iTeh Standards logo
EURUSD
Your shopping cart is empty.
ISO

ISO/IEC FDIS 29151

(Main)

Information security, cybersecurity and privacy protection — Controls, requirements, and guidance for personally identifiable information protection

Information security, cybersecurity and privacy protection — Controls, requirements, and guidance for personally identifiable information protection

This document specifies controls, purpose, and guidance for implementing controls, to meet the requirements identified by a risk and impact assessment related to the protection of personally identifiable information (PII). In particular, this document specifies requirements and guidance based on ISO/IEC 27002, taking into consideration the controls for processing PII that can be applicable within the context of an organization's information security risk environment(s). This document is applicable to all types and sizes of organizations acting as PII controllers (as defined in ISO/IEC 29100), including public and private companies, government entities and not-for-profit organizations that process PII, in particular, organizations that do not establish or operate a privacy information management system.

Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité, exigences et recommandations pour la protection des données à caractère personnel

La présente Recommandation | Norme internationale établit des objectifs de mesure de sécurité, des mesures de sécurité et des lignes directrices pour la mise en œuvre des mesures de sécurité, afin de satisfaire aux exigences identifiées par une appréciation du risque et de l'impact liée à la protection des données à caractère personnel. En particulier, la présente Recommandation | Norme internationale spécifie des lignes directrices basées sur l'ISO/IEC 27002, en tenant compte des exigences relatives au traitement des DCP qui peuvent être applicables dans le contexte du ou des environnements de risques de sécurité de l'information d'une organisation. La présente Recommandation | Norme internationale s'applique à tous les types et toutes les tailles d'organisations agissant en tant que responsable de traitement de DCP (tel que défini dans l'ISO/IEC 29100), y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif qui traitent des DCP.

General Information

Status
Not Published
ICS
35.030 - IT Security
Technical Committee
ISO/IEC JTC 1/SC 27 - Information security, cybersecurity and privacy protection
Drafting Committee
ISO/IEC JTC 1/SC 27/WG 5 - Identity management and privacy technologies
Current Stage
5020 - FDIS ballot initiated: 2 months. Proof sent to secretariat
Start Date
07-Nov-2025
Completion Date
07-Nov-2025
Ref Project

Relations

Consolidates
ISO 15841:2014/Amd 1:2020 - Dentistry — Wires for use in orthodontics — Amendment 1
Effective Date
08-Jun-2024
Revises
ISO/IEC 29151:2017 - Information technology — Security techniques — Code of practice for personally identifiable information protection
Effective Date
28-Oct-2023
ISO/IEC FDIS 29151 - Information security, cybersecurity and privacy protection — Controls, requirements, and guidance for personally identifiable information protection Released:24. 10. 2025ISO/IEC FDIS 29151 - Information security, cybersecurity and privacy protection — Controls, requirements, and guidance for personally identifiable information protection Released:24. 10. 2025
PreviousNext
Draft
ISO/IEC FDIS 29151 - Information security, cybersecurity and privacy protection — Controls, requirements, and guidance for personally identifiable information protection Released:24. 10. 2025
English language
56 pages
sale 15% off
sale 15% off
ISO/IEC FDIS 29151 - Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité, exigences et recommandations pour la protection des données à caractère personnel Released:8. 12. 2025ISO/IEC FDIS 29151 - Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité, exigences et recommandations pour la protection des données à caractère personnel Released:8. 12. 2025
PreviousNext
Draft
ISO/IEC FDIS 29151 - Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de sécurité, exigences et recommandations pour la protection des données à caractère personnel Released:8. 12. 2025
French language
63 pages
sale 15% off
sale 15% off

Standards Content (Sample)


FINAL DRAFT
International
Standard
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection — Controls,
Voting begins on:
requirements, and guidance for
2025-11-07
personally identifiable information
Voting terminates on:
protection
2026-01-02
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO­
ISO/CEN PARALLEL PROCESSING LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
Reference number
FINAL DRAFT
International
Standard
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection — Controls,
Voting begins on:
requirements, and guidance for
personally identifiable information
Voting terminates on:
protection
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
© ISO/IEC 2025
IN ADDITION TO THEIR EVALUATION AS
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO­
ISO/CEN PARALLEL PROCESSING
LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
or ISO’s member body in the country of the requester.
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland Reference number
© ISO/IEC 2025 – All rights reserved
ii
Content
Foreword . vii
Introduction . viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 3
4 Overview . 3
4.1 Protection of PII . 3
4.2 Requirement for the protection of PII. 3
4.3 Controls derived from privacy risk assessment . 4
4.4 Selecting controls . 4
4.5 Developing organization specific guidelines . 5
4.6 Life cycle considerations . 5
4.7 Structure of this document . 5
5 Organizational controls . 10
5.1 Policies for information security . 10
5.2 Information security roles and responsibilities . 11
5.3 Segregation of duties . 12
5.4 Management responsibilities . 12
5.5 Contact with authorities . 12
5.6 Contact with special interest groups . 12
5.7 Threat intelligence . 12
5.8 Information security in project management . 12
5.9 Inventory of information and other associated assets . 13
5.10 Acceptable use of information and other associated assets . 13
5.11 Return of assets . 14
5.12 Classification of information . 14
5.13 Labelling of information . 14
5.14 Information transfer. 14
5.15 Access control . 15
5.16 Identity management . 15
5.17 Authentication information . 15
5.18 Access rights . 15
5.19 Information security in supplier relationships . 15
5.20 Addressing information security within supplier agreements . 16
5.21 Managing information security in the ICT supply chain . 16
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
iii
5.22 Monitoring, review and change management of supplier services . 16
5.23 Information security for use of cloud services . 16
5.24 Information security incident management planning and preparation . 17
5.25 Assessment and decision on information security events . 17
5.26 Response to information security incidents. 18
5.27 Learning from information security incidents . 18
5.28 Collection of evidence . 18
5.29 Information security during disruption . 18
5.30 ICT readiness for business continuity . 18
5.31 Legal, statutory, regulatory and contractual requirements . 18
5.32 Intellectual property rights . 19
5.33 Protection of records . 19
5.34 Privacy and protection of PII . 19
5.35 Independent review of information security . 19
5.36 Conformance with policies, rules and standards for information security . 20
5.37 Documented operating procedures . 20
6 People controls . 20
6.1 Screening . 20
6.2 Terms and conditions of employment . 20
6.3 Information security awareness, education and training . 20
6.4 Disciplinary process . 21
6.5 Responsibilities after termination or change of employment . 21
6.6 Confidentiality or non-disclosure agreements . 21
6.7 Remote working . 21
6.8 Information security event reporting . 21
7 Physical controls . 21
7.1 Physical security perimeters . 21
7.2 Physical entry . 22
7.3 Securing offices, rooms and facilities . 22
7.4 Physical security monitoring . 22
7.5 Protecting against physical and environmental threats . 22
7.6 Working in secure areas . 22
7.7 Clear desk and clear screen . 22
7.8 Equipment siting and protection . 22
7.9 Security of assets off-premises . 22
7.10 Storage media. 22
7.11 Supporting utilities . 23
7.12 Cabling security . 23
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
iv
7.13 Equipment maintenance. 23
7.14 Secure disposal or re-use of equipment . 23
8 Technological controls . 23
8.1 User endpoint devices . 23
8.2 Privileged access rights . 23
8.3 Information access restriction . 24
8.4 Access to source code . 24
8.5 Secure authentication . 24
8.6 Capacity management . 24
8.7 Protection against malware . 24
8.8 Management of technical vulnerabilities . 24
8.9 Configuration management . 25
8.10 Information deletion . 25
8.11 Data masking . 25
8.12 Data leakage prevention . 25
8.13 Information backup . 25
8.14 Redundancy of information processing facilities . 25
8.15 Logging . 25
8.16 Monitoring activities . 26
8.17 Clock synchronization . 26
8.18 Use of privileged utility programs . 26
8.19 Installation of software on operational systems . 26
8.20 Networks security . 26
8.21 Security of network services . 26
8.22 Segregation of networks . 26
8.23 Web filtering . 26
8.24 Use of cryptography . 26
8.25 Secure development life cycle . 27
8.26 Application security requirements . 27
8.27 Secure system architecture and engineering principles . 27
8.28 Secure coding . 27
8.29 Security testing in development and acceptance . 27
8.30 Outsourced development . 27
8.31 Separation of development, test and production environments . 27
8.32 Change management . 27
8.33 Test information . 27
8.34 Protection of information systems during audit testing . 27
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
v
Annex A (normative) Extended control set for PII protection . 28
Annex B (informative) Correspondence between this document and ISO/IEC 29151:2017 . 52
Bibliography . 56

Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
vi
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members
of ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of
document should be noted.
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of
(a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent database
available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held responsible for
identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see  www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by ITU as X.1058 (2025) and drafted in accordance with its editorial rules, in
collaboration with Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27,
Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 29151:2017), which has been technically
revised.
The main changes are as follows:
 the content of the guidance for security controls in the main text and the privacy controls in Annex A have
been aligned with ISO/IEC 27002:2022.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html and www.iec.ch/national-
committees.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
vii
Introduction
The number of organizations processing personally identifiable information (PII) is increasing, as is the
amount of PII that these organizations deal with. At the same time, societal expectations for the protection of
PII and the security of data relating to individuals are also increasing. A number of countries are augmenting
their laws to address the increased number of high profile data breaches.
As the number of PII breaches increases, organizations collecting or processing PII will increasingly need
guidance on how they should protect PII in order to reduce the risk of privacy breaches occurring, and to
reduce the impact of breaches on the organization and on the individuals concerned. This document provides
such guidance.
This document offers guidance for PII controllers on a broad range of information security and PII protection
controls that are commonly applied in many different organizations that deal with protection of PII. Other
International Standards that provide guidance or requirements on other aspects of the overall process of
protecting PII are as follows:
— ISO/IEC 27001 specifies an information security management system, which is a suitable foundation for
protecting any information, including PII.
— ISO/IEC 27002 provides guidelines for organizational, people-related, physical and technological
information security controls that can be used for the protection of all kinds of information, including PII.
— ISO/IEC 27005 provides guidance to assist organizations to address information security risks and
perform information security risk management activities, specifically information security risk
assessment and treatment.
— ISO/IEC 27018 offers guidance to organizations acting as PII processors when offering processing
capabilities as cloud services.
— ISO/IEC 27701 specifies requirements and provides guidance for establishing, implementing, maintaining
and continually improving a Privacy Information Management System (PIMS).
— ISO/IEC 29100 provides a privacy framework which: specifies a common privacy terminology, defines the
actors and their roles in processing personally identifiable information (PII), describes privacy
safeguarding considerations, and provides references to known privacy principles for information
technology.
— ISO/IEC 29134 provides guidelines for assessing the potential impacts on privacy of a process,
information system, programme, software module, device or other initiative which processes personally
identifiable information (PII), while ISO/IEC 27001 together with ISO/IEC 27005 provides guidance to
perform information security risk management activities.
Controls are chosen based on the risks identified as a result of a risk analysis to develop a comprehensive,
consistent system of controls. Controls are adapted to the context of the particular processing of PII.
This document contains two parts:
— the main body consisting of Clauses 1 to 8;
— Annexes A and B.
The structure of this document, including the clause titles, reflects the main body of ISO/IEC 27002:2022 for
the development of PII-specific extensions.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
viii
The title of the subclauses in Clauses 5 to 8 mirror those of ISO/IEC 27002:2022, reflecting the fact that this
document builds on the guidance in ISO/IEC 27002:2022, adding new controls specific to the protection of PII.
Many of the controls in ISO/IEC 27002:2022 do not require amplification in the context of PII controllers.
However, in some cases, additional implementation guidance is needed, and this is given under the
appropriate heading (and clause number) from ISO/IEC 27002:2022.
Annex A contains an extended set of PII protection-specific controls. These new PII protection controls, with
their associated guidance, are divided into twelve categories, corresponding to the privacy policy and the
eleven privacy principles of ISO/IEC 29100:
— consent and choice;
— purpose, legitimacy and specification;
— collection limitation;
— data minimization;
— use, retention and disclosure limitation;
— accuracy and quality;
— openness, transparency and notice;
— individual participation and access;
— accountability;
— information security; and
— privacy compliance.
Figure 1 describes the relationship between this document and other International Standards.

Figure 1 — Relationship between this document and other International Standards
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
ix
This document includes guidance based on ISO/IEC 27002. The guidance is adapted as necessary to address
the privacy needs that arise from the processing of PII:
a) in different processing domains such as:
— public cloud services,
— social networking applications,
— internet-connected devices in the home,
— search, analysis,
— targeting of PII for advertising and similar purposes,
— big data analytics programmes,
— employment processing,
— business management in sales and service (enterprise resource planning, customer relationship
management);
b) in different locations such as:
— on a personal processing platform provided to an individual (e.g. smart cards, smart phones and their
apps, smart meters, wearable devices),
— within data transportation and collection networks (e.g. where mobile phone location data is created
operationally by network processing, which can be considered PII in some jurisdictions),
— within an organization's own processing infrastructure,
— on a third party's processing platform;
c) for the collection type such as:
— one-time data collection (e.g. on registering for a service),
— ongoing data collection (e.g. frequent health parameter monitoring by sensors on or in an individual's
body, multiple data collections using contactless payment cards for payment, smart meter data
collection systems).
Ongoing data collection can contain or yield behavioural, locational and other types of PII. In such cases, it is
recommended to use PII protection controls that allow:
— access and collection to be managed based on consent, and
— the PII principal to exercise appropriate control over such access and collection.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
x
FINAL DRAFT International Standard ISO/IEC FDIS 29151:2025(en)

Information security, cybersecurity and privacy protection –
Controls, requirements, and guidance for personally identifiable
information protection
1 Scope
This document specifies controls, purpose, and guidance for implementing controls, to meet the requirements
identified by a risk and impact assessment related to the protection of personally identifiable information
(PII).
In particular, this document specifies requirements and guidance based on ISO/IEC 27002, taking into
consideration the controls for processing PII that can be applicable within the context of an organization's
information security risk environment(s).
This document is applicable to all types and sizes of organizations acting as PII controllers (as defined in
ISO/IEC 29100), including public and private companies, government entities and not-for-profit organizations
that process PII, in particular, organizations that do not establish or operate a privacy information
management system.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security
controls
ISO/IEC 29100:2024, Information technology — Security techniques — Privacy framework
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27002, ISO/IEC
29100 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https://www.iso.org/obp
— IEC Electropedia: available at https://www.electropedia.org/
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
3.1.1
chief privacy officer
CPO
senior management individual who is accountable for the protection of personally identifiable information (PII)
(3.1.4) in an organization (3.1.3)
3.1.2
de-identification
process of removing the association between a set of identifying data and the data principal, using de-
identification techniques
3.1.3
organization
person or group of people that has its own functions with responsibilities, authorities and relationships to
achieve its objectives
Note 1 to entry: The concept of organization includes, but is not limited to, sole-trader, company, corporation, firm,
enterprise, authority, partnership, charity or institution, or part or combination thereof, whether incorporated or not,
public or private.
3.1.4
personally identifiable information
PII
information that (a) can be used to establish a link between the information and the natural person to whom
such information relates, or (b) is or might be directly or indirectly linked to a natural person
Note 1 to entry: The “natural person” in the definition is the PII principal (3.1.6). To determine whether a PII principal is
identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding
the data, or by any other party, to establish the link between the set of PII and the natural person.
[SOURCE: ISO/IEC 29100:2024, 3.7]
3.1.5
PII controller
personally identifiable information controller
privacy stakeholder (or privacy stakeholders) that determines the purposes and means for
processing personally identifiable information (PII) (3.1.4) other than natural persons who use data for
personal purposes
Note 1 to entry: A PII controller sometimes instructs others [e.g. PII processors (3.1.7)] to process PII on its behalf while
the responsibility for the processing remains with the PII controller.
[SOURCE: ISO/IEC 29100:2024, 3.8]
3.1.6
PII principal
personally identifiable information principal
data subject
natural person to whom the personally identifiable information (PII) (3.1.4) relates
[SOURCE: ISO/IEC 29100:2024, 3.9]
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
3.1.7
PII processor
personally identifiable information processor
privacy stakeholder that processes personally identifiable information (PII) (3.1.4) on behalf of and in
accordance with the instructions of a PII controller (3.1.5)
[SOURCE: ISO/IEC 29100:2024, 3.10]
3.1.8
Privacy risk assessment
Privacy impact assessment
overall process of identifying, analysing, evaluating, consulting, communicating and planning the treatment of
potential privacy impacts with regard to the processing of personally identifiable information (3.1.4),
framed within an organization’s broader risk management framework
[SOURCE: ISO/IEC 29100:2024, 3.18]
3.2 Abbreviated terms
For the purposes of this document, the following abbreviations apply.
PIA privacy impact assessment
4 Overview
4.1 Protection of PII
This document provides a set of controls for PII protection. The objective of the controls for protection of PII
is to enable organizations to put in place a set of controls as part of their overall PII protection programme.
Controls can be used in a framework for demonstrating compliance with privacy-related laws and regulations,
managing privacy risks and meeting the expectations of PII principals, regulators or clients, in accordance with
the privacy principles described in clauses in ISO/IEC 29100.
4.2 Requirement for the protection of PII
An organization should identify its PII protection requirements. ISO/IEC 29100 can be applied to identify PII
protection requirements. There are four main factors that apply to PII protection requirements:
— legal and regulatory factors for the safeguarding of the PII principal’s privacy and the protection of their
PII;
— contractual factors, such as agreements between and among several different actors, company policies
and binding corporate rules;
— risk assessment factors, including privacy risk assessment, which covers external and internal context
which can be determined through business strategy and objectives; and
— corporate policies: an organization can also choose voluntarily to go beyond the criteria that are derived
from previous requirements.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
PII protection controls (including information security controls) should be selected on the basis of a risk
assessment. The results of a privacy impact assessment (PIA) as specified in ISO/IEC 29134 can help
determine, prioritize and implement the appropriate controls for managing risks to the protection of PII and
for implementing controls selected to protect against these risks.
A PIA document as defined in ISO/IEC 29134 provides PIA guidance, including advice on privacy risk
assessment, privacy risk treatment plan, privacy risk acceptance and privacy risk review.
4.3 Controls derived from privacy risk assessment
Privacy risk assessment helps organizations protect the confidentiality, integrity, and availability of PII. Data
breach can cause significant harm to both organizations and individuals. Organizations should identify and
implement controls to treat the risks identified by the risk impact process. Privacy risk assessment report
should describe at least system requirements, system design and operational plans and procedures. ISO/IEC
29134 provides information on what should be documented in a privacy risk assessment.
NOTE Some jurisdictions require privacy risk assessments depending on the level of the risk of PII processing,
the nature of the organization (e.g. government agencies), etc.
4.4 Selecting controls
Controls can be selected from this document, including by reference the controls from ISO/IEC 27002, creating
a combined reference control set. If required, controls can also be selected from other control sets or new
controls can be designed to meet specific needs, as appropriate.
The selection of controls is dependent upon organizational decisions based on the criteria for risk treatment
options and the general risk management approach, applied to the organization and, through contractual
agreements, to its customers and suppliers.
NOTE Legal requirements can also apply for selection of controls.
Organizations shall consider the extended control set for PII protection in Annex A for selecting controls to implement
the privacy risk treatment option(s) chosen.
The selection and implementation of controls is also dependent upon the organization's role in the provision
of infrastructure or services. Many different organizations are involved in providing infrastructure or services.
In some circumstances, selected controls may be unique to a particular organization. In other instances, there
may be shared roles in implementing controls. Contractual agreements should clearly specify the PII
protection responsibilities of all organizations involved in providing or using the services.
The controls in this document can be used as reference for organizations that process PII, and are intended to
be applicable for all organizations acting as PII controllers. Organizations acting as PII processors should apply
the controls in this document according to the instructions of the PII controller. PII controllers should ensure
that their PII processors are able to implement all the necessary controls included in their PII processing
agreement according to the purpose of PII processing. PII controllers using cloud services as PII processors
may review ISO/IEC 27018 to identify relevant controls to implement.
The controls in this document are explained in more detail in Clauses 5 to 8, along with implementation
guidance. Implementation can be simpler if requirements for the protection of PII have been considered in the
design of the organization's information systems, services and operations. Such consideration is an element
of the concept that is often called privacy by design (PBD). More information about selecting controls and
other risk treatment options can be found in ISO/IEC 29134. Other relevant references are listed are in the
bibliography.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – All rights reserved
4.5 Developing organization specific guidelines
This document can be regarded as a starting point for developing organization specific guidelines. Not all of
controls and guidance in this document are not applicable to all organizations.
Furthermore, additional controls and guidelines not included in this document can be required. When other
documents are developed containing additional guidelines or controls, it can be useful to include cross-
references to the clauses in this document, where applicable, to facilitate compliance checking for auditors
and business partners.
4.6 Life cycle considerations
PII has a natural life cycle, from creation or origination, collection, through to storage, use and transfer to its
eventual disposal (e.g. secure destruction). The value of, and risks to, PII may vary during its life cycle, but
protection of PII remains important at all stages and in all contexts of its life cycle.
Information systems also have life cycles within which they are conceived, specified, designed, developed,
tested, implemented, used, maintained, and eventually retired from service and disposed of. PII protection
should also be taken into account at each of these stages. New system developments and changes to existing
systems present opportunities for organizations to update and improve information security controls as well
as controls for the protection of PII, taking actual incidents, and current and projected information security
and privacy risks into account.
4.7 Structure of this document
Control descriptions in ISO/IEC 27002:2022 and this document are structured as follows. Each control has the
following elements:
a) control title: short name of the control;
b) attribute table: a table showing the value
...


PROJET FINAL
Norme
internationale
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Sécurité de l'information,
Secrétariat: DIN
cybersécurité et protection de la
Début de vote:
vie privée — Mesures de sécurité,
2025-11-07
exigences et recommandations
Vote clos le:
pour la protection des données à
2026-01-02
caractère personnel
Information security, cybersecurity and privacy protection —
Controls, requirements, and guidance for personally identifiable
information protection
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
PROJETS DE NORMES
TRAITEMENT PARALLÈLE ISO/CEN
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
Numéro de référence
PROJET FINAL
Norme
internationale
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Sécurité de l'information,
Secrétariat: DIN
cybersécurité et protection de la
Début de vote:
vie privée — Mesures de sécurité,
2025-11-07
exigences et recommandations
Vote clos le:
pour la protection des données à
2026-01-02
caractère personnel
Information security, cybersecurity and privacy protection —
Controls, requirements, and guidance for personally identifiable
information protection
LES DESTINATAIRES DU PRÉSENT PROJET SONT
INVITÉS À PRÉSENTER, AVEC LEURS OBSERVATIONS,
NOTIFICATION DES DROITS DE PROPRIÉTÉ DONT ILS
AURAIENT ÉVENTUELLEMENT CONNAISSANCE ET À
FOURNIR UNE DOCUMENTATION EXPLICATIVE.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES FINS
© ISO/IEC 2025
INDUSTRIELLES, TECHNOLOGIQUES ET COM-MERCIALES,
AINSI QUE DU POINT DE VUE DES UTILISATEURS, LES
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
PROJETS DE NORMES
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, TRAITEMENT PARALLÈLE ISO/CEN
INTERNATIONALES DOIVENT PARFOIS ÊTRE CONSIDÉRÉS
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut DU POINT DE VUE DE LEUR POSSI BILITÉ DE DEVENIR DES
NORMES POUVANT
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
SERVIR DE RÉFÉRENCE DANS LA RÉGLEMENTATION
NATIONALE.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
Numéro de référence
© ISO/IEC 2025 – Tous droits réservés
ii
Sommaire Page
Avant-propos . vi
Introduction . vii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations . 3
4 Vue d'ensemble . 3
4.1 Protection des DCP . 3
4.2 Exigences liées à la protection des DCP . 3
4.3 Mesures dérivées de l'appréciation des risques sur la vie privée . 4
4.4 Sélection des mesures de sécurité . 4
4.5 Élaboration de lignes directrices propres à une organisation . 5
4.6 Considérations relatives au cycle de vie . 5
4.7 Structure du présent document. 5
5 Mesures de sécurité organisationnelles . 11
5.1 Politiques de sécurité de l'information . 11
5.2 Fonctions et responsabilités liées à la sécurité de l'information . 12
5.3 Séparation des tâches . 13
5.4 Responsabilités de la direction. 13
5.5 Contacts avec les autorités . 13
5.6 Contacts avec des groupes d’intérêt spécifiques . 13
5.7 Renseignements sur les menaces . 14
5.8 Sécurité de l'information dans la gestion de projet . 14
5.9 Inventaire des informations et autres actifs associés . 14
5.10 Utilisation correcte des informations et autres actifs associés . 15
5.11 Restitution des actifs . 15
5.12 Classification des informations . 15
5.13 Marquage des informations . 16
5.14 Transfert des informations . 16
5.15 Contrôle d'accès. 16
5.16 Gestion des identités . 16
5.17 Informations d'authentification . 16
5.18 Droits d'accès . 17
5.19 Sécurité de l'information dans les relations avec les fournisseurs . 17
5.20 Prise en compte de la sécurité de l'information dans les accords conclus avec les
fournisseurs . 17
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC . 18
5.22 Surveillance, révision et gestion des changements des services fournisseurs . 18
5.23 Sécurité de l'information dans l'utilisation de services en nuage . 18
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information . 19
5.25 Appréciation des événements de sécurité de l'information et prise de décision . 19
5.26 Réponse aux incidents de sécurité de l'information . 20
5.27 Tirer des enseignements des incidents de sécurité de l'information . 20
5.28 Recueil de preuves . 21
5.29 Sécurité de l'information pendant une perturbation . 21
5.30 Préparation des TIC pour la continuité d'activité . 21
5.31 Exigences légales, statutaires, réglementaires et contractuelles . 21
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
iii
5.32 Droits de propriété intellectuelle . 21
5.33 Protection des enregistrements . 21
5.34 Protection de la vie privée et des DCP . 21
5.35 Révision indépendante de la sécurité de l'information . 22
5.36 Conformité aux politiques, règles et normes de sécurité de l'information . 22
5.37 Procédures d'exploitation documentées . 23
6 Mesures de sécurité applicables aux personnes . 23
6.1 Sélection des candidats . 23
6.2 Conditions générales d'embauche . 23
6.3 Sensibilisation, apprentissage et formation à la sécurité de l'information . 23
6.4 Processus disciplinaire . 23
6.5 Responsabilités après la fin ou le changement d'un emploi . 24
6.6 Engagements de confidentialité ou de non-divulgation . 24
6.7 Travail à distance . 24
6.8 Déclaration des événements de sécurité de l'information . 24
7 Mesures de sécurité physiques . 24
7.1 Périmètres de sécurité physique . 24
7.2 Accès physique . 25
7.3 Sécurisation des bureaux, des salles et des équipements. 25
7.4 Surveillance de la sécurité physique . 25
7.5 Protection contre les menaces physiques et environnementales. 25
7.6 Travail dans les zones sécurisées . 25
7.7 Bureau vide et écran vide . 25
7.8 Emplacement et protection du matériel. 25
7.9 Sécurité des actifs hors des locaux . 25
7.10 Supports de stockage . 25
7.11 Services généraux . 26
7.12 Sécurité du câblage . 26
7.13 Maintenance du matériel . 26
7.14 Mise au rebut ou recyclage sécurisé(e) du matériel . 26
8 Mesures de sécurité technologiques . 27
8.1 Terminaux finaux des utilisateurs . 27
8.2 Droits d'accès privilégiés . 27
8.3 Restriction d'accès à l'information . 27
8.4 Accès au code source . 28
8.5 Authentification sécurisée . 28
8.6 Dimensionnement . 28
8.7 Protection contre les programmes malveillants . 28
8.8 Gestion des vulnérabilités techniques . 28
8.9 Gestion des configurations . 28
8.10 Suppression d'information. 28
8.11 Masquage des données . 28
8.12 Prévention de la fuite de données . 28
8.13 Sauvegarde des informations . 29
8.14 Redondance des moyens de traitement de l'information . 29
8.15 Journalisation . 29
8.16 Activités de surveillance . 29
8.17 Synchronisation des horloges . 30
8.18 Utilisation de programmes utilitaires à privilèges. 30
8.19 Installation de logiciels sur des systèmes en exploitation. 30
8.20 Sécurité des réseaux . 30
8.21 Sécurité des services de réseau . 30
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
iv
8.22 Cloisonnement des réseaux . 30
8.23 Filtrage web . 30
8.24 Utilisation de la cryptographie . 30
8.25 Cycle de vie de développement sécurisé . 31
8.26 Exigences de sécurité des applications . 31
8.27 Principes d'ingénierie et d'architecture des systèmes sécurisés . 31
8.28 Codage sécurisé . 31
8.29 Tests de sécurité dans le développement et l'acceptation . 31
8.30 Développement externalisé . 31
8.31 Séparation des environnements de développement, de test et de production . 31
8.32 Gestion des changements . 31
8.33 Informations de test . 31
8.34 Protection des systèmes d'information pendant les tests d'audit . 32
Annexe A (normative) Ensemble étendu de mesures pour la protection des DCP . 33
Annexe B (informative) Correspondance entre le présent document et l’ISO/IEC 29151:2017 . 59
Bibliographie . 63

Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
v
Avant-propos
L'ISO (Organisation internationale de normalisation) et l'IEC (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de l'IEC participent au développement de Normes Internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de l'IEC collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et l'IEC
participent également aux travaux.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents critères
d'approbation requis pour les différents types de documents.
L'ISO et l'IEC attirent l'attention sur le fait que la mise en application du présent document peut entraîner
l'utilisation d'un ou de plusieurs brevets. L'ISO et L'IEC ne prennent pas position quant à la preuve, à la validité
et à l'applicabilité de tout droit de propriété revendiqué à cet égard. À la date de publication du présent
document, l'ISO et l'IEC n'avaient pas reçu notification qu'un ou plusieurs brevets pouvaient être nécessaires
à sa mise en application. Toutefois, il y a lieu d'avertir les responsables de la mise en application du présent
document que des informations plus récentes sont susceptibles de figurer dans la base de données de brevets,
disponible à l'adresse www.iso.org/brevets et https://patents.iec.ch. L’ISO et l’IEC ne sauraient être tenues
pour responsables de ne pas avoir identifié tout ou partie de tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions spécifiques
de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de l'ISO aux
principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au commerce
(OTC), voir www.iso.org/avant-propos. Pour l'IEC, voir www.iec.ch/understanding-standards.
Le présent document a été élaboré par l'UIT en tant que X.1058 (2025) et rédigé conformément à ses règles
éditoriales, en collaboration avec le comité technique conjoint ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l’information, cybersécurité et protection de la vie privée.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 29151:2017), qui a fait l'objet d'une
révision technique.
Les principales modifications sont les suivantes:
 le contenu des recommandations relatives aux mesures de sécurité dans le texte principal et les mesures
de protection de la vie privée dans l'Annexe A ont été alignés sur l’ISO/IEC 27002:2022.
Il convient que l'utilisateur adresse tout retour d'information ou toute question concernant le présent
document à l'organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve aux adresses www.iso.org/fr/members.html et www.iec.ch/national-committees.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
vi
Introduction
Le nombre d'organisations traitant des données à caractère personnel (DCP) est en augmentation, tout comme
la quantité de DCP que ces organisations traitent. Dans le même temps, les attentes de la société en matière de
protection des DCP et de sécurité des données relatives aux personnes augmentent également. Un certain
nombre de pays renforcent leur législation afin de faire face au nombre croissant de violations de données à
grand retentissement.
Avec l'augmentation du nombre de violations des DCP, les organisations qui collectent ou traitent des DCP
auront de plus en plus besoin de recommandations sur la manière dont il convient qu'elles protègent les DCP
afin de réduire le risque de violations de données à caractère personnel ainsi que l'impact des violations sur
l'organisation et les personnes concernées. Le présent document fournit ces recommandations.
Le présent document fournit aux responsables de traitement de DCP des recommandations sur un large
éventail de mesures de sécurité de l'information et de protection des DCP qui sont couramment appliquées
dans de nombreuses organisations différentes qui traitent de la protection des DCP. Les autres
normes internationales qui fournissent des recommandations ou des exigences sur d'autres aspects du
processus global de protection des DCP sont les suivantes:
— l’ISO/IEC 27001 spécifie un système de management de la sécurité de l'information, qui constitue une
base appropriée pour la protection de toute information, y compris les DCP;
— l’ISO/IEC 27002 fournit des lignes directrices pour les mesures de sécurité organisationnelles, humaines,
physiques et technologiques qui peuvent être utilisées pour la protection de tous types d'informations, y
compris les DCP;
— l’ISO/IEC 27005 fournit des recommandations pour aider les organisations à faire face aux risques liés à
la sécurité de l'information et à mener des activités de gestion des risques liés à la sécurité de
l'information, en particulier l'appréciation et le traitement des risques liés à la sécurité de l'information;
— l’ISO/IEC 27018 fournit des recommandations aux organisations agissant comme sous-traitants de DCP
lorsqu'elles offrent des capacités de traitement en tant que services en nuage;
— l’ISO/IEC 27701 spécifie les exigences et émet des recommandations pour la création, la mise en œuvre,
le maintien et l'amélioration continue d'un système de management de la protection de la vie privée
(PIMS);
— L’ISO/IEC 29100 fournit un cadre de protection de la vie privée qui: spécifie une terminologie commune
en matière de protection de la vie privée, définit les acteurs et leurs rôles dans le traitement des données
à caractère personnel (DCP), décrit les considérations relatives à la protection de la vie privée et fournit
des références aux principes de protection de la vie privée connus pour les technologies de l'information.
— l’ISO/IEC 29134 fournit des lignes directrices pour l'évaluation des impacts potentiels sur la vie privée
d'un processus, d'un système d'information, d'un programme, d'un module logiciel, d'un dispositif ou
d'une autre initiative qui traite des données à caractère personnel (DCP), tandis que l’ISO/IEC 27001
conjointement avec l’ISO/IEC 27005 fournit des recommandations pour l'exécution d'activités de gestion
des risques liés à la sécurité de l'information.
Les mesures de sécurité sont choisies sur la base des risques identifiés à la suite d'une analyse du risque afin
de développer un système de mesures de sécurité complet et cohérent. Les mesures de sécurité sont adaptées
au contexte du traitement de DCP spécifique.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
vii
Le présent document contient deux parties:
— le corps principal constitué des Articles 1 à 8;
— Annexes A et B.
La structure du présent document, y compris l'intitulé des articles et paragraphes, reflète le corps principal de
l’ISO/IEC 27002:2022 pour le développement d'extensions spécifiques aux DCP.
Le titre des paragraphes des Articles 5 à 8 reflètent ceux de l’ISO/IEC 27002:2022, ce qui illustre le fait que le
présent document s'appuie sur les recommandations de l’ISO/IEC 27002:2022, et ajoute de nouvelles mesures
de sécurité spécifiques à la protection des DCP. Un grand nombre de mesures de sécurité de
l’ISO/IEC 27002:2022 n'ont pas besoin d'être renforcées dans le contexte des responsables de traitement des
DCP. Toutefois, dans certains cas, des recommandations de mise en œuvre supplémentaires sont nécessaires
et sont fournies sous l'intitulé (et le numéro de paragraphe ou d'article) approprié de l’ISO/IEC 27002:2022.
L'Annexe A contient un ensemble étendu de mesures de sécurité spécifiques à la protection des DCP. Ces
nouvelles mesures de protection des DCP, et les recommandations qui leur sont associées, sont réparties en
douze catégories, qui correspondent à la politique de protection de la vie privée et aux onze principes de
protection de la vie privée de l’ISO/IEC 29100:
— consentement et choix;
— licéité et spécification de la finalité;
— limitation de la collecte;
— minimisation des données;
— limitation de l'utilisation, de la conservation et de la divulgation;
— exactitude et qualité;
— ouverture, transparence et information;
— participation et accès individuels;
— responsabilité;
— sécurité de l'information; et
— conformité aux règles de protection de la vie privée.
La Figure 1 décrit la relation entre le présent document et les autres normes internationales.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
viii
Figure 1 — Relation entre le présent document et les autres normes internationales
Le présent document comprend des recommandations basées sur l’ISO/IEC 27002. Les recommandations
sont adaptées au besoin pour répondre aux besoins en matière de protection qui découlent du traitement des
DCP:
a) dans différents domaines de traitement tels que:
— services en nuage public;
— application de réseaux sociaux;
— dispositifs domestiques connectés à Internet;
— recherche, analyse;
— ciblage des DCP à des fins publicitaires ou similaires;
— programmes d'analyse des mégadonnées;
— traitement de l'emploi;
— gestion d'entreprise dans le domaine de la vente et du service (planification des ressources
d'entreprise, gestion de la relation client);
b) dans différents emplacements, tels que:
— sur une plateforme de traitement personnelle fournie à un individu (par exemple: les cartes à puce,
les smartphones et leurs applications, les compteurs intelligents, les dispositifs portables);
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
ix
— au sein de réseaux de transport et de collecte de données (par exemple: lorsque des données de
localisation des téléphones mobiles sont créées de manière opérationnelle par le traitement du
réseau, et qui peuvent être considérées comme des DCP dans certaines juridictions);
— au sein de la propre infrastructure de traitement d'une organisation;
— sur une plateforme de traitement tierce;
c) pour le type de collecte, telle que:
— collecte de données unique (par exemple: lors de l'enregistrement à un service);
— collecte de données continue (par exemple: surveillance fréquente de paramètres de santé par des
capteurs sur ou dans le corps d'une personne, collecte de données multiples à l'aide de cartes de
paiement sans contact pour le paiement, systèmes de collecte de données de compteurs intelligents).
La collecte de données continue peut contenir ou produire des DCP relatives au comportement, à la
localisation et d'autres types de DCP. Dans de tels cas, il est recommandé d'utiliser des mesures de protection
des DCP qui permettent:
— de gérer l'accès et la collecte sur la base du consentement; et
— à la personne concernée d'exercer un contrôle approprié sur cet accès et cette collecte.

Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
x
PROJET FINAL de Norme internationale ISO/IEC FDIS 29151:2025(fr)

Sécurité de l'information, cybersécurité et protection de la vie
privée — Mesures de sécurité, exigences et recommandations pour
la protection des données à caractère personnel
1 Domaine d'application
Le présent document spécifie des mesures de sécurité, des objectifs et des recommandations pour la mise en
œuvre des mesures de sécurité, afin de satisfaire aux exigences identifiées par une appréciation du risque et
de l'impact liée à la protection des données à caractère personnel (DCP).
En particulier, le présent document spécifie des exigences et des recommandations basées sur
l’ISO/IEC 27002, en tenant compte des mesures de sécurité relatives au traitement des DCP qui peuvent être
applicables dans le contexte du ou des environnements de risques de sécurité de l'information d'une
organisation.
Le présent document s'applique à tous les types et toutes les tailles d'organisations qui agissent en tant que
responsable de traitement de DCP (tel que défini dans l’ISO/IEC 29100), y compris les entreprises publiques
et privées, les entités gouvernementales et les organisations à but non lucratif qui traitent des DCP, en
particulier les organisations qui n'établissent pas ou n'exploitent pas de système de management de la
protection de la vie privée.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur contenu,
des exigences du présent document. Pour les références datées, seule l'édition citée s'applique. Pour les
références non datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
ISO/IEC 27002:2022, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de
sécurité de l'information
ISO/IEC 29100:2024, Technologies de l'information — Techniques de sécurité — Cadre privé
3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO/IEC 27000, de l’ISO/IEC 27002-1,
de l’ISO/IEC 29100 ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https://www.iso.org/obp
— IEC Electropedia: disponible à l’adresse https://www.electropedia.org/
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
3.1.1
responsable de la protection de la vie privée
CPO (Chief Privacy Officer)
membre de la direction qui est responsable de la protection des données à caractère personnel (DCP) (3.1.4)
dans une organisation (3.1.3)
3.1.2
désidentification
processus consistant à supprimer l'association entre un ensemble de données d'identification et la personne
concernée, à l'aide de techniques de désidentification
3.1.3
organisation
personne ou groupe de personnes qui exerce ses propres fonctions associées aux responsabilités, pouvoirs et
relations nécessaires pour atteindre ses objectifs
Note 1 à l'article: Le concept d’organisation englobe, sans s'y limiter, les travailleurs indépendants, les compagnies, les
sociétés, les firmes, les entreprises, les administrations, les partenariats, les organisations caritatives ou les institutions,
ou bien une partie ou une combinaison des entités précédemment mentionnées, qu'il s'agisse d'une personne morale ou
non, de droit public ou privé.
3.1.4
données à caractère personnel
DCP
donnée qui (a) peut être utilisée pour établir un lien entre des données et la personne physique à laquelle ces
données se rapportent, ou qui (b) est ou peut être directement ou indirectement associée à une personne
physique
Note 1 à l'article: La « personne physique » référencée dans la définition est la personne concernée (3.1.6). Pour
déterminer si une personne concernée est identifiable, il convient de tenir compte de tous les moyens pouvant être
raisonnablement utilisés par la partie prenante en matière de protection de la vie privée qui détient les données, ou par
toute autre partie, afin d'établir le lien entre l'ensemble de DCP et la personne physique.
[SOURCE: ISO/IEC 29100:2024, 3.7]
3.1.5
responsable de traitement de DCP
responsable de traitement de données à caractère personnel
partie(s) prenante(s) en matière de protection de la vie privée qui détermine(-nt) les finalités et les moyens
pour le traitement de données à caractère personnel (DCP) (3.1.4) autre(s) que les personnes physiques qui
utilisent des données à des fins personnelles
Note 1 à l'article: Un responsable de traitement de DCP demande parfois à des tiers [par exemple: des sous-traitants de
DCP (3.1.7)] de traiter des DCP en son nom, bien qu'un tel traitement relève toujours de la responsabilité du responsable
de traitement de DCP.
[SOURCE: ISO/IEC 29100:2024, 3.8]
3.1.6
personne concernée
personne physique à qui se rapportent les données à caractère personnel (DCP) (3.1.4)
[SOURCE: ISO/IEC 29100:2024, 3.9]
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
3.1.7
sous-traitant de DCP
sous-traitant de données à caractère personnel
partie prenante en matière de protection de la vie privée qui traite des données à caractère personnel (DCP)
(3.1.4) pour le compte d'un responsable de traitement de DCP (3.1.5) et conformément à ses instructions
[SOURCE: ISO/IEC 29100:2024, 3.10]
3.1.8
appréciation des risques sur la vie privée
étude d'impact sur la vie privée
processus global visant à identifier, analyser, évaluer, consulter, communiquer et planifier le traitement des
impacts potentiels sur la vie privée au regard du traitement des données à caractère personnel (3.1.4), dans
le cadre plus large du système de management des risques d’une organisation
[SOURCE: ISO/IEC 29100:2024, 3.18 - modifié]
3.2 Abréviations
Pour les besoins du présent document, les abréviations suivantes s'appliquent.
PIA étude d'impact sur la vie privée (Privacy Impact Assessment)
4 Vue d'ensemble
4.1 Protection des DCP
Le présent document fournit un ensemble de mesures de protection des DCP. L'objectif des mesures de
protection des DCP est de permettre aux organisations de mettre en place un ensemble de mesures de sécurité
dans le cadre de leur programme global de protection des DCP. Les mesures peuvent être utilisées dans un
cadre permettant de démontrer la conformité aux lois et réglementations relatives à la vie privée, de gérer les
risques sur la vie privée et de répondre aux attentes des personnes concernées, des régulateurs ou des clients,
conformément aux principes de protection de la vie privée décrits dans les Articles de l’ISO/IEC 29100.
4.2 Exigences liées à la protection des DCP
Il convient qu'une organisation identifie ses exigences en matière de protection des DCP. L’ISO/IEC 29100
peut être appliquée pour identifier les exigences liées à la protection des DCP. Quatre aspects principaux
s'appliquent aux exigences liées à la protection des DCP:
— les aspects légaux et réglementaires pour la protection de la vie privée de la personne concernée et la
protection de ses DCP;
— les aspects contractuels, tels que les accords entre et avec plusieurs acteurs différents, les politiques
d'entreprise et les règles d'entreprise contraignantes;
— les aspects d'appréciation du risque, y compris l'appréciation des risques sur la vie privée, qui couvrent
le contexte externe et interne pouvant être déterminé par la stratégie et les objectifs commerciaux; et
— politiques d'entreprise: une organisation peut également choisir volontairement d'aller au-delà des
critères qui découlent des exigences précédentes.
Rec. ITU-T X.1058 (2025)
© ISO/IEC 2025 – Tous droits réservés
Il convient que les mesures de protection des DCP (y compris les mesures de sécurité de l'information) soient
choisies sur la base d'une appréciation du risque. Les résultats d'une étude d'impact sur la vie privée (PIA), tel
que spécifié dans l’ISO/IEC 29134, peuvent aider à déterminer, prioriser et mettre en œuvre les mesures
appropriées pour la gestion des risques sur la protection des DCP et la mise en œuvre des mesures identifiées
pour contrer ces risques.
Un document de PIA, tel que défini dans l’ISO/IEC 29134, fournit des recommandations en matière de PIA, y
compris des conseils relatifs à l'appréciation, au plan de traitement, à l'acceptation et à la revue des risques
sur la vie privée.
4.3 Mesures dérivées de l'appréciation des risques sur la vie privée
L'appréciation des risques sur la vie privée aide les organisations à protéger la confidentialité, l'intégrité et la
disponibilité des DCP. La violation des données peut causer un préjudice significatif tant aux organisations
qu'aux individus. Il convient que les organisations identifient et mettent en œuvre des mesures de sécurité
afin de traiter les risques identifiés par le processus d'impact des risques. Il convient que le rapport
d'appréciation des risques sur la vie privée décrive au moins les exigences du système, la conception du
système et les plans et procédures opérationnels. L’ISO/IEC 29134 fournit des informations sur ce qu'il
convient de documenter dans une appréciation des risques sur la vie privée
NOTE Certaines juridictions exigent une appréciation des risques sur la vie privée selon le niveau de risque lié au
traitement des DCP, la nature de l'organisation (par exemple: les agences gouvernementales), etc.
4.4 Sélection des mesures de sécurité
Les mesures de sécurité peuvent être sélectionnées à partir du présent document, en incluant par voie de
référence les mesures de sécurité de l’ISO/IEC 27002, créant ainsi un ensemble de mesures de sécurité de
référence combinées. Si besoin, des mesures de sécurité peuvent être sélectionnées à partir d'autres
ensembles de mesures de sécurité, ou de nouvelles mesures de sécurité peuvent être spécifiées en vue de
satisfaire à des besoins spécifiques.
La sélection des mesures de sécurité dépend des décisions prises par l'organisation en fonction de ses critères
pour les options de traitement du risque et de son approche de la gestion générale des risques, appliqués à
l'organisation et, par le biais d'accords contractuels, à ses clients et fournisseurs.
NOTE Des exigences légales peuvent également s'appliquer pour le choix des mesures.
Les organisations doivent prendre en compte l'ensemble étendu des mesures de protection des DCP figurant à l'Annexe A
pour sélectionner les mesures permettant de mettre en œuvre la ou les option(s) choisie(s) de traitement des risques sur
la vie privée.
La sélection et la mise en œuvre des mesures de sécurité dépendent également du rôle de l'organisation dans
la fourniture d'infrastructures ou de services. De nombreuses organisations différentes sont impliquées dans
la fourniture d'infrastructures ou de services. Dans certains cas, les mesures de sécurité sélectionnées peuvent
être propres à une organisation particulière. Dans d'autres cas, il peut y avoir des rôles partagés dans la mise
en œuvre des mesures de sécurité. Il convient que les accords contractuels spécifient clairement les
r
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

This May Also Interest You

ISO
ISO/IEC 27566-1:2025(Main)
Information security, cybersecurity and privacy protection — Age assurance systems — Part 1: Framework

This document establishes a framework for age assurance systems and describes their core characteristics, including privacy and security, for enabling age-related eligibility decisions.

  • Standard
    29 pages
    English language
    sale 15% off
ISO
ISO/IEC 29192-1:2012/Amd 1:2025(Amendment)
Information technology — Security techniques — Lightweight cryptography — Part 1: General — Amendment 1
  • Standard
    2 pages
    English language
    sale 15% off
ISO
ISO/IEC 19896-3:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 3: Knowledge and skills requirements for evaluators and reviewers according to the ISO/IEC 15408 series and ISO/IEC 18045

This document provides the specialized requirements for individuals to demonstrate competence in performing IT product security evaluations and reviews according to the ISO/IEC 15408 series and ISO/IEC 18045. NOTE It is possible that evaluators and testers belong to bodies operating under ISO/IEC 17025 and reviewers belong to bodies operating under ISO/IEC 17065.

  • Standard
    46 pages
    English language
    sale 15% off
  • Standard
    48 pages
    French language
    sale 15% off
ISO
ISO/IEC 19896-1:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for the competence of IT security conformance assessment body personnel — Part 1: Overview and concepts

This document establishes an organized set of concepts and relationships to understand the competency requirements for information security conformance-testing and evaluation specialists, thereby establishing a basis for shared understanding of the concepts and principles central to the ISO/IEC 19896 series across its user communities.

  • Standard
    12 pages
    English language
    sale 15% off
  • Standard
    13 pages
    French language
    sale 15% off
ISO
ISO/IEC 27404:2025(Main)
Cybersecurity — IoT security and privacy — Cybersecurity labelling framework for consumer IoT

This document defines a cybersecurity labelling framework for the development and implementation of cybersecurity labelling programmes for consumer Internet of things (IoT) products. It provides requirements and guidance on the following topics: — risks and threats associated with consumer IoT products; — stakeholders, roles and responsibilities; — relevant standards and guidance documents; — conformity assessment; — labelling issuance and maintenance; — mutual recognition. This document is limited to consumer IoT products, such as: — IoT gateways, base stations and hubs to which multiple devices connect; smart cameras, televisions, and speakers; — wearable devices; — connected smoke detectors, door locks and window sensors; — connected home automation and alarm systems; — connected appliances, such as washing machines and fridges; — smart home assistants; and — connected children’s toys and baby monitors. Products that are not intended for consumer use are excluded from this document. Examples of excluded devices are those that are primarily intended for manufacturing, healthcare and other industrial purposes. This document is applicable to consumers, developers, issuing bodies of cybersecurity labels and conformity assessment bodies.

  • Standard
    63 pages
    English language
    sale 15% off
ISO
ISO/IEC 27706:2025(Main)
Information security, cybersecurity and privacy protection — Requirements for bodies providing audit and certification of privacy information management systems

This document specifies requirements and provides guidance for bodies providing audit and certification of a privacy information management system (PIMS) according to ISO/IEC 27701, in addition to the requirements contained within ISO/IEC 17021-1. The requirements contained in this document are demonstrated in terms of competence and reliability by bodies providing PIMS certification. The guidance contained in this document provides additional interpretation of these requirements for bodies providing PIMS certification. NOTE This document can be used as a criteria document for accreditation, peer assessment or other audit processes.

  • Standard
    24 pages
    English language
    sale 15% off
  • Standard
    25 pages
    French language
    sale 15% off
ISO
ISO/IEC 27701:2025(Main)
Information security, cybersecurity and privacy protection — Privacy information management systems — Requirements and guidance

This document specifies requirements for establishing, implementing, maintaining and continually improving a privacy information management system (PIMS). Guidance is also provided to assist in the implementation of the requirements in this document. This document is intended for personally identifiable information (PII) controllers and PII processors holding responsibility and accountability for PII processing. This document is applicable to all types and sizes of organizations, including public and private companies, government entities and not-for-profit organizations.

  • Standard
    64 pages
    English language
    sale 15% off
  • Standard
    71 pages
    French language
    sale 15% off
ISO
ISO/IEC TS 27564:2025(Main)
Privacy protection — Guidance on the use of models for privacy engineering

This document provides guidance on how to use modelling in privacy engineering. It describes categories of models that can be used, the use of modelling to support engineering, and the relationships with other references, including International Standards on privacy engineering and on modelling. It provides high-level use cases describing how models are used.

  • Technical specification
    32 pages
    English language
    sale 15% off
ISO
ISO/IEC 24760-3:2025(Main)
Information security, cybersecurity and privacy protection — A framework for identity management — Part 3: Practice

This document: — provides requirements and guidance for the management of identity information and for ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2; — is applicable to any information system where information relating to identity is processed or stored; — is considered to be a horizontal document for the following reasons: — it applies concepts such as distinguishing the term “identity” from the term “identifier” on the implementation of systems for the management of identity information and on the requirements for the implementation and operation of a framework for identity management, — it provides an important contribution to assess identity management systems with regard to their privacy-friendliness and their ability to assure the relevant attributes of an identity, and consequently it provides a foundation and a common understanding for any other standard addressing identity, identity information, and identity management.

  • Standard
    31 pages
    English language
    sale 15% off
ISO
ISO/IEC 24760-1:2025(Main)
Information security, cybersecurity and privacy protection — A framework for identity management — Part 1: Core concepts and terminology

This document: — defines terms for identity management and specifies core concepts of identity and identity management, and their relationships; — is applicable to any information system where information relating to identity is processed or stored; — is considered to be a horizontal document for the following reasons: ¾ it applies concepts such as distinguishing the term “identity” from the term “identifier” on the implementation of systems for the management of identity information and on the requirements for the implementation and operation of a framework for identity management, ¾ it provides an important contribution to assess identity management systems with regard to their privacy-friendliness and their ability to assure the relevant attributes of an identity, and consequently it provides a foundation and a common understanding for any other standard addressing identity, identity information, and identity management.

  • Standard
    23 pages
    English language
    sale 15% off