ISO / IEC 27701: 2019 е разширение за поверителност за международния стандарт за управление на информационната сигурност ISO / IEC 27001 (ISO / IEC 27701 Техники за сигурност - Разширяване до ISO / IEC 27001 и ISO / IEC 27002 за управление на информацията за поверителност - Изисквания и насоки).
ISO 27701 определя изискванията - и ръководства за създаване, прилагане, поддържане и непрекъснато подобряване на PIMS (система за управление на информацията за поверителност).
ISO 27701 се основава на изискванията, целите на контрола и контрола по ISO 27001 и включва серия от специфични изисквания за поверителност, цели и контрол.
Както EU GDPR (Общ регламент за защита на данните), така и британският DPA (Закон за защита на данните) 2018 изискват организациите да предприемат мерки за гарантиране на поверителността на личните данни, които обработват.
И двата регламента обаче не дават много насоки как трябва да изглеждат тези мерки.
Следователно ISO (Международна организация за стандартизация) и IEC (Международна електротехническа комисия) разработиха този нов стандарт, за да предоставят това ръководство.
Този стандарт определя изискванията в рамките на GDPR и предоставя насоки за създаване, прилагане, поддържане и непрекъснато подобряване на система за управление на информацията за поверителност (PIMS) за разширяване на управлението на поверителността в ISO / IEC 27001 и ISO / IEC 27002. От друга страна, той определя изискванията, свързани с PIMS и ръководи PII контролерите, които носят отговорността и отговорността на експертите по PII. Той се прилага и за организации от всякакъв тип и размери, включително PII контролери и / или PII процесори, които обработват PII в рамките на ISMS, включително публични и частни компании, държавни агенции и организации с нестопанска цел.
В стила на специфичния за индустрията вариант ISO / IEC 27001 стандартът ~ 70 страници се фокусира върху разликите в клаузите на свързаните с PIMS 27001 и 27002 стандарти.
Например:
„ISO / IEC 27001: 2013, 6.1.3.c) е преработен, както следва:
Контролите, посочени в 27001 б) от ISO / IEC 2013: 6.1.3, ще бъдат сравнени с контролите на ISO / IEC 27001: 2013, приложение A и / или приложение Б към настоящия документ, за да се провери дали необходимите контроли не са пропуснати.
За да се елиминират рисковете, когато се оценява приложимостта на целите на контрола и контрола в приложение А към ISO / IEC 27001: 2013, целите на контрола и контролите ще бъдат разгледани в контекста както на рисковете за сигурността на информацията, така и на рисковете, свързани с тяхната обработка. Включително рискове за ръководителите на PII. "
Това намалява риска от права за поверителност на лицата и организациите чрез подобряване на съществуваща система за управление на информационната сигурност.
Този стандарт е чудесен начин да покажете на клиентите, външните заинтересовани страни и вътрешните заинтересовани страни, че съществуват ефективни системи за подпомагане на спазването на БВП и други съответни закони за поверителност.
Организациите, които искат да получат сертификат по ISO 27701, за да се съобразят с GDPR, ще трябва или да имат съществуващ сертификат ISO 27001, или да прилагат ISO 27001 и ISO 27701 заедно като одит за единна заявка. ISO 27701 е естествено разширяване на изискванията и указанията, заложени в ISO 27001.
Стандартът ISO 27001 предоставя рамка за системи за управление на информационната сигурност (ISMS), която гарантира непрекъснатостта на спазването на закона, както и конфиденциалността, целостта и достъпността на информацията. Повече от 60.000 27001 организации в световен мащаб са сертифицирани по ISO XNUMX досега и са доказали сертифициране като важна част от защитата на най-важните ви активи.
Значителен конфликт в системните и технически изисквания между система за управление на информацията за поверителност и система за сигурност на информацията представлява предизвикателна ситуация за приемане на ISO 27001 и ISO 27701.
Първо се определя дали организацията отговаря на задължителните изисквания на стандарта и дали да премине към следващия етап.
Проверява се дали са разработени необходимите процедури и одити и ли е разгледана готовността на вашата институция за оценка.
Констатациите, които възникват през първите два етапа, се оценяват и след преглед на всички коригиращи действия се започва подготовката на документа.
Можете да ни помолите да попълним формуляра, за да получим среща, да получим по-подробна информация или да поискаме оценка.
