ISO / IEC 27701: 2019 er en personvernutvidelse for den internasjonale standarden for informasjonssikkerhetsstyring ISO / IEC 27001 (ISO / IEC 27701 Sikkerhetsteknikker - Utvidelse til ISO / IEC 27001 og ISO / IEC 27002 for personverninformasjonshåndtering - Krav og retningslinjer).
ISO 27701 spesifiserer krav - og guider for å opprette, implementere, vedlikeholde og kontinuerlig forbedre et PIMS (informasjonsstyringssystem for personvern).
ISO 27701 er basert på krav, kontrollmål og kontroller i ISO 27001 og inkluderer en serie personvernspesifikke krav, kontroll og kontrollmål.
Både EU GDPR (General Data Protection Regulation) og den britiske DPA (Data Protection Act) 2018 krever at organisasjoner iverksetter tiltak for å sikre konfidensialiteten til personopplysningene de behandler.
Begge forskriftene gir imidlertid ikke mye veiledning for hvordan disse tiltakene skal se ut.
ISO (International Organization for Standardization) og IEC (International Electrotechnical Commission) utviklet derfor denne nye standarden for å gi denne veiledningen.
Denne standarden angir kravene innenfor rammen av GDPR og gir veiledning for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et Privacy Information Management System (PIMS) for personvernstyring innenfor utvidelsesområdet til ISO / IEC 27001 og ISO / IEC 27002. På den annen side bestemmer den PIMS-relaterte krav og veileder PII-kontrollerne som bærer PII-eksperters ansvar og ansvar. Det gjelder også organisasjoner av alle typer og størrelser, inkludert PII-kontrollere og / eller PII-prosessorer som behandler PII i et ISMS, inkludert offentlige og private selskaper, offentlige etater og ideelle organisasjoner.
I stil med den bransjespesifikke ISO / IEC 27001-varianten, fokuserer ~ 70-siders standarden på forskjellene i leddsetningene til PIMS-relaterte 27001 og 27002-standarder.
For eksempel:
“ISO / IEC 27001: 2013, 6.1.3.c) er revidert som følger:
Kontrollene beskrevet i 27001 b) i ISO / IEC 2013: 6.1.3 vil bli sammenlignet med kontrollene i ISO / IEC 27001: 2013, vedlegg A og / eller vedlegg B i dette dokumentet for å bekrefte at de nødvendige kontrollene ikke er hoppet over.
For å eliminere risikoer vil kontrollmål og kontroller vurderes i sammenheng med både informasjonssikkerhetsrisiko og risiko forbundet med behandlingen når de vurderer anvendeligheten av kontrollmål og kontroller i vedlegg A til ISO / IEC 27001: 2013. Inkludert risiko for PII-ledere. "
Dette reduserer risikoen for personvernrettigheter for enkeltpersoner og organisasjoner ved å forbedre et eksisterende informasjonssikkerhetsstyringssystem.
Denne standarden er en flott måte å vise kunder, eksterne interessenter og interne interessenter at det eksisterer effektive systemer for å støtte etterlevelse av BNP og annen relevant personvernlovgivning.
Organisasjoner som ønsker å få ISO 27701-sertifisering for å overholde GDPR, må enten ha et eksisterende ISO 27001-sertifikat eller bruke ISO 27001 og ISO 27701 sammen som en enkelt applikasjonsrevisjon. ISO 27701 er en naturlig utvidelse av kravene og veiledningen angitt i ISO 27001.
ISO 27001-standarden gir et rammeverk for et informasjonssikkerhetsstyringssystemer (ISMS) som sikrer kontinuitet i lovlig overholdelse samt konfidensialitet, integritet og tilgjengelighet av informasjon. Mer enn 60.000 27001 organisasjoner over hele verden har ISO XNUMX-sertifisering til dags dato og har bevist sertifisering som en viktig del av å beskytte de mest vitale eiendelene dine.
Betydelig konflikt i system- og tekniske krav mellom et informasjonsstyringssystem for personvern og et informasjonssikkerhetssystem gir en utfordrende situasjon for å ta i bruk ISO 27001 og ISO 27701.
Først blir det bestemt om organisasjonen oppfyller de obligatoriske kravene i standarden og om de skal gå videre til neste trinn.
Det blir sjekket om nødvendige prosedyrer og revisjoner er utviklet og institusjonens beredskap for evaluering blir vurdert.
Funnene som oppstår i de to første stadiene blir evaluert, og etter at alle korrigerende handlinger er gjennomgått, startes dokumentforberedelse.
Du kan be oss om å fylle ut skjemaet vårt for å få en avtale, for å få mer detaljert informasjon eller for å be om en evaluering.
