Rozszerzenie wymagań ISO/IEC 27001 oraz ISO/IEC 27002 pod kątem prywatności w ramach ISO/IEC 27701.

ISO/IEC 27701: 2019 – dokument ten określa wymagania i zawiera wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania informacjami o prywatności (Personal Information Management System – PIMS w dalszej części). Został on wydany w formie rozszerzenia do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania prywatnością i odniesiony do każdej z tych norm, w każdym wymaganiu – od kontekstu organizacji – art. 4 do doskonalenia – art.10.

Ten dokument określa wymagania związane z PIMS i zawiera wytyczne dla administratorów PII (Personal Identifable Information – Dane osobowe) i procesorów PII odpowiedzialnych za przetwarzanie PII. Niniejszy dokument dotyczy wszystkich typów i rozmiarów organizacji, w tym firm publicznych i prywatnych, podmiotów rządowych i organizacji non-profit, które są administratorami danych osobowych i/lub podmiotami przetwarzającymi (procesorami) w ramach ISMS (SZBI – Systemu Zarządzania Bezpieczeństwem Informacji).

Może budzić trochę konsternacji połączenie wymagań i wytycznych w jednym dokumencie, ale z drugiej strony jest to dobra praktyka spotykana w standardach prywatnych. Nowy standard nakreśla związek między PIMS a ISMS (tj. w jaki sposób ISO 27701 odnosi się do ISO 27001), i:

• określa wymagania PIMS dla administratorów danych i podmiotów przetwarzających,
• wymienia mające zastosowanie zabezpieczenia prywatności dla administratorów i procesorów,
• odwzorowuje zabezpieczenia dotyczące prywatności na RODO i inne odpowiednie normy ISO/IEC (29100, 27018 i 29151).

Warto skorzystać z nowej normy, gdyż w wielu systemach zarządzania bezpieczeństwem informacji nie podniesiono kwestii prywatności w ujęciu danych osobowych nawet w analizie ryzyka – przyrównując ocenę skutków dla organizacji z oceną skutków dla podmiotu danych osobowych.

Zapraszamy do współpracy – kontakt
Zespół Centre of Excellence