ISO / IEC 27701: 2019 เป็นส่วนขยายความเป็นส่วนตัวสำหรับมาตรฐานการจัดการความปลอดภัยข้อมูลระหว่างประเทศ ISO / IEC 27001 (ISO / IEC 27701 เทคนิคการรักษาความปลอดภัย - ขยายไปสู่ ISO / IEC 27001 และ ISO / IEC 27002 สำหรับการจัดการข้อมูลความเป็นส่วนตัว - ข้อกำหนดและแนวทาง
ISO 27701 ระบุข้อกำหนด - และแนวทางในการสร้างดำเนินการบำรุงรักษาและปรับปรุง PIMS (ระบบการจัดการข้อมูลส่วนบุคคล) อย่างต่อเนื่อง
ISO 27701 ขึ้นอยู่กับข้อกำหนดวัตถุประสงค์การควบคุมและการควบคุมของ ISO 27001 และรวมถึงชุดข้อกำหนดเฉพาะด้านความเป็นส่วนตัวการควบคุมและการควบคุม
ทั้ง EU GDPR (ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป) และ DPA ของอังกฤษ (พระราชบัญญัติคุ้มครองข้อมูล) 2018 กำหนดให้องค์กรต้องใช้มาตรการเพื่อรับรองความลับของข้อมูลส่วนบุคคลที่พวกเขาดำเนินการ
อย่างไรก็ตามกฎระเบียบทั้งสองฉบับไม่ได้ให้แนวทางที่ชัดเจนว่ามาตรการเหล่านี้ควรมีลักษณะอย่างไร
ISO (International Organization for Standardization) และ IEC (International Electrotechnical Commission) จึงพัฒนามาตรฐานใหม่นี้เพื่อให้คำแนะนำนี้
มาตรฐานนี้กำหนดข้อกำหนดภายในกรอบของ GDPR และให้คำแนะนำสำหรับการสร้างการดำเนินการบำรุงรักษาและปรับปรุงระบบการจัดการข้อมูลความเป็นส่วนตัว (PIMS) อย่างต่อเนื่องสำหรับการจัดการความเป็นส่วนตัวภายในขอบเขตของการขยายสู่ ISO / IEC 27001 และ ISO / IEC 27002 ในทางกลับกันมันเป็นตัวกำหนดข้อกำหนดที่เกี่ยวข้องกับ PIMS และแนะนำตัวควบคุม PII ที่รับผิดชอบและความรับผิดชอบของผู้เชี่ยวชาญ PII นอกจากนี้ยังใช้กับองค์กรทุกประเภทและขนาดรวมถึงตัวควบคุม PII และ / หรือตัวประมวลผล PII ที่ประมวลผล PII ภายใน ISMS รวมถึง บริษัท ของรัฐและเอกชนหน่วยงานราชการและองค์กรที่ไม่แสวงหาผลกำไร
ในรูปแบบของตัวแปร ISO / IEC 27001 เฉพาะอุตสาหกรรมนั้นมาตรฐานหน้า ~ 70 จะเน้นไปที่ความแตกต่างของอนุประโยคของมาตรฐาน PIMS ที่เกี่ยวข้องกับ 27001 และ 27002
ตัวอย่างเช่น:
“ ISO / IEC 27001: 2013, 6.1.3.c) ได้รับการแก้ไขดังนี้:
ตัวควบคุมที่กำหนดไว้ใน 27001 b) ของ ISO / IEC 2013: 6.1.3 จะถูกนำไปเปรียบเทียบกับ ISO / IEC 27001: 2013, ภาคผนวก A และ / หรือภาคผนวก B ของเอกสารนี้เพื่อตรวจสอบว่าตัวควบคุมที่จำเป็นไม่ถูกข้าม
เพื่อกำจัดความเสี่ยงเมื่อประเมินการบังคับใช้ของวัตถุประสงค์การควบคุมและการควบคุมในภาคผนวก A ของ ISO / IEC 27001: 2013 วัตถุประสงค์การควบคุมและการควบคุมจะได้รับการพิจารณาในบริบทของความเสี่ยงด้านความปลอดภัยข้อมูลและความเสี่ยงที่เกี่ยวข้องกับกระบวนการ รวมถึงความเสี่ยงสำหรับผู้จัดการ PII "
สิ่งนี้ช่วยลดความเสี่ยงของสิทธิความเป็นส่วนตัวสำหรับบุคคลและองค์กรโดยการปรับปรุงระบบการจัดการความปลอดภัยของข้อมูลที่มีอยู่
มาตรฐานนี้เป็นวิธีที่ดีในการแสดงลูกค้าผู้มีส่วนได้เสียภายนอกและผู้มีส่วนได้เสียภายในว่ามีระบบที่มีประสิทธิภาพเพื่อรองรับการปฏิบัติตาม GDP และกฎหมายความเป็นส่วนตัวอื่น ๆ ที่เกี่ยวข้อง
องค์กรที่ต้องการได้รับการรับรอง ISO 27701 เพื่อให้สอดคล้องกับ GDPR จะต้องมีใบรับรอง ISO 27001 ที่มีอยู่หรือใช้ ISO 27001 และ ISO 27701 ร่วมกันเป็นการตรวจสอบแอปพลิเคชันเดียว ISO 27701 เป็นการขยายความต้องการและคำแนะนำตามมาตรฐาน ISO 27001 อย่างเป็นธรรมชาติ
มาตรฐาน ISO 27001 จัดทำกรอบสำหรับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่รับรองความต่อเนื่องของการปฏิบัติตามกฎหมายรวมถึงการรักษาความลับความสมบูรณ์และความพร้อมของข้อมูล องค์กรมากกว่า 60.000 แห่งทั่วโลกมีใบรับรอง ISO 27001 จนถึงปัจจุบันและได้รับการรับรองว่าเป็นส่วนสำคัญในการปกป้องทรัพย์สินที่สำคัญที่สุดของคุณ
ความขัดแย้งที่สำคัญในระบบและข้อกำหนดทางเทคนิคระหว่างระบบการจัดการข้อมูลความเป็นส่วนตัวและระบบความปลอดภัยของข้อมูลนำเสนอสถานการณ์ที่ท้าทายสำหรับการใช้ ISO 27001 และ ISO 27701
ขั้นแรกจะมีการพิจารณาว่าองค์กรเป็นไปตามข้อกำหนดที่บังคับใช้ของมาตรฐานและจะดำเนินการในขั้นตอนต่อไปหรือไม่
มีการตรวจสอบว่าขั้นตอนและการตรวจสอบที่จำเป็นได้รับการพัฒนาและความพร้อมของสถาบันในการประเมินผลจะได้รับการตรวจสอบหรือไม่
การค้นพบที่เกิดขึ้นในสองขั้นตอนแรกจะได้รับการประเมินและหลังจากตรวจสอบการแก้ไขทั้งหมดแล้วการเตรียมเอกสารจะเริ่มขึ้น
คุณสามารถขอให้เรากรอกแบบฟอร์มของเราเพื่อรับการนัดหมายเพื่อรับข้อมูลรายละเอียดเพิ่มเติมหรือเพื่อขอการประเมินผล
