ISO / IEC 27701: 2019 je rozšírenie ochrany súkromia pre medzinárodný štandard riadenia bezpečnosti informácií ISO / IEC 27001 (ISO / IEC 27701 Bezpečnostné techniky - Rozšírenie na ISO / IEC 27001 a ISO / IEC 27002 pre správu informácií o súkromí - Požiadavky a usmernenia).
ISO 27701 špecifikuje požiadavky - a príručky na vytváranie, implementáciu, údržbu a neustále zlepšovanie PIMS (systém správy osobných údajov).
ISO 27701 je založená na požiadavkách, cieľoch kontroly a kontrolách podľa normy ISO 27001 a zahŕňa celý rad požiadaviek týkajúcich sa súkromia, kontrolných a kontrolných cieľov.
V nariadení EÚ GDPR (všeobecné nariadenie o ochrane údajov) a britskom DPA (zákon o ochrane údajov) 2018 sa od organizácií vyžaduje, aby prijali opatrenia na zabezpečenie dôvernosti osobných údajov, ktoré spracúvajú.
Obidve nariadenia však neposkytujú veľa usmernení, ako by tieto opatrenia mali vyzerať.
ISO (Medzinárodná organizácia pre normalizáciu) a IEC (Medzinárodná elektrotechnická komisia) preto vyvinuli túto novú normu, aby poskytli toto usmernenie.
Táto norma stanovuje požiadavky v rámci GDPR a poskytuje usmernenie na zriadenie, implementáciu, údržbu a neustále zlepšovanie systému riadenia informácií o ochrane súkromia (PIMS) na správu súkromia v rozsahu rozšírenia na ISO / IEC 27001 a ISO / IEC 27002. Na druhej strane určuje požiadavky súvisiace s PIMS a vedie kontrolórov PII, ktorí nesú zodpovednosť a zodpovednosť odborníkov na PII. Vzťahuje sa tiež na organizácie všetkých typov a veľkostí vrátane správcov PII a / alebo procesorov PII, ktoré spracúvajú PII v ISMS, vrátane verejných a súkromných spoločností, vládnych agentúr a neziskových organizácií.
V štýle priemyselne špecifického variantu ISO / IEC 27001 sa ~ 70-stranový štandard zameriava na rozdiely v ustanoveniach štandardov 27001 a 27002 týkajúcich sa PIMS.
napríklad:
„ISO / IEC 27001: 2013, 6.1.3.c) bolo revidované takto:
Ovládacie prvky uvedené v bode 27001 b) normy ISO / IEC 2013: 6.1.3 sa porovnajú s ovládacími prvkami uvedenými v prílohách A a / alebo prílohe B tohto dokumentu k normám ISO / IEC 27001: 2013, aby sa overilo, či požadované ovládacie prvky nie sú vynechané.
Aby sa eliminovali riziká, pri posudzovaní uplatniteľnosti cieľov kontroly a kontrol v prílohe A k norme ISO / IEC 27001: 2013 sa kontrolné ciele a kontroly budú posudzovať v kontexte rizík bezpečnosti informácií a rizík spojených s ich spracovaním. Vrátane rizík pre manažérov PII. "
Vylepšením existujúceho systému riadenia informačnej bezpečnosti sa tým znižuje riziko práv na súkromie pre jednotlivcov a organizácie.
Tento štandard je vynikajúcim spôsobom, ako ukázať klientom, externým zúčastneným stranám a interným zainteresovaným stranám, že existujú účinné systémy na podporu dodržiavania právnych predpisov o HDP a iných príslušných právnych predpisoch o ochrane súkromia.
Organizácie, ktoré majú v úmysle získať certifikáciu ISO 27701, aby dosiahli súlad s GDPR, budú musieť buď mať existujúci certifikát ISO 27001, alebo budú spoločne uplatňovať normy ISO 27001 a ISO 27701 ako jeden aplikačný audit. ISO 27701 je prirodzeným rozšírením požiadaviek a usmernení stanovených v norme ISO 27001.
Norma ISO 27001 poskytuje rámec pre systémy riadenia informačnej bezpečnosti (ISMS), ktorý zabezpečuje kontinuitu dodržiavania právnych predpisov, ako aj dôvernosť, integritu a dostupnosť informácií. Doteraz získala certifikácia podľa normy ISO 60.000 viac ako 27001 XNUMX organizácií na celom svete a certifikácia sa osvedčila ako dôležitá súčasť ochrany vašich najdôležitejších aktív.
Značný konflikt v systémových a technických požiadavkách medzi systémom riadenia informácií o súkromí a systémom zabezpečenia informácií predstavuje náročnú situáciu pri prijímaní noriem ISO 27001 a ISO 27701.
Najprv sa určí, či organizácia spĺňa povinné požiadavky normy a či má postupovať do ďalšej fázy.
Skontroluje sa, či boli vypracované potrebné postupy a audity a či je pripravenosť vašej inštitúcie na hodnotenie skontrolovaná.
Zistenia, ktoré sa vyskytnú v prvých dvoch etapách, sa vyhodnotia a po preskúmaní všetkých nápravných opatrení sa začne príprava dokumentov.
Môžete nás požiadať, aby sme vyplnili náš formulár, aby sme dostali schôdzku, získali podrobnejšie informácie alebo požiadali o vyhodnotenie.
