ISO/IEC 27701:2019 "Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на личната информация. Изисквания и указания" е разширение за неприкосновеност на личните данни към ISO/IEC 27001 и ISO/IEC 27002. Целта му е да подобри съществуващата Система за управление на сигурността на информацията (СУСИ) по отношение на въпросите, свързани с информационната сигурност и неприкосновеността на личните данни.
 
ISO/IEC 27701, наричан още PIMS (Система за управление на информацията за поверителността), очертава рамка за администраторите и обработващите лични данни за управление на поверителността и защитата на личната информация (Personally Identifiable Information – PII).
 
Стандартът е приложим за всички видове и размери организации, включително публични и частни компании, държавни структури и организации с нестопанска цел, които са администратори на PII и/или обработват PII в рамките на СУСИ. Тъй като ISO/IEC 27701 е разширителен стандарт, той изисква предварително да е внедрен ISO/IEC 27001. Организациите, които искат да получат сертификат по ISO/IEC 27701, или ще трябва да имат съществуващ сертификат по ISO/IEC 27001, или могат да внедрят ISO/IEC 27001 и ISO/IEC 27701 едновременно.
 
ISO/IEC 27701 помага на организацията да управлява своите рискове за поверителността, наличността и целостта на личните данни и да демонстрира на клиенти, партньори и служители, че съществуват ефективни контроли за спазването на Общия регламент относно защитата на данните (GDРR) и останалите законови разпоредби, свързани с неприкосновеността на личната информация.
 
Структура на ISO/IEC 27701:

• Клауза 5 дава специфични за PIMS изисквания и друга информация относно сигурността на информацията във връзка с изискванията в ISO/IEC 27001, подходящи за организация, действаща като администратор на PII или обработващ PII. Клаузата съдържа подклаузи, тематично огледални на тези в ISO/IEC 27001;

• Клауза 6 дава специфични за PIMS насоки и друга информация относно сигурността на информацията във връзка с контроли в ISO/IEC 27002 и специфични насоки за PIMS за организация, действаща като PII администратор или PII обработващ. Клаузата съдържа подклаузи, тематично огледални на тези в ISO/IEC 27002;

• Клауза 7 дава допълнителни насоки и изисквания за администратори на PII;

• Клауза 8 дава допълнителни насоки и изисквания за обработващи PII;

• Приложение А изброява специфичните за PIMS цели за контрол и контролни механизми за организация, действаща като администратор на PII, (независимо дали използва обработващ или не и дали действа съвместно с друг администратор или не).

• В приложение B са изброени специфичните за PIMS цели за контрол и контролни механизми за организация, действаща като обработващ PII (независимо дали възлага на подизпълнител обработката на PII или не, и включително тези, които обработват PII като подизпълнители на PII администратори).

• Приложение C съдържа съответствие с ISO/IEC 29100.

• Приложение D съдържа аналогично сравнение на контролите в стандарта спрямо GDРR.

• Приложение Е съдържа съответствие между ISO/IEC 27018 и ISO/IEC 29151.

• Приложение F обяснява как ISO/IEC 27001 и ISO/IEC 27002 се разширяват с цел защита на поверителността при обработка на личната информация (PII).

 
ISO/IEC 27701 би помогнал на вашата организация с насоки и мерки по отношение на:

• Определяне на изискванията и целите на сигурност на личните данни и информацията;

• Гарантиране изпълнението на приложимото законодателство по отношение на защита на личните данни и осигуряване на мрежова и информационна сигурност;

• Определяне на процесите по управление на сигурността на информацията;

• Повишаване на сигурността при подбора, назначаването и освобождаването на служители;

• Управление на сигурността при взаимоотношения с доставчици;

• Осигуряване на резервни копия на информацията и критичните информационни системи;

• Механизми, с които да контролирате мобилните устройства, сменяемите носители и останалите ИТ активи в организацията си така, че да ограничите риска от инцидент и изтичане/загуба на информация;

• Разработване на планове за действия в случай на инцидент със сигурността на информацията;

• Необходими документирани правила (процедури, политики и други), с които да се дефинират позволените и забранените действия по отношение на работата с лични данни и чувствителна информация;

• и много други.