Πιστοποίηση Συστημάτων Διαχείρισης

ISO 27701 Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας

UCERT CYPRUS

ΤΙ ΕΙΝΑΙ ΤΟ ISO 27701;

Το ISO/IEC 27701:2019 είναι μια επέκταση απορρήτου στο διεθνές πρότυπο διαχείρισης ασφάλειας πληροφοριών, ISO / IEC 27001 (ISO / IEC 27701 Τεχνικές ασφαλείας – Επέκταση ISO / IEC 27001 και ISO / IEC 27002 για διαχείριση πληροφοριών απορρήτου – Απαιτήσεις και οδηγίες).

Το ISO 27701 καθορίζει τις απαιτήσεις – και παρέχει καθοδήγηση για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση – ενός PIMS (σύστημα διαχείρισης πληροφοριών απορρήτου).

Το ISO 27701 βασίζεται στις απαιτήσεις, τους στόχους ελέγχου και τους ελέγχους του ISO 27001, και περιλαμβάνει ένα σύνολο απαιτήσεων, ελέγχων και στόχων ελέγχου που αφορούν συγκεκριμένα την προστασία της ιδιωτικής ζωής.

ΓΙΑΤΙ ΑΝΑΠΤΥΧΘΗΚΕ ΤΟ ΠΡΟΤΥΠΟ ISO 27701;

Τόσο ο EU GDPR (General Data Protection Regulation) και ο UK DPA (Data Protection Act) 2018 απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα για τη διασφάλιση του απορρήτου των προσωπικών δεδομένων που επεξεργάζονται.

Ωστόσο, καμία νομοθετική πράξη δεν παρέχει επαρκή καθοδήγηση για το πώς θα έπρεπε να είναι αυτά τα μέτρα.

Επομένως, ο ISO (the International Organization for Standardization) και ο IEC (International Electrotechnical Commission), έχουν αναπτύξει αυτό το νέο πρότυπο για την παροχή της απαραίτητης καθοδήγησης.

ΠΩΣ ΕΝΩΠΟΙΟΥΝΤΑΙ ΤΑ ISO 27001 ΚΑΙ ISO 27701 ΜΕΤΑΞΥ ΤΟΥΣ;

Το ISO 27001 καθορίζει τις απαιτήσεις για ένα ISMS (σύστημα διαχείρισης ασφάλειας πληροφοριών), μια προσέγγιση βάσει κινδύνου που περιλαμβάνει ανθρώπους, διαδικασίες και τεχνολογία. Η ανεξάρτητα διαπιστευμένη πιστοποίηση κατά το ISO 27001, παρέχει στους ενδιαφερόμενους τη διαβεβαίωση ότι τα δεδομένα τους προστατεύονται κατάλληλα.

Οι οργανισμοί που έχουν εφαρμόσει το ISO 27001 θα μπορούν να χρησιμοποιούν το ISO 27701 για να επεκτείνουν τις προσπάθειές τους για την κάλυψη της διαχείρισης απορρήτου – συμπεριλαμβανομένης της επεξεργασίας προσωπικών δεδομένων / PII (προσωπικά αναγνωρίσιμες πληροφορίες) – που μπορούν να τους βοηθήσουν να αποδείξουν ότι έχουν ληφθεί εύλογα μέτρα για τη συμμόρφωση με νόμους περί προστασίας δεδομένων όπως ο GDPR.

Οι οργανισμοί χωρίς ISMS μπορούν να εφαρμόσουν το ISO 27001 και το ISO 27701 μαζί ως ένα ενιαίο έργο υλοποίησης.

ΠΟΙΟΙ ΘΑ ΠΡΕΠΕΙ ΝΑ ΕΦΑΡΜΟΣΟΥΝ ΤΟ ISO 27701;

Το ISO 27701 έχει σχεδιαστεί για χρήση από όλους τους υπεύθυνους επεξεργασίας και διαχείρισης δεδομένων. Όπως το ISO 27001, υποστηρίζει μια προσέγγιση βάσει κινδύνου έτσι ώστε κάθε συμμορφούμενος οργανισμός να απευθύνει τους συγκεκριμένους κινδύνους που αντιμετωπίζει, καθώς και τους κινδύνους για τα προσωπικά δεδομένα και το απόρρητο.

ΠΟΙΑ ΕΙΝΑΙ Η ΔΙΑΦΟΡΑ ΜΕΤΑΞΥ ΕΝΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΑΠΟΡΡΗΤΩΝ ΚΑΙ ΕΝΟΣ ΣΥΣΤΗΜΑΤΟΣ ΔΙΑΧΕΙΡΙΣΗΣ ΠΡΟΣΩΠΙΚΩΝ ΠΛΗΡΟΦΟΡΙΩΝ;

Ενώ το ISO 27701 καθορίζει τις απαιτήσεις για ένα σύστημα διαχείρισης πληροφοριών απορρήτου, το BS 10012 είναι το βρετανικό πρότυπο για ένα σύστημα διαχείρισης προσωπικών πληροφοριών.

Υπάρχει μικρή απτή διαφορά μεταξύ των δύο όρων – και τα δύο είναι συστήματα διαχείρισης που έχουν σχεδιαστεί για να διασφαλίζουν προσωπικές πληροφορίες – και για χάρη των καθημερινών δραστηριοτήτων μπορείτε να υποθέσετε ότι το ακρωνύμιο “PIMS” αναφέρεται σε καθένα από αυτά. Ωστόσο, υπάρχουν μερικές αξιοσημείωτες διαφορές μεταξύ των δύο προσεγγίσεων, οι οποίες εξετάζονται παρακάτω.

GDPR

ISO 27701

Προσωπικά δεδομένα

PII

Ελεγκτής δεδομένων

PII controller

Διαχειριστής δεδομένων

PII processor

Περιεχόμενο δεδομένων

PII principal

Προστασία δεδομένων με σχέδιο

Privacy by design

Προστασία δεδομένων εξ ορισμού

Privacy by default