ISO 27701 како продолжение на ISO 27001

Процесите и комуникацијата се повеќе се одвиваат во дигитална форма, што ја прави безбедноста на информациите толку важна. Затоа, многу организации сметаат дека добар систем за управување е од суштинско значење во оваа област.

ISO 27001 обезбедува одлична основа за ова и ви овозможува да покажете дека вашите вредни информации се соодветно заштитени.

Меѓутоа, неодамна беше објавен нов стандард како продолжение на ISO 27001, тоа е имено ISO 27701. Овој стандард не само што ги штити вашите сопствени информации, туку и покажува дека ја заштитувате приватноста на другите.

TÜV NORD е акредитиран како тело за сертификација за ISO 27701 од 2022 година, што значи дека можеме официјално да сертифицираме и за ISO 27001 и ISO 27701.

Дефинирани улоги во управувањето со заштита на податоците

Улогите дефинирани во ISO 27701 се Контролор (организација одговорна за PII – информации за лична идентификација) и Обработувач (одговорен за обработка на PII во име на друга организација). Овие улоги се дефинирани во член 4 од GDPR и во ISO 29100:

КОНТРОЛОР

„Физичкото или правното лице, јавен орган, агенција или друго тело кое самостојно или заедно со други ги утврдува целите и начините на обработка на личните податоци.

Контролорот собира лични податоци и ги одредува целите за кои ќе се користат и средствата за обработка. Повеќе од една организација можат да дејствуваат како PII контролер за иста обработка, и тие потоа обично се нарекуваат заеднички контролори. Во овој случај, потребни се договори за размена на податоци.

Придобивки од улогата на контролорот PII

  • Контролорот добива упатства за претпочитаните начини на работа
  • Улогата ја олеснува транспарентноста помеѓу контролорите на PII
  • Исто така, обезбедува ефективно управување со процесите на PII

ПРОЦЕСОР

„Физичко или правно лице, јавен орган, агенција или друго тело кое обработува лични податоци во име на контролорот“.

Процесорот обработува лични податоци за контролорот PII и работи само според упатствата на контролорот.

Придобивки од улогата на PII процесорот

  • Добива упатства за преферирани начини на работа
  • На клиентите им дава уверување дека PII се постапува ефикасно

Содржина на ISO 27701

ISO 27001 и ISO 27002 содржат барања и упатства за Систем за управување со безбедноста на информациите (ISMS). ISO 27701 додава барања и упатства специфични за приватноста и ги проширува во Систем за управување со приватни информации (PIMS).

ISO 27701 делува како продолжување на барањата и контролите на ISO 27001 и упатствата за имплементација на ISO 27002 и не функционира како самостоен. Затоа тој нужно има ист или помал опсег како системот за управување со ISO 27001 на кој се базира.

Првиот суштински дел од PIMS е поглавје 5 и ја поврзува приватноста (ISO 27701) со безбедноста на информациите (ISO 27001) како средство за специфични барања за приватност на врвот на барањата на (веќе постоечкиот) систем за управување со безбедноста на информациите. Овие дополнителни барања специфични за PIMS се ограничени на поглавјата 4 (Контекст на организацијата) и 6 (Планирање). На пример, луѓето со кои се однесуваат информациите за лична идентификација (PII), таканаречените директори на PII, сега исто така мора да бидат вклучени во заинтересираните страни заедно со нивните потреби и очекувања. Уште поважно, пристапот за управување со ризик сега мора да го вклучи и потенцијалното влијание врз приватноста на овие начела. Со цел да се ублажат ризиците, кои сега се безбедноста на информациите, како и ризиците за приватност, организацијата сега треба да ги земе предвид дополнителните контроли за приватност што се наведени во додатоците. Додаток А за контролори и додаток Б за процесори. Претставен во изјавата за применливост (SOA) на ист начин со кој организацијата е запознаена во (постоечкиот) ISMS.
Поглавјето 6 е посветено на давање дополнителни специфични насоки за приватноста на врвот на упатствата за имплементација во ISO 27002. Помагање на организацијата преку интегрирање на приватноста во (веќе постоечките) контроли за безбедност на информациите. На пример, при назначување независен експерт за приватност како дел од спроведувањето на улогите и одговорностите на организацијата.

Поглавјата 7 и 8 делуваат како упатства за имплементација за контролите во додатоците А и Б на ISO 27701. Еквивалент на ISO 27002 кон Додаток на ISO 27001. Нема ISO 27702. Сето тоа е покриено во ISO 27701.