованность и надёжность органов по сертификации при оценке внедрений систем менеджмента персональных данных (PIMS).

Данный стандарт согласован со стандартом ISO/IEC 17021-1:2015 «Оценка соответствия - Требования к органам, проводящим аудит и сертификацию систем менеджмента - Часть 1: Требования» (Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements, см. https://www.iso.org/standard/61651.html и https://www.iso.org/obp/ui/en/#!iso:std:61651:en  - этот стандарт в России адаптирован как ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования», см. https://protect.gost.ru/document.aspx?control=7&id=218000 - Н.Х.) (для сертификации систем менеджмента в целом). При этом его положения адаптированы специально к контексту защиты персональных данных, что делает его незаменимым инструментом для всех, кто занимается сертификацией, аккредитацией или надзором над PIMS-системами менеджмента персональных данных.

Чем важен стандарт ISO/IEC 27706?

Поскольку законодательство по вопросам защиты персональных данных продолжает эволюционировать во всем мире – здесь можно упомянуть законы GDPR (Евросоюз), CCPA (штат Калифорния, США) и другие – крайне важную роль играет доверие к органам, сертифицирующим системы менеджмента персональных данных. Данный стандарт обеспечивает достоверность, последовательность и глобальное признание сертификация PIMS-систем менеджмента персональных данных.

Стандарт помогает снизить риски непоследовательного проведения аудитов, повышает доверие к сертифицированным системам и способствует обеспечению соответствия законодательно-нормативным требованиям организаций, работающих в нескольких юрисдикциях.

Преимущества 

Стандарт позволяет получить следующие преимущества:

• Обеспечивает высокое качество и надёжность аудитов систем менеджмента персональных данных на основе ISO/IEC 27701,
  
  
• Укрепляет системы аккредитации и экспертной оценки,
  
  
• Соответствует международным ожиданиям в отношении обеспечения неприкосновенности частной жизни и защиты персональных данных,
  
  
• Помогает национальным органам по аккредитации использовать единые критерии,
  
  
• Поддерживает коммерческие организации, стремящиеся получить сертифицированное подтверждение их соответствия требованиям по защите персональных данных.

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципа
5. Общие требования
6. Структурные требования
7. Требования к ресурсам
8. Требования к информации
9. Требования к процессам
10. Требования системы менеджмента в отношении органов по сертификации
Приложение A: Сроки проведения аудита
Приложение B: Методы расчета сроков проведения аудита
Приложение C: Необходимые знания, навыки и компетенции
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/27706 
https://www.iso.org/obp/ui/en/#!iso:std:82894:en