¿Cuáles son los requisitos del sistema de gestión ISO 27701:2025?
ISO 27701:2025 utiliza el Estructura Armonizada (SA), el marco común que comparten todas las normas ISO modernas de sistemas de gestión. Las cláusulas 4 a 10 definen los requisitos básicos que toda organización debe cumplir para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (SGIP).
Un cambio importante en la edición de 2025 es que ISO 27701 ahora es una estándar del sistema de gestión independienteYa no requiere la norma ISO 27001 como requisito previo, lo que significa que las organizaciones pueden implementar y certificarse según la norma ISO 27701:2025 de forma independiente. Obtenga más información al respecto en nuestra guía de certificación independiente.
¿Cómo están estructuradas las cláusulas?
Las siete cláusulas del sistema de gestión siguen una secuencia lógica, desde la comprensión del contexto hasta la mejora continua. En conjunto, conforman el ciclo Planificar, Hacer, Verificar, Actuar (PDCA), que impulsa una gestión eficaz de la privacidad.
| Cláusula | Título | Fase PDCA | Resumen |
|---|---|---|---|
| Cláusula 4 | Contexto de la organización | Plan | Comprenda su organización, las partes interesadas, el alcance y los límites de PIMS. |
| Cláusula 5 | Liderazgo | Plan | Compromiso de la alta dirección, política de privacidad y funciones organizativas |
| Cláusula 6 | Planificación | Plan | Evaluación de riesgos de privacidad, tratamiento de riesgos, objetivos y planificación del cambio. |
| Cláusula 7 | Soporte | Do | Recursos, competencia, concienciación, comunicación e información documentada |
| Cláusula 8 | Operación | Do | Planificación operativa, evaluación de riesgos de privacidad y ejecución del tratamiento de riesgos. |
| Cláusula 9 | Evaluación del desempeño | Comprobar | Supervisión, auditoría interna y revisión de la dirección. |
| Cláusula 10 | Mejoramiento | Act | Mejora continua y medidas correctivas |
¿Cómo se relacionan estas cláusulas con los controles del Anexo A?
Las cláusulas del sistema de gestión (4 a 10) definen cómo usted ejecuta su PIMS, mientras que el Controles del anexo A definirlo Lo que controles de privacidad que implementa. La cláusula 6.1.3 (tratamiento del riesgo de privacidad) es donde se conectan ambos: su proceso de tratamiento de riesgos determina cuál anexo A Los controles son aplicables y están documentados en su Declaración de Aplicabilidad (SoA).
Los controles del Anexo A están organizados en tres tablas:
- Cuadro A.1 — Controles del controlador PII
- Cuadro A.2 — Controles del procesador PII
- Cuadro A.3 — Controles de seguridad compartidos aplicables a ambos roles
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Qué diferencias hay con respecto a la edición de 2019?
Los requisitos del sistema de gestión en la norma ISO 27701:2025 incluyen varios cambios importantes en comparación con la edición de 2019:
- Estándar independiente — Las cláusulas ahora forman un sistema de gestión completo y autónomo. La norma ISO 27001 ya no es un requisito previo.
- Enfoque en el riesgo de privacidad - Cláusula 6 Ahora hace referencia explícita a la evaluación del riesgo de privacidad y al tratamiento del riesgo de privacidad, en lugar de basarse en los procesos de riesgo de seguridad de la información de la norma ISO 27001.
- Cambio climático — Las cláusulas 4.1 y 4.2 incluyen nuevos requisitos para considerar el cambio climático como un tema relevante al determinar el contexto y las expectativas de las partes interesadas.
- Alineación de la estructura armonizada — Las cláusulas se ajustan a los últimos requisitos del HS, incluyendo terminología y estructura actualizadas.
- Planificación de cambios — La cláusula 6.3 añade un requisito explícito para planificar los cambios en el PIMS de manera estructurada.
Para una comparación detallada, consulte nuestra Guía de correspondencia del Anexo F y Novedades de la norma ISO 27701:2025.
¿A quiénes se aplican estos requisitos?
Las cláusulas del sistema de gestión (4 a 10) se aplican a todas las organizaciones Implementación de la norma ISO 27701:2025, independientemente de si actúan como responsables del tratamiento de datos personales, encargados del tratamiento o ambos. La distinción entre las funciones de responsable y encargado del tratamiento se aborda mediante los controles del Anexo A, no en las cláusulas del sistema de gestión.
Esto hace que los requisitos sean aplicables a organizaciones de cualquier tamaño o sector que procesen datos personales y deseen demostrar una gestión eficaz de la privacidad mediante certificación o autodeclaración.
Comienza tu prueba gratuita
¿Quieres explorar?
Regístrese hoy para su prueba gratuita y pruebe todas las funciones de cumplimiento que ISMS.online tiene para ofrecer
¿Por qué elegir SGSI.online ¿Para el cumplimiento de la norma ISO 27701:2025?
SGSI.online Proporciona una plataforma integrada para la implementación de todas las cláusulas de la norma ISO 27701:2025:
- Marco PIMS preconfigurado — Estructura cláusula por cláusula con plantillas, políticas y procedimientos listos para personalizar.
- Gestión de riesgos de privacidad — Registro de riesgos integrado con flujos de trabajo de evaluación y tratamiento alineados con las cláusulas 6 y 8.
- Control de políticas y documentos — Documentación con control de versiones y flujos de trabajo de aprobación para los requisitos de la cláusula 7.5.
- Gestión de auditoría — Planificar, ejecutar y realizar un seguimiento de las auditorías internas con la recopilación de evidencia para la Cláusula 9.2
- Revisión de gestión — Plantillas de revisión estructuradas con seguimiento de entradas y gestión de acciones para la cláusula 9.3
Preguntas Frecuentes
¿Se puede implementar la norma ISO 27701:2025 sin la norma ISO 27001?
Sí. La edición de 2025 es una norma de sistema de gestión independiente con su propio conjunto completo de requisitos en las cláusulas 4 a 10. Ya no se requiere la certificación ISO 27001 como requisito previo. Sin embargo, las organizaciones que ya cuentan con la certificación ISO 27001 pueden integrar ambos sistemas para un enfoque combinado de gestión de la seguridad de la información y la privacidad.
¿Qué relación existe entre las cláusulas y los controles del Anexo A?
Las cláusulas definen cómo gestionar su PIMS (gobernanza, gestión de riesgos, documentación y auditoría), mientras que el Anexo A proporciona los controles de privacidad específicos que deben implementarse. La cláusula 6.1.3 vincula ambos aspectos a través del proceso de tratamiento de riesgos, donde usted determina qué controles del Anexo A se aplican según su evaluación de riesgos de privacidad.
¿Es necesario implementar íntegramente las siete cláusulas para obtener la certificación?
Sí. Las cláusulas 4 a 10 contienen requisitos obligatorios (indicados con la palabra «deberá»). Todos los requisitos deben cumplirse para la certificación. A diferencia de los controles del Anexo A, que pueden excluirse mediante la Declaración de Aplicabilidad cuando esté justificado, las cláusulas del sistema de gestión no pueden excluirse.
Comenzar con una análisis de brechas estructurado para comparar su sistema PIMS actual con estos requisitos.
Para obtener un cronograma realista, lea El camino más rápido hacia la certificación ISO 27701:2025.
La Declaración de aplicabilidad Documenta qué controles se aplican y por qué: un entregable fundamental de la auditoría.
Consulte el documento errores de implementación más comunes antes de que empieces.
