Varför uppdaterades ISO 27701?
Den första upplagan av ISO 27701 publicerades 2019 som en utökning av ISO 27001 och ISO 27002. Sedan dess har integritetslandskapet förändrats avsevärt. Nya regleringar har tillkommit, tekniken har utvecklats (AI, IoT, biometri) och organisationer har efterfrågat en standard som kan stå på egna ben snarare än att vara beroende av ett separat system för informationssäkerhetshantering.
ISO/IEC 27701:2025, publicerad i oktober 2025, är den andra upplagan. Den ersätter 2019 års version helt och introducerar strukturella förändringar som är utformade för att göra hantering av integritetsinformation mer praktisk och tillgänglig.
Vilka är de största förändringarna i ISO 27701:2025?
2025 års upplaga innebär sju viktiga förändringar som organisationer behöver förstå:
1. Fristående standard
Den viktigaste förändringen är att ISO 27701:2025 nu är en fristående hanteringssystem standardOrganisationer behöver inte längre först ha ISO 27001-certifiering. Standarden innehåller en egen komplett uppsättning krav (klausulerna 4 till 10), som täcker sammanhang, ledarskap, planering, stöd, drift, prestationsutvärdering och förbättring.
Detta öppnar dörren för organisationer som vill ha integritetscertifiering utan omkostnaderna för ett fullständigt ISMS, samtidigt som det fortfarande möjliggör integration med ISO 27001 för de som vill ha båda.
2. Omstrukturerad bilaga A med tre kontrolltabeller
De gamla klausulerna 7 (vägledning för PII-kontrollanter) och 8 (vägledning för PII-processorer) har ersatts av en enhetlig Bilaga A med tre tabeller:
| Bord | Omfattning | Fjärrkontroll |
|---|---|---|
| Tabell A.1 | PII-kontrollerkontroller | 31 kontroller |
| Tabell A.2 | PII-processorkontroller | 18 kontroller |
| Tabell A.3 | Delade säkerhetskontroller (kontrollanter och processorer) | 29 kontroller |
Detta ger organisationer 78 integritetskontroller totalt, var och en med matchande implementeringsvägledning i bilaga B. Strukturen gör det mycket tydligare vilka kontroller som gäller för din roll.
3. Bilaga B ger implementeringsvägledning
Bilaga B speglar varje kontroll i bilaga A med detaljerad implementeringsvägledning. Medan 2019 års version inkluderade vägledning i klausulerna 6, 7 och 8, separerar 2025 års version "vad" (bilaga A) från "hur" (bilaga B). Detta gör revision och gapanalys enklare.
4. Nya kartbilagor
2025 års utgåva innehåller fyra kartbilagor:
- Bilaga C — Anpassning till ISO/IEC 29100-principerna för integritetsskydd
- Bilaga D - Mappning till GDPR-artiklar
- Bilaga E — Mappning till ISO/IEC 27018 och ISO/IEC 29151
- Bilaga F — Överensstämmelse med ISO 27701:2019 (ny från 2025)
Bilaga F är särskilt värdefull för organisationer som övergår från 2019 års utgåva, eftersom den mappar varje gammal kontroll till dess motsvarighet från 2025.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
5. Den förenklade klausulen 6 ersätter den gamla klausulen 6
2019 års upplaga Klausul 6 innehöll över 90 underklausuler som hänvisade till ISO 27002-kontroller med PII-specifika tillägg. År 2025 har detta konsoliderats till Tabell A.3 (delade säkerhetskontroller) med 29 fokuserade kontroller. Resultatet är ett betydligt mer hanterbart omfång.
6. Förenklade krav för ledningssystem
Klausulerna 4 till 10 följer nu standardstrukturen för ISO-ledningssystem (harmoniserad struktur). De är fristående och kräver ingen korsreferens med ISO 27001-klausuler, även om anpassningen är enkel för organisationer som innehar båda certifieringarna.
7. Hänsyn till klimatförändringar
I linje med de senaste ISO-ändringarna i alla ledningssystemstandarder kräver klausulerna 4.1 och 4.2 nu att organisationer avgör om klimatförändringar är en relevant fråga i deras PIMS-sammanhang.
Hur står sig kontrollstrukturen jämfört med 2019?
| Aspect | ISO 27701: 2019 | ISO 27701: 2025 |
|---|---|---|
| Dependency | Utökning till ISO 27001 + 27002 | Fristående standard |
| Vägledning för kontrollanter | Klausul 7 (inbäddad) | Tabell A.1 + Bilaga B.1 (31 kontroller) |
| Processorvägledning | Klausul 8 (inbäddad) | Tabell A.2 + Bilaga B.2 (18 kontroller) |
| Säkerhetskontroller | Klausul 6 (90+ underklausuler som hänvisar till ISO 27002) | Tabell A.3 + Bilaga B.3 (29 kontroller) |
| Total integritetskontroll | Spridda över klausulerna 6, 7, 8 | 78 kontroller i bilaga A |
| GDPR kartläggning | Bilaga D | Bilaga D (uppdaterad) |
| Korrespondens 2019 | - | Bilaga F (ny) |
Vad är övergångsfristen?
Organisationer som är certifierade enligt ISO 27701:2019 har fram till oktober 2028 att övergå till 2025 års upplaga. Detta ger ett fönster på tre år från publiceringsdatumet.
En strukturerad förklaring av skillnaden är den bästa utgångspunkten för att förstå vad 2025 års upplaga innebär för ert nuvarande PIMS.
Under övergångsperioden:
- Nya certifieringar kan utfärdas för båda utgåvorna
- Befintliga certifikat från 2019 förblir giltiga tills de löper ut eller övergångsfristen, beroende på vilket som inträffar först.
- Certifieringsorganen kommer att behöva uppdatera sina revisionsprogram för att bedöma mot 2025 års krav
För en steg-för-steg-guide till övergången, se vår ISO 27701 övergångsguide.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vad innebär fristående certifiering i praktiken?
Enligt 2019 års utgåva kunde en organisation endast uppnå ISO 27701-certifiering om den redan hade (eller samtidigt certifierade sig enligt) ISO 27001. Detta skapade ett hinder för organisationer som behövde integritetscertifiering men inte ett fullständigt system för informationssäkerhetshantering.
Med 2025 års utgåva kan organisationer certifiera sig enligt ISO 27701 oberoende. Standarden inkluderar nu sina egna krav på ledningssystem (klausulerna 4 till 10) och en egen uppsättning kontroller (bilaga A). Integrering med ISO 27001 är dock fortfarande enkel och uppmuntras där båda disciplinerna är relevanta.
Varför välja ISMS.online för ISO 27701:2025?
ISMS.online ger dig ett praktiskt och strukturerat sätt att implementera och underhålla ditt integritetsinformationshanteringssystem i linje med ISO 27701:2025:
- Förbyggt ramverk — ISO 27701:2025 kontroller, klausuler och beviskrav kartlagda och redo att arbeta med från dag ett
- Integrerad riskhantering — Utför integritetsriskbedömningar tillsammans med informationssäkerhetsrisker på ett ställe
- Policy- och kontrollhantering — Utarbeta, godkänna, distribuera och spåra bekräftelse av integritetspolicyer
- Leverantörshantering — Spåra avtal med personuppgiftsbehandlare, underleverantörers utlämnanden och register över gränsöverskridande överföringar
- Revisionsberedskap — Underhåll ert tillämplighetsförklaring, evidenspaket och korrigerande åtgärder på en enda plattform
- Stöd för dubbel certifiering — Kör ISO 27701 fristående eller integrerat med ISO 27001 utan dubbelarbete
Vanliga frågor
Är ISO 27701:2025 bakåtkompatibel med 2019 års version?
Inte direkt. Strukturen har ändrats avsevärt, då de gamla klausulerna 6, 7 och 8 har ersatts av bilaga A och bilaga B. Bilaga F ger dock en fullständig jämförelsetabell som mappar varje kontroll från 2019 till dess motsvarighet från 2025, vilket gör gapanalysen enkel.
Behöver jag fortfarande ISO 27001 för att bli ISO 27701-certifierad?
Nej. ISO 27701:2025 är en fristående standard med egna krav för ledningssystem. Du kan certifiera dig enligt den separat. Om du redan har ISO 27001 kan du integrera båda systemen och dra nytta av gemensamma processer.
När behöver jag övergå från ISO 27701:2019?
Övergångsfristen är oktober 2028, vilket ger dig tre år från publiceringen av 2025 års upplaga. Befintliga certifikat från 2019 förblir giltiga tills de löper ut eller övergångsfristen, beroende på vilket som inträffar först.
Hur många kontroller finns i ISO 27701:2025?
Det finns 78 kontroller i bilaga A, uppdelade i tre tabeller: 31 för PII-kontrollanter (Tabell A.1), 18 för PII-processorer (Tabell A.2) och 29 delade säkerhetskontroller för båda (Tabell A.3Varje kontroll har motsvarande implementeringsriktlinjer i bilaga B.
Omfattar ISO 27701:2025 AI och biometriska data?
Standarden är teknikneutral men dess kontroller för automatiserat beslutsfattande (A.1.3.11 Automatiserat beslutsfattande), konsekvensbedömning av integritet (A.1.2.6 Konsekvensbedömning för integritetsskydd) och dataminimering (A.1.4.5 Minimering av personligt skydd) är direkt relevanta för AI, IoT och biometrisk bearbetning. Principerna gäller oavsett vilken teknik som används.
Om du funderar på om certifiering är rätt för din organisation, se vår guide: Behöver jag ISO 27701:2025-certifiering?.
För en kortfattad översikt att dela med ledande berörda parter, läs vår Sammanfattning för styrelseledamöter.
