ISO/IEC 27701:2019 (БДС ISO/IEC 27701:2020) Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на личната информация. Изисквания и указания
ISO/IEC 27701
ISO/IEC 27701:2019 "Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на личната информация. Изисквания и указания" е разширение за неприкосновеност на личните данни към ISO/IEC 27001 и ISO/IEC 27002. Целта му е да подобри съществуващата Система за управление на сигурността на информацията (СУСИ) по отношение на въпросите, свързани с информационната сигурност и неприкосновеността на личните данни.
ISO/IEC 27701, наричан още PIMS (Система за управление на информацията за поверителността), очертава рамка за администраторите и обработващите лични данни за управление на поверителността и защитата на личната информация (Personally Identifiable Information – PII).
Стандартът е приложим за всички видове и размери организации, включително публични и частни компании, държавни структури и организации с нестопанска цел, които са администратори на PII и/или обработват PII в рамките на СУСИ. Тъй като ISO/IEC 27701 е разширителен стандарт, той изисква предварително да е внедрен ISO/IEC 27001. Организациите, които искат да получат сертификат по ISO/IEC 27701, или ще трябва да имат съществуващ сертификат по ISO/IEC 27001, или могат да внедрят ISO/IEC 27001 и ISO/IEC 27701 едновременно.
ISO/IEC 27701 помага на организацията да управлява своите рискове за поверителността, наличността и целостта на личните данни и да демонстрира на клиенти, партньори и служители, че съществуват ефективни контроли за спазването на Общия регламент относно защитата на данните (GDРR) и останалите законови разпоредби, свързани с неприкосновеността на личната информация.
Структура на ISO/IEC 27701:
-
Клауза 5 дава специфични за PIMS изисквания и друга информация относно сигурността на информацията във връзка с изискванията в ISO/IEC 27001, подходящи за организация, действаща като администратор на PII или обработващ PII. Клаузата съдържа подклаузи, тематично огледални на тези в ISO/IEC 27001;
-
Клауза 6 дава специфични за PIMS насоки и друга информация относно сигурността на информацията във връзка с контроли в ISO/IEC 27002 и специфични насоки за PIMS за организация, действаща като PII администратор или PII обработващ. Клаузата съдържа подклаузи, тематично огледални на тези в ISO/IEC 27002;
-
Клауза 7 дава допълнителни насоки и изисквания за администратори на PII;
-
Клауза 8 дава допълнителни насоки и изисквания за обработващи PII;
-
Приложение А изброява специфичните за PIMS цели за контрол и контролни механизми за организация, действаща като администратор на PII, (независимо дали използва обработващ или не и дали действа съвместно с друг администратор или не).
-
В приложение B са изброени специфичните за PIMS цели за контрол и контролни механизми за организация, действаща като обработващ PII (независимо дали възлага на подизпълнител обработката на PII или не, и включително тези, които обработват PII като подизпълнители на PII администратори).
-
Приложение C съдържа съответствие с ISO/IEC 29100.
-
Приложение D съдържа аналогично сравнение на контролите в стандарта спрямо GDРR.
-
Приложение Е съдържа съответствие между ISO/IEC 27018 и ISO/IEC 29151.
-
Приложение F обяснява как ISO/IEC 27001 и ISO/IEC 27002 се разширяват с цел защита на поверителността при обработка на личната информация (PII).
ISO/IEC 27701 би помогнал на вашата организация с насоки и мерки по отношение на:
-
Определяне на изискванията и целите на сигурност на личните данни и информацията;
-
Гарантиране изпълнението на приложимото законодателство по отношение на защита на личните данни и осигуряване на мрежова и информационна сигурност;
-
Определяне на процесите по управление на сигурността на информацията;
-
Повишаване на сигурността при подбора, назначаването и освобождаването на служители;
-
Управление на сигурността при взаимоотношения с доставчици;
-
Осигуряване на резервни копия на информацията и критичните информационни системи;
-
Механизми, с които да контролирате мобилните устройства, сменяемите носители и останалите ИТ активи в организацията си така, че да ограничите риска от инцидент и изтичане/загуба на информация;
-
Разработване на планове за действия в случай на инцидент със сигурността на информацията;
-
Необходими документирани правила (процедури, политики и други), с които да се дефинират позволените и забранените действия по отношение на работата с лични данни и чувствителна информация;
-
и много други.
ISO/IEC 27701:2019 (БДС ISO/IEC 27701:2020) Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на личната информация. Изисквания и указания
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.