ISO/IEC 27701:2019

ISO/IEC 27701:2019 Tehnike bezbednosti – Proširenje ISO / IEC 27001 i ISO / IEC 27002 za menadžment informacijama o privatnosti (PIMS) – Zahtevi i smernice

Sistem menadžmenta informacijama o privatnosti (PIMS)

Sistem menadžmenta informacijama o privatnosti (PIMS) je sistem koji organizacijama olakšava kontrolu i upravljanje ličnim podacima i internetskim identitetom ljudi omogućavajući im da dozvole, negiraju ili povuku pristanak trećim stranama.

Šta je ISO / IEC 27701?

ISO / IEC 27701 standard objavljen je u avgustu 2019. godine i prvi je međunarodni standard koji se bavi menadžmentom informacijama o privatnosti. Inicijalno je razvijan kao ISO/IEC 27552 da bi u međuvremenu promenio ime u ISO/IEC 27701. Standard će pomoći organizacijama da uspostave, održavaju i kontinuirano poboljšavaju sistem menadžmenta informacijama o privatnosti (PIMS) poboljšavanjem postojećeg ISMS-a, zasnovanog na zahtevima ISO / IEC 27001 i smernicama ISO / IEC 27002.

Zašto je ISO / IEC 27701 važan za organizaciju?

Eksponencijalni rast prikupljanja ličnih podataka i povećanje obrade podataka doveli su do zabrinutosti za privatnost. Stoga će primena sistema menadžmenta informacijama o privatnosti (PIMS) u skladu sa zahtevima i smernicama ISO / IEC 27701 omogućiti organizacijama da procene, tretiraju i smanje rizike povezane sa prikupljanjem, održavanjem i obradom ličnih podataka.

Ovaj standard je bitan za svaku organizaciju, koja je odgovorna za lične identifikacione informacije (PII), jer pruža zahteve za upravljanje i obradu podataka i zaštitu privatnosti. Obogaćuje već implementirani ISMS za pravilno rešavanje problema privatnosti pomažući organizacijama da razumeju praktične pristupe koji su uključeni u implementaciju efikasnog upravljanja ličnim identifikacionim informacijama PII.

Prednosti ISO / IEC 27701

  • Shvatiti postupak implementacije sistema za menadžment informacijama o privatnosti
  • Steći potrebne veštine za podršku organizaciji u sprovođenju sistema menadžmenta informacijama o privatnosti u skladu sa ISO / IEC 27701
  • Podržati postupak kontinuiranog unapređenja sistema menadžmenta informacijama o privatnosti unutar organizacije
  • Zaštititi reputaciju organizacije
  • Izgraditi poverenje kupaca
  • Povećati zadovoljstvo kupaca
  • Povećati transparentnost procesa i postupaka organizacije
  • Održavati integritet informacija kupaca i drugih zainteresovanih strana

U odnosu na standard ISO/IEC 27001 standard sadrži dodatne zahteve za razumevanje konteksta organizacije i planiranje i dodatne smernice za implementaciju kontrola iz Aneksa A.

ISO/IEC 27701 daje okvir za upravljanje kontrolama privatnosti ličnih podataka za rukovaoce i obrađivače kako bi se smanjio rizik za kompromitovanje ličnih podataka. pomaže im da se kreću jednako brzo, ali da sui m privatnost i podaci o klijentima jedan od glavnih  prioriteta.

Standard se sastoji od:

  1. Zahtev 5 PIMS- posebni zahtevi u vezi sa ISO / IEC 27001
  2. Zahtev 6 PIMS- Specifične smernice koje se odnose na ISO / IEC 27002
  3. Zahtev 7 Dodatne ISO / IEC 27002 smernice za rukovaoce ličnim identifikacionim informacijama PII
  4. Zahtev 8 Dodatne ISO / IEC 27002 smernice za obrađivače ličnih identifikacionih informacija PII

i  šest aneksa, od kojih su dva normativna, a četiri informativna i to:

Aneks A (normativan) PIMS – specifični referentni ciljevi kontrola i kontrole (rukovaoci);
Aneks B (normativan) PIMS – specifični referentni ciljevi kontrola i kontrole (obrađivači);
Aneks C (informativan) Mapiranje prema ISO/IEC 29100;
Aneks D (informativan) Mapiranje prema GDPR – Opšta uredba o zaštiti podataka o ličnosti;
Aneks E (informativan) Mapiranje prema ISO/IEC 27018 i ISO/IEC 29151;
Aneks F (informativan) Kako primeniti ISO/IEC 27701 na ISO/IEC 27001 i ISO/IEC 27002;

ISO/IEC 27701 namenjen je za sertifikaciju kao proširenje na ISO/IEC 27001 sertifikat. Drugim rečima, organizacije koja žele sertifikat ISO/IEC 27701 prethodno moraju biti sertifikovane standardom za bezbednost informacija ISO/IEC 27001.

Sertifikat ISO/IEC 27701 predstavlja jedan od dokaza usklađenosti sa GDPR i Zakonom o zaštiti podataka o ličnosti.

Organizacije sertifikovane na osnovu ISO / IEC 27701 lakše će dokazati usaglašenosti s GDPR-om, čime će posredno pridoneti budućnosti u kojoj je privatnost prepoznata kao ljudsko pravo u digitalnom carstvu.

Struktura ISO/IEC 27701

ISO / IEC 27701 je proširenje ISO / IEC 27001 i ISO / IEC 27002. Prošire zahteve ISO / IEC 27001: 2013 i ISO / IEC 27002: 2013 pružajući dodatne zahteve specifične za PIMS. Budući da je njegov glavni cilj poboljšanje postojećeg ISMS-a, termin “informaciona bezbednost” je zamenjen izrazom “informaciona bezbednost i privatnost”.

Zahtev 5 PIMS- posebni zahtevi u vezi sa ISO / IEC 27001

5.1 Opšte

Zahtevi ISO / IEC 27001: 2013 koji pominju „bezbednost informacija“ proširuju se i na zaštitu privatnosti kao potencijalni uticaj obrade ličnih podataka PII.

5.2 Kontekst organizacije

5.3 Liderstvo

5.4 Planiranje

5.5 Podrška

5.6 Rad

5.7 Procena performansi

5.8 Poboljšanje

Zahtev 6 PIMS- Specifične smernice koje se odnose na ISO / IEC 27002

6.1 Opšte

Smernice u ISO / IEC 27002: 2013 koje pominju „bezbednost informacija“ proširuju se i na zaštitu privatnosti kao potencijalni uticaj obrade ličnih identifikacionih informacija PII.

 6.2 Politike bezbednosti informacija

 6.3 Organizacija bezbednosti informacija

 6.4 Bezbednost ljudskih resursa

 6.5 Upravljanje imovinom

 6.6 Kontrola pristupa

 6.7 Kriptografija

 6.8 Fizička bezbednost i bezbednost okoline

 6.9 Bezbednost operacija

 6.10 Bezbednost komunikacija

 6.11 Nabavka, razvoj i održavanje sistema

 6.12 Odnosi sa dobavljačima

 6.13 Upravljanje bezbednosnim incidentima

 6.14 Aspekti informatičke bezbednosti upravljanja kontinuitetom poslovanja

 6.15 Usaglašenost

Zahtev 7 Dodatne ISO / IEC 27002 smernice za rukovaoce ličnim identifikacionim informacijama PII

7.1 Opšte

Uputstva sadržana u zahtevu 6 plus dodaci u ovom zahtevu stvaraju PIMS – posebne smernice za rukovaoce ličnim identifikacionim informacijama PII.  Smernice za sprovođenje dokumentovane u ovom zahtevu odnose se na kontrole navedene u Aneksu A.

7.2 Uslovi za prikupljanje i obradu

7.3 Obaveze prema vlasnicima ličnih identifikacionih informacija PII

7.4 Privatnost prema dizajnu i podrazumevana privatnost

7.5 Lične identifikacione informacije PII – deljenje, prenos i otkrivanje

Zahtev 8 Dodatne ISO / IEC 27002 smernice za obrađivače ličnih identifikacionih informacija PII

8.1 Opšte

Smernice sadržane u ISO / IEC 27002: 2013 plus dodaci ovoj klauzuli stvaraju PIMS-specifične smernice za obrađivače ličnih identifikacionih informacija PII. Smernice za implementaciju dokumentirane u zahtevu 8 odnose se na kontrole navedene u Aneksu B.

8.2 Uslovi za prikupljanje i obradu

8.3 Obaveze prema vlasnicima ličnih identifikacionih informacija PII

8.4 Privatnost prema dizajnu i podrazumevana privatnost

8.5 lične identifikacione informacije PII – deljenje, prenos i otkrivanje

ISO / IEC 29100 pruža okvir privatnosti primenljiv na bilo koji sistem ili uslugu koja zahteva PII obradu. Opšti principi privatnosti ovog standarda povezani su sa kontrolama ličnih identifikacionih informacija PII rukovaoca I obrađivača, a ovo mapiranje je ilustrovano u Aneksu D standarda ISO / IEC 27701.

Osnova ovog standarda je upravljanje saglasnostima, koje namerava da osnaži ljude da povrate kontrolu nad svojim ličnim podacima. Iako su kompanije u prošlosti radile sa mantrom „Kreći se i razbijaj “, ovaj novi standard pomaže im da se kreću jednako brzo, ali da su im privatnost i podaci o klijentima jedan od glavnih  prioriteta zaštite.