...

ISO 27557 – Privacy Risk

Ryzyko prywatności wg ISO 27557

Publikacja norm tego typu jak ISO/IEC 27557 – Information security, cybersecurity and privacy protection — Application of ISO 31000:2018 for organizational privacy risk management (Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności – Zastosowanie normy ISO 31000:2018 do zarządzania ryzykiem prywatności w organizacji), zwykle przechodzi bez echa, bo najczęściej jest ona sporo spóźniona.

A ponieważ biznes nie lubi próżni, tam gdzie opracowania w tym zakresie musiały się pojawić znaleziono rozwiązania. Jednakże patrząc na dość nikłe zainteresowania standardem ISO/IEC 27701:2019 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines (ISO/IEC 27701:2019 Techniki bezpieczeństwa — Rozszerzenie ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o prywatności — Wymagania i wytyczne), pojawia się przestrzeń gdzie przydatność tego dokumentu może się okazać większa, tym bardziej gdy organizacja bazuje na opracowaniach opartych o standardy ISO.

RODO a ryzyko prywatności

Na bazie 4 lat od wprowadzenia RODO, oraz prac na poziomie UE w zakresie prywatności widać, że rośnie zainteresowanie i potrzeba zajęcia się różnicami między zarządzaniem ryzykiem w zakresie bezpieczeństwa informacji a zarządzaniem ryzykiem w zakresie ochrony prywatności w organizacjach przetwarzających informacje umożliwiające identyfikację osób (z angielskiego PII – Personally Indentifiable Information). Zarządzanie ryzykiem w zakresie bezpieczeństwa informacji i związane z tym oceny ryzyka tradycyjnie koncentrują się na ryzyku dla organizacji, często wyrażane przy użyciu powszechnie akceptowanego wzoru: ryzyko = wpływ x prawdopodobieństwo. Organizacje mogą stosować różne metody oceny i klasyfikacji wpływu i prawdopodobieństwa, a następnie określić wartość (jakościową lub ilościową) ryzyka organizacyjnego, która może być wykorzystane do ustalenia priorytetów w zakresie ograniczania ryzyka. A to co często można spotkać przy systemach zarządzania bezpieczeństwem informacji wg ISO 27001 ma właśnie to ograniczenie organizacyjnego ujęcia.

ISO 27701 Privacy Risk ISO 27001 certyfikacja

Natomiast oceny prywatności koncentrują się przede wszystkim na skutkach dla jednostek – podmiotach fizycznych, takich jak te określone w ramach oceny wpływu na prywatność. Chociaż w ocenach prywatności priorytetowo traktuje się wpływ na prywatność jednostki, należy jednak rozważyć, w jaki sposób taki wpływ na prywatność jednostki może przyczynić się do ogólnego ryzyka organizacyjnego. Takie postępowanie może pomóc organizacji w budowaniu zaufania, wdrażaniu środków technicznych i organizacyjnych, poprawie komunikacji i wspieraniu zgodności z obowiązkami prawnymi, przy jednoczesnym uniknięciu negatywnego wpływu na reputację, wyniki finansowe i przyszłe perspektywy rozwoju.

Zdarzenia związane z ochroną prywatności mogą mieć konsekwencje dla organizacji, nawet w przypadku braku negatywnych skutków dla głównych stron danych osobowych. Jest więc obszar do doskonalenia, do ponownego spojrzenia na niego z wykorzystaniem podejścia ujętego w tej normie. Oferuje ona ramy oceny organizacyjnego ryzyka prywatności, z uwzględnieniem wpływu prywatności na jednostki jako składnika ogólnego ryzyka organizacyjnego. Rozszerza ona wytyczne normy ISO 31000:2018 o konkretne rozważania dotyczące organizacyjnego ryzyka prywatności i wspiera wymóg zarządzania ryzykiem zgodnie z wymaganiami systemów zarządzania informacją o prywatności (takich jak ISO/IEC 27701). Będzie więc kolejna pozycja, która rozszerzy podejście do ryzyka prywatności jako elementu Compliance w tym zakresie.

Zachęcamy do lektury, szczególnie tych dla których jest to temat powszedni, którzy stale poszykują lepszych rozwiązań dla swoich obecnych opracowań.

Zapraszamy do współpracy
Zespół Centre of Excellence & QSCert-Poland

Scroll to Top