ISO / IEC 27701: 2019 is een privacy-extensie voor de internationale norm voor informatiebeveiligingbeheer ISO / IEC 27001 (ISO / IEC 27701 Beveiligingstechnieken - Uitbreiding naar ISO / IEC 27001 en ISO / IEC 27002 voor privacyinformatiebeheer - Vereisten en richtlijnen).
ISO 27701 specificeert vereisten - en handleidingen voor het creëren, implementeren, onderhouden en continu verbeteren van een PIMS (privacyinformatiebeheersysteem).
ISO 27701 is gebaseerd op de vereisten, controledoelstellingen en controles van ISO 27001 en omvat een reeks privacyspecifieke vereisten, controle- en controledoelstellingen.
Zowel de EU GDPR (General Data Protection Regulation) als de British DPA (Data Protection Act) 2018 vereisen dat organisaties maatregelen nemen om de vertrouwelijkheid van de persoonsgegevens die zij verwerken te waarborgen.
Beide verordeningen bieden echter niet veel aanwijzingen over hoe deze maatregelen eruit moeten zien.
ISO (Internationale Organisatie voor Standaardisatie) en IEC (Internationale Elektrotechnische Commissie) hebben daarom deze nieuwe standaard ontwikkeld om deze richtlijnen te bieden.
Deze norm beschrijft de vereisten in het kader van GDPR en biedt richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management System (PIMS) voor privacybeheer in het kader van uitbreiding naar ISO / IEC 27001 en ISO / IEC 27002. Aan de andere kant bepaalt het de PIMS-gerelateerde vereisten en begeleidt het de PII-controllers die de verantwoordelijkheid en verantwoordelijkheid van PII-experts dragen. Het is ook van toepassing op organisaties van alle soorten en maten, inclusief PII-controllers en / of PII-processors die PII binnen een ISMS verwerken, inclusief openbare en particuliere bedrijven, overheidsinstellingen en non-profitorganisaties.
In de stijl van de branchespecifieke ISO / IEC 27001-variant richt de norm van ~ 70 pagina's zich op de verschillen in clausules van de PIMS-gerelateerde 27001- en 27002-normen.
Bijvoorbeeld:
“ISO / IEC 27001: 2013, 6.1.3.c) is als volgt herzien:
De controles in 27001 b) van ISO / IEC 2013: 6.1.3 worden vergeleken met die van ISO / IEC 27001: 2013, bijlage A en / of bijlage B van dit document om te controleren of de vereiste controles niet worden overgeslagen.
Om risico's te elimineren, zullen bij de beoordeling van de toepasbaarheid van controledoelstellingen en -controles in bijlage A van ISO / IEC 27001: 2013, controledoelstellingen en -controles worden overwogen in de context van zowel informatiebeveiligingsrisico's als risico's in verband met de verwerking ervan. Inclusief risico's voor PII-managers. "
Dit vermindert het risico van privacyrechten voor individuen en organisaties door een bestaand beheersysteem voor informatiebeveiliging te verbeteren.
Deze standaard is een geweldige manier om klanten, externe belanghebbenden en interne belanghebbenden te laten zien dat er effectieve systemen bestaan om de naleving van GDP en andere relevante privacywetgeving te ondersteunen.
Organisaties die een ISO 27701-certificering willen verkrijgen om te voldoen aan de AVG, moeten ofwel een bestaand ISO 27001-certificaat hebben of ISO 27001 en ISO 27701 samen toepassen als een enkele applicatie-audit. ISO 27701 is een natuurlijke uitbreiding van de vereisten en richtlijnen in ISO 27001.
De ISO 27001-norm biedt een raamwerk voor een Information Security Management Systems (ISMS) dat de continuïteit van wettelijke naleving waarborgt, evenals de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Meer dan 60.000 organisaties wereldwijd zijn tot op heden ISO 27001 gecertificeerd en hebben bewezen certificering als een belangrijk onderdeel van de bescherming van uw belangrijkste bedrijfsmiddelen.
Aanzienlijk conflict in systeem- en technische vereisten tussen een privacyinformatiebeheersysteem en een informatiebeveiligingssysteem vormt een uitdagende situatie voor de toepassing van ISO 27001 en ISO 27701.
Eerst wordt bepaald of de organisatie voldoet aan de verplichte eisen van de norm en of naar de volgende fase moet worden gegaan.
Er wordt gecontroleerd of noodzakelijke procedures en audits zijn ontwikkeld en of de bereidheid van uw instelling tot evaluatie is beoordeeld.
De bevindingen die in de eerste twee fasen optreden, worden geëvalueerd en nadat corrigerende acties zijn beoordeeld, wordt de documentvoorbereiding gestart.
U kunt ons vragen om ons formulier in te vullen om een afspraak te maken, voor meer gedetailleerde informatie of om een evaluatie aan te vragen.