ISO / IEC 27701: 2019 er en privatlivsudvidelse til den internationale informationssikkerhedsstyringsstandard ISO / IEC 27001 (ISO / IEC 27701 Sikkerhedsteknikker - Udvidelse til ISO / IEC 27001 og ISO / IEC 27002 til forvaltning af privatlivets fred - Krav og retningslinjer).
ISO 27701 specificerer krav - og vejledninger til at oprette, implementere, vedligeholde og løbende forbedre et PIMS (management information system for privacy).
ISO 27701 er baseret på kravene, kontrolmålene og kontrollerne i ISO 27001 og inkluderer en række privatlivspecifikke krav, kontrol og kontrolmål.
Både EU GDPR (General Data Protection Regulation) og den britiske DPA (Data Protection Act) 2018 kræver, at organisationer træffer foranstaltninger for at sikre fortroligheden af de personoplysninger, de behandler.
Begge forordninger giver dog ikke meget vejledning i, hvordan disse foranstaltninger skal se ud.
ISO (International Organization for Standardization) og IEC (International Electrotechnical Commission) udviklede derfor denne nye standard til at give denne vejledning.
Denne standard angiver kravene inden for rammerne af GDPR og giver vejledning til etablering, implementering, vedligeholdelse og løbende forbedring af et Privacy Information Management System (PIMS) til privatlivsstyring inden for udvidelsen til ISO / IEC 27001 og ISO / IEC 27002. På den anden side bestemmer det de PIMS-relaterede krav og vejleder de PII-controllere, der bærer PII-eksperters ansvar og ansvar. Det gælder også for organisationer af alle typer og størrelser, herunder PII-controllere og / eller PII-processorer, der behandler PII i et ISMS, herunder offentlige og private virksomheder, offentlige agenturer og non-profit organisationer.
I stil med den branche-specifikke ISO / IEC 27001-variant fokuserer ~ 70-siders standarden på forskellene i klausuler i PIMS-relaterede 27001 og 27002 standarder.
For eksempel:
“ISO / IEC 27001: 2013, 6.1.3.c) er revideret som følger:
De kontroller, der er beskrevet i 27001 b) i ISO / IEC 2013: 6.1.3, sammenlignes med kontrollerne i ISO / IEC 27001: 2013, bilag A og / eller bilag B til dette dokument for at verificere, at de krævede kontroller ikke er sprunget over.
For at eliminere risici, når man vurderer anvendeligheden af kontrolmål og -kontroller i bilag A til ISO / IEC 27001: 2013, vil kontrolmål og -kontroller blive overvejet i sammenhæng med både informationssikkerhedsrisici og risici forbundet med deres behandling. Inkluderet risici for PII-ledere. "
Dette reducerer risikoen for privatlivets fred for enkeltpersoner og organisationer ved at forbedre et eksisterende informationssikkerhedsstyringssystem.
Denne standard er en fantastisk måde at vise klienter, eksterne interessenter og interne interessenter, at der findes effektive systemer til støtte for overholdelse af BNP og anden relevant privatlivslovgivning.
Organisationer, der ønsker at opnå ISO 27701-certificering for at overholde GDPR, skal enten have et eksisterende ISO 27001-certifikat eller anvende ISO 27001 og ISO 27701 sammen som en enkelt applikationsrevision. ISO 27701 er en naturlig udvidelse af kravene og vejledningen beskrevet i ISO 27001.
ISO 27001-standarden giver en ramme for et informationssikkerhedsstyringssystemer (ISMS), der sikrer kontinuitet i lovlig overholdelse samt fortrolighed, integritet og tilgængelighed af information. Mere end 60.000 organisationer på verdensplan har hidtil ISO 27001-certificering og har bevist certificering som en vigtig del af beskyttelsen af dine mest vitale aktiver.
Betydelig konflikt i system- og tekniske krav mellem et informationsstyringssystem til beskyttelse af personlige oplysninger og et informationssikkerhedssystem udgør en udfordrende situation for vedtagelse af ISO 27001 og ISO 27701.
For det første er det afgørende, om organisationen opfylder de obligatoriske krav i standarden og om, hvorvidt man skal fortsætte til næste trin.
Det kontrolleres, om nødvendige procedurer og revisioner er blevet udviklet, og din institutions beredskab til evaluering er gennemgået.
Resultaterne, som opstår i de første to faser, evalueres og korrigerende handlinger gennemgås efterhånden, dokument forberedelse påbegyndes.
Du kan bede os om at udfylde vores formular for at få en aftale, for at få mere detaljerede oplysninger eller for at anmode om en evaluering.
