Skip to content 
Dariusz Rycek
Ryzyko prywatności wg ISO 27557
Publikacja norm tego typu jak ISO/IEC 27557 – Information security, cybersecurity and privacy protection — Application of ISO 31000:2018 for organizational privacy risk management (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Zastosowanie normy ISO 31000:2018 do zarządzania ryzykiem prywatności w organizacji), zwykle przechodzi bez echa, bo najczęściej jest ona sporo spóźniona.
A ponieważ biznes nie lubi próżni, tam gdzie opracowania w tym zakresie musiały się pojawić znaleziono rozwiązania. Jednakże patrząc na dość nikłe zainteresowania standardem ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (ISO/IEC 27701:2019 Techniki bezpieczeństwa — Rozszerzenie ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o prywatności — Wymagania i wytyczne), pojawia się przestrzeń gdzie przydatność tego dokumentu może się okazać większa, tym bardziej gdy organizacja bazuje na opracowaniach opartych o standardy ISO.
RODO a ryzyko prywatności
Na bazie 4 lat od wprowadzenia RODO, oraz prac na poziomie UE w zakresie prywatności widać, że rośnie zainteresowanie i potrzeba zajęcia się różnicami między zarządzaniem ryzykiem w zakresie bezpieczeństwa informacji a zarządzaniem ryzykiem w zakresie ochrony prywatności w organizacjach przetwarzających informacje umożliwiające identyfikację osób (z angielskiego PII – Personally Indentifiable Information). Zarządzanie ryzykiem w zakresie bezpieczeństwa informacji i związane z tym oceny ryzyka tradycyjnie koncentrują się na ryzyku dla organizacji, często wyrażane przy użyciu powszechnie akceptowanego wzoru: ryzyko = wpływ x prawdopodobieństwo. Organizacje mogą stosować różne metody oceny i klasyfikacji wpływu i prawdopodobieństwa, a następnie określić wartość (jakościową lub ilościową) ryzyka organizacyjnego, która może być wykorzystane do ustalenia priorytetów w zakresie ograniczania ryzyka. A to co często można spotkać przy systemach zarządzania bezpieczeństwem informacji wg ISO 27001 ma właśnie to ograniczenie organizacyjnego ujęcia.
Natomiast oceny prywatności koncentrują się przede wszystkim na skutkach dla jednostek – podmiotach fizycznych, takich jak te określone w ramach oceny wpływu na prywatność. Chociaż w ocenach prywatności priorytetowo traktuje się wpływ na prywatność jednostki, należy jednak rozważyć, w jaki sposób taki wpływ na prywatność jednostki może przyczynić się do ogólnego ryzyka organizacyjnego. Takie postępowanie może pomóc organizacji w budowaniu zaufania, wdrażaniu środków technicznych i organizacyjnych, poprawie komunikacji i wspieraniu zgodności z obowiązkami prawnymi, przy jednoczesnym uniknięciu negatywnego wpływu na reputację, wyniki finansowe i przyszłe perspektywy rozwoju.
Zdarzenia związane z ochroną prywatności mogą mieć konsekwencje dla organizacji, nawet w przypadku braku negatywnych skutków dla głównych stron danych osobowych. Jest więc obszar do doskonalenia, do ponownego spojrzenia na niego z wykorzystaniem podejścia ujętego w tej normie. Oferuje ona ramy oceny organizacyjnego ryzyka prywatności, z uwzględnieniem wpływu prywatności na jednostki jako składnika ogólnego ryzyka organizacyjnego. Rozszerza ona wytyczne normy ISO 31000:2018 o konkretne rozważania dotyczące organizacyjnego ryzyka prywatności i wspiera wymóg zarządzania ryzykiem zgodnie z wymaganiami systemów zarządzania informacją o prywatności (takich jak ISO/IEC 27701). Będzie więc kolejna pozycja, która rozszerzy podejście do ryzyka prywatności jako elementu Compliance w tym zakresie.
Zachęcamy do lektury, szczególnie tych dla których jest to temat powszedni, którzy stale poszykują lepszych rozwiązań dla swoich obecnych opracowań.
Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert-Poland