Το ISO/IEC 27701:2019 είναι μια επέκταση απορρήτου στο διεθνές πρότυπο διαχείρισης ασφάλειας πληροφοριών, ISO / IEC 27001 (ISO / IEC 27701 Τεχνικές ασφαλείας – Επέκταση ISO / IEC 27001 και ISO / IEC 27002 για διαχείριση πληροφοριών απορρήτου – Απαιτήσεις και οδηγίες).
Το ISO 27701 καθορίζει τις απαιτήσεις – και παρέχει καθοδήγηση για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση – ενός PIMS (σύστημα διαχείρισης πληροφοριών απορρήτου).
Το ISO 27701 βασίζεται στις απαιτήσεις, τους στόχους ελέγχου και τους ελέγχους του ISO 27001, και περιλαμβάνει ένα σύνολο απαιτήσεων, ελέγχων και στόχων ελέγχου που αφορούν συγκεκριμένα την προστασία της ιδιωτικής ζωής.
Τόσο ο EU GDPR (General Data Protection Regulation) και ο UK DPA (Data Protection Act) 2018 απαιτούν από τους οργανισμούς να λαμβάνουν μέτρα για τη διασφάλιση του απορρήτου των προσωπικών δεδομένων που επεξεργάζονται.
Ωστόσο, καμία νομοθετική πράξη δεν παρέχει επαρκή καθοδήγηση για το πώς θα έπρεπε να είναι αυτά τα μέτρα.
Επομένως, ο ISO (the International Organization for Standardization) και ο IEC (International Electrotechnical Commission), έχουν αναπτύξει αυτό το νέο πρότυπο για την παροχή της απαραίτητης καθοδήγησης.
Το ISO 27001 καθορίζει τις απαιτήσεις για ένα ISMS (σύστημα διαχείρισης ασφάλειας πληροφοριών), μια προσέγγιση βάσει κινδύνου που περιλαμβάνει ανθρώπους, διαδικασίες και τεχνολογία. Η ανεξάρτητα διαπιστευμένη πιστοποίηση κατά το ISO 27001, παρέχει στους ενδιαφερόμενους τη διαβεβαίωση ότι τα δεδομένα τους προστατεύονται κατάλληλα.
Οι οργανισμοί που έχουν εφαρμόσει το ISO 27001 θα μπορούν να χρησιμοποιούν το ISO 27701 για να επεκτείνουν τις προσπάθειές τους για την κάλυψη της διαχείρισης απορρήτου – συμπεριλαμβανομένης της επεξεργασίας προσωπικών δεδομένων / PII (προσωπικά αναγνωρίσιμες πληροφορίες) – που μπορούν να τους βοηθήσουν να αποδείξουν ότι έχουν ληφθεί εύλογα μέτρα για τη συμμόρφωση με νόμους περί προστασίας δεδομένων όπως ο GDPR.
Οι οργανισμοί χωρίς ISMS μπορούν να εφαρμόσουν το ISO 27001 και το ISO 27701 μαζί ως ένα ενιαίο έργο υλοποίησης.
Το ISO 27701 έχει σχεδιαστεί για χρήση από όλους τους υπεύθυνους επεξεργασίας και διαχείρισης δεδομένων. Όπως το ISO 27001, υποστηρίζει μια προσέγγιση βάσει κινδύνου έτσι ώστε κάθε συμμορφούμενος οργανισμός να απευθύνει τους συγκεκριμένους κινδύνους που αντιμετωπίζει, καθώς και τους κινδύνους για τα προσωπικά δεδομένα και το απόρρητο.
Ενώ το ISO 27701 καθορίζει τις απαιτήσεις για ένα σύστημα διαχείρισης πληροφοριών απορρήτου, το BS 10012 είναι το βρετανικό πρότυπο για ένα σύστημα διαχείρισης προσωπικών πληροφοριών.
Υπάρχει μικρή απτή διαφορά μεταξύ των δύο όρων – και τα δύο είναι συστήματα διαχείρισης που έχουν σχεδιαστεί για να διασφαλίζουν προσωπικές πληροφορίες – και για χάρη των καθημερινών δραστηριοτήτων μπορείτε να υποθέσετε ότι το ακρωνύμιο “PIMS” αναφέρεται σε καθένα από αυτά. Ωστόσο, υπάρχουν μερικές αξιοσημείωτες διαφορές μεταξύ των δύο προσεγγίσεων, οι οποίες εξετάζονται παρακάτω.
GDPR |
ISO 27701 |
Προσωπικά δεδομένα |
PII |
Ελεγκτής δεδομένων |
PII controller |
Διαχειριστής δεδομένων |
PII processor |
Περιεχόμενο δεδομένων |
PII principal |
Προστασία δεδομένων με σχέδιο |
Privacy by design |
Προστασία δεδομένων εξ ορισμού |
Privacy by default |