ИСО / МЭК 27701: 2019 является расширением конфиденциальности для международного стандарта управления информационной безопасностью ИСО / МЭК 27001 (Методы безопасности ИСО / МЭК 27701 - Расширение ИСО / МЭК 27001 и ИСО / МЭК 27002 для управления информацией о конфиденциальности. Требования и руководящие указания).
ISO 27701 определяет требования и направляет создание, внедрение, поддержание и постоянное совершенствование PIMS (системы управления информацией о конфиденциальности).
ISO 27701 основан на требованиях, целях контроля и средствах управления ISO 27001 и включает ряд требований, касающихся конфиденциальности, целей контроля и управления.
Как EUR EUR (Общее положение о защите данных), так и британский DPA (Закон о защите данных) 2018 года требуют от организаций принимать меры для обеспечения конфиденциальности обрабатываемых ими персональных данных.
Тем не менее, оба нормативных акта не дают большого руководства относительно того, как эти меры должны выглядеть.
Поэтому ИСО (Международная организация по стандартизации) и МЭК (Международная электротехническая комиссия) разработали этот новый стандарт для обеспечения этого руководства.
Этот стандарт устанавливает требования в рамках GDPR и предоставляет руководство по созданию, внедрению, поддержанию и постоянному совершенствованию Системы управления информацией о конфиденциальности (PIMS) для управления конфиденциальностью в рамках расширения до ISO / IEC 27001 и ISO / IEC 27002. С другой стороны, он определяет требования, связанные с PIMS, и направляет контроллеров PII, которые несут ответственность и ответственность экспертов PII. Это также относится к организациям всех типов и размеров, включая контроллеры PII и / или процессоры PII, которые обрабатывают PII в СМИБ, включая государственные и частные компании, правительственные учреждения и некоммерческие организации.
В стиле отраслевого варианта ISO / IEC 27001 стандарт на ~ 70 страниц фокусируется на различиях в положениях стандартов 27001 и 27002, связанных с PIMS.
Например:
«ISO / IEC 27001: 2013, 6.1.3.c) был изменен следующим образом:
Элементы управления, изложенные в пункте 27001 b) ИСО / МЭК 2013: 6.1.3, будут сопоставлены с элементами управления ИСО / МЭК 27001: 2013, Приложением А и / или Приложением В к настоящему документу, чтобы убедиться, что требуемые элементы управления не пропущены.
Чтобы устранить риски, при оценке применимости целей и средств контроля в Приложении A ISO / IEC 27001: 2013 цели и средства контроля будут рассматриваться в контексте как рисков информационной безопасности, так и рисков, связанных с их обработкой. Включая риски для менеджеров PII. "
Это снижает риск соблюдения прав на неприкосновенность частной жизни для отдельных лиц и организаций за счет улучшения существующей системы управления информационной безопасностью.
Этот стандарт является отличным способом показать клиентам, внешним заинтересованным сторонам и внутренним заинтересованным сторонам, что существуют эффективные системы для поддержки соблюдения ВВП и других соответствующих законов о конфиденциальности.
Организации, желающие получить сертификацию ISO 27701 для соответствия GDPR, должны либо иметь действующий сертификат ISO 27001, либо применять ISO 27001 и ISO 27701 вместе в качестве аудита одного приложения. ISO 27701 является естественным расширением требований и руководящих указаний, изложенных в ISO 27001.
Стандарт ISO 27001 обеспечивает основу для систем управления информационной безопасностью (СУИБ), которая обеспечивает непрерывность соблюдения правовых норм, а также конфиденциальность, целостность и доступность информации. На сегодняшний день более 60.000 27001 организаций по всему миру имеют сертификат ISO XNUMX и доказали, что сертификация является важной частью защиты ваших самых важных активов.
Значительный конфликт в системных и технических требованиях между системой управления информацией о конфиденциальности и системой информационной безопасности представляет собой сложную ситуацию для принятия ISO 27001 и ISO 27701.
Во-первых, определяется, соответствует ли организация обязательным требованиям стандарта и следует ли переходить к следующему этапу.
Проверяется, были ли разработаны необходимые процедуры и аудиты, и проверяется ли готовность вашего учреждения к оценке.
Результаты, полученные на первых двух этапах, оцениваются, и после рассмотрения всех корректирующих действий начинается подготовка документа.
Вы можете попросить нас заполнить нашу форму, чтобы записаться на прием, получить более подробную информацию или запросить оценку.