Czym jest ISO/IEC 27701.
Certyfikacja ISO/IEC 27701 jest integralnym elementem systemu PIMS (Privacy Information Management System). Standard ten jest rozszerzeniem normy ISO/IEC 27001 (zarządzanie bezpieczeństwem informacji) oraz ISO/IEC 27002 (środki kontroli bezpieczeństwa informacji).
Opierając się na dwóch wymienionych normach, ISO/IEC 27701 zawiera wymagania i wytyczne dotyczące ustanawiania, wdrażania, utrzymywania i ciągłego doskonalenia systemu PIMS danej organizacji. Określa wymagania dotyczące PIMS oraz wytyczne dla administratorów informacji umożliwiających identyfikację osób (PII) i podmiotów przetwarzających takie informacje, odpowiedzialnych za przetwarzanie PII.
ISO/IEC 27701 ma zastosowanie w odniesieniu do wszystkich organizacji będących administratorami PII i/lub przetwarzających PII w ramach Systemu Zarządzania Bezpieczeństwem Informacji (SZBI/ISMS).
Mapowanie do innych norm i regulacji
Norma dokonuje mapowania do Dyrektywy RODO, ISO/IEC 29100 (ramy ochrony prywatności), ISO/IEC 27018 (ochrona informacji umożliwiających identyfikację osób w chmurach publicznych funkcjonujących jako podmioty przetwarzające takie informacje) oraz ISO/IEC 29151 (ochrona informacji umożliwiających identyfikację osób).
Główne korzyści wynikające ze stosowania ISO/IEC 27701
Efekty stosowania normy mogą obejmować:
- wzrost zaufania w kwestii zarządzania danymi osobowymi
- zwiększenie transparentności w relacjach między kluczowymi osobami
- poprawę skuteczności umów biznesowych
- zdefiniowanie ról i odpowiedzialności
- zapewnienie zgodności z przepisami
- uproszczenie systemu poprzez integrację z ISO/IEC 27001
Zgodność z wymaganiami ISO/IEC 27001 jest warunkiem wstępnym osiągnięcia zgodności z ISO/IEC 27701. Normy te z założenia wzajemnie się uzupełniają.
Spełnienie wymagań ISO/IEC 27701 dostarcza dowodów na to, w jaki sposób organizacja przetwarza informacje umożliwiające identyfikację osób. Można je wykorzystać przy zawieraniu umów z partnerami biznesowymi wtedy, gdy istotną rolę odgrywa przetwarzanie informacji ułatwiających identyfikację osób. Ponadto, spełnienie wymagań normy jest uwiarygodnieniem procesu przetwarzania informacji umożliwiających identyfikację osób wobec innych interesariuszy.
Główne obszary wymagań
Zakres
Niezbędne jest zrozumienie wymagań dotyczących systemu zarządzania oraz jego zamierzonego zastosowania.
Powołania normatywne
Konieczne jest zapoznanie się między innymi z następującymi dokumentami, przywoływanymi w treści normy:
- ISO/IEC 27000 oraz ISO/IEC 27001 (zarządzanie bezpieczeństwem informacji)
- ISO/IEC 27002 (kodeks praktyk dotyczących środków kontroli bezpieczeństwa informacji)
- ISO/IEC 29100 (ramy ochrony prywatności)
Terminy i definicje
W tej części podano kilka dodatkowych definicji stosowanych w normie, które nie zostały zawarte w ISO/IEC 27000 ani ISO/IEC 29100.
Wymagania ogólne
Należy zapoznać się z przeglądem struktury dokumentu i umiejscowieniem wymagań specyficznych dla PIMS, dotyczących ISO/IEC 27001 oraz ISO/IEC 27002.
Zapisy specyficzne dla PIMS
W odniesieniu do systemu PIMS, należy zapoznać się z wymaganiami związanymi z ISO/IEC 27001 oraz wytycznymi dotyczącymi ISO/IEC 27002.
Administratorzy informacji umożliwiających identyfikację osób oraz podmioty przetwarzające takie informacje
Norma zawiera dwa punkty z dodatkowymi wytycznymi dotyczącymi administratorów informacji umożliwiających identyfikację osób oraz podmiotów przetwarzających takie informacje.
Założenia projektowe ISO/IEC 27701
Istnieje uniwersalny zestaw operacyjnych środków nadzoru, który pozwala uwzględnić przepisy dotyczące ochrony prywatności w praktyce.
Na przykład mapowanie RODO do ISO oraz środków nadzorowania zgodności doprowadzi do wyrobów i usług i/lub rozwoju produktów oraz zarządzania dostawcami. Niezależny audyt środków nadzorowania zgodności doprowadzi do certyfikacji mającej na celu wykazanie zgodności.
Proces certyfikacji
Proces certyfikacji według normy ISO/IEC 27701 jest jasno określony.
Wniosek i oferta cenowa
Zwróć się o wycenę certyfikacji.
Kompetencje
Zidentyfikuj ewentualne luki w zakresie umiejętności i kompetencji swojego personelu.
Analiza luk
Identyfikacja wszelkich słabości.
Etap 1
Potwierdzenie, że wdrożenie systemu zarządzania jest na właściwym torze.
Etap 2
Potwierdzenie pełnego wdrożenia systemu zarządzania.
Certyfikacja
Podziel się swoim sukcesem ze światem.
Ciągłe doskonalenie
Ciągłość zapewniają regularne audyty w nadzorze.
Dalsze kroki
Dysponując powyższym arsenałem, należy przeanalizować ISO/IEC 27001 (ponownie), jak również zawartość ISO/IEC 27701. Można też wypróbować narzędzie mapowania regulacji dostępne na stronie www.dpmap.org.
Jaką pomoc oferujemy
Dzięki doświadczeniu we wszystkich głównych branżach rozumiemy problemy każdego sektora i dysponujemy umiejętnościami technicznymi oraz możliwościami logistycznymi zapewniającymi realne efekty.
Przeprowadzony przez nas audyt według ISO/IEC 27701 pomoże organizacji wyróżnić się na tle innych, wspierając jej rozwój i doskonalenie procesów oraz zwiększając umiejętności i budując trwałe relacje z klientami.
Ponadto oferujemy cały wachlarz usług uzupełniających w zakresie:
- Bezpieczeństwa informacji
- Usług w chmurze
- Zachowania prywatności danych
- Dostępności
Akademia SGS wprowadziła do oferty następujące kursy szkoleniowe:
- Wymagania ISO/IEC 27701
- Wdrożenie ISO/IEC 27701
- ISO/IEC 27701 a RODO
Działamy na całym świecie, z powodzeniem realizując duże, złożone projekty międzynarodowe. Znajomość lokalnych języków i rynków łączymy z globalną spójnością, niezawodnością i skutecznością.
Zarządzaj prywatnością, chroń swoją firmę i klientów.
Dowiedz się więcej na temat rozwiązań cyfrowych od SGS
Zapraszamy też do zapoznania się z ofertą szkoleń otwartych Akademii SGS
System zarządzania bezpieczeństwem informacji - wymagania ISO/IEC 27001
System zarządzania bezpieczeństwem informacji - wymagania i wdrożenie ISO/IEC 27001
Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001
Al. Jerozolimskie 146A,
, 02-305,
Warszawa,
Polska