ISO/IEC 27701 и поверителността на личните данни
ISO/IEC 27701 предлага подробен набор от оперативни контроли, които могат да бъдат адаптирани към различни нормативни изисквания, включително GDPR. Стандартът изисква документиране на политики, процедури, протоколи и дейности в съответствие с тези контроли в зависимост от обхвата на подлежащата на сертифициране дейност.
ISO/IEC 27701 помага на компаниите да:
- поддържат ефективна система за поверителност и информационна сигурност;
- намалят рисковете за поверителността;
- демонстрират пред потребителите, външните организации и вътрешните заинтересовани страни, че съществуват механизми за ефективно управление на поверителността на данните;
- защитят поверителността и обработката на информация, разкриваща лични данни.
Използването на ISO/IEC 27701 като унифицирана система за оперативен контрол на поверителността на данните премахва необходимостта от разфокусиране върху множеството регулации. ISO/IEC 27701 е проектиран да отговаря на изискванията за защита на данните и GDPR и е достатъчно гъвкав, за да бъде адаптиран към специфични изисквания на различните индустрии.
Тъй като ISO/IEC 27701 е разширение на ISO/IEC 27001, това означава, че организациите, които възнамеряват да внедрят стандарта, трябва да имат внедрена СУСИ съгласно ISO/IEC 27001 или да планират да въведат и двата стандарта едновременно.
Какво е лична информация?
Лична информация са данните, които могат да се използват за конкретно идентифициране на определено лице. Сама по себе си информацията може да не е непременно чувствителна, но когато се вземат в контекст, данните могат да доведат до различни заключения за физическо лице или компания.
Личната информация включва: име, адрес, рождена дата, национален осигурителен номер, телефонен номер, имейл адрес и т.н. Може също да включва електронни идентификатори, като IP адреси, тагове за географско местоположение и идентификационни номера.
Какви са градивните елементи на стандарта?
ISO/IEC 27701 е разширение на ISO/IEC 27001 – един от най-широко използваните международни стандарти за управление на сигурността на информацията. Ако вашата организация вече е запозната с ISO/IEC 27001, интегрирането на новите контроли за поверителност може да бъде относително лесно. ISO/IEC 27701 се основава и на други стандарти, като ISO/IEC 27002 и ISO 29100, като добавя слой за поверителност на данните към предишните стандарти за информационна сигурност.
Важни моменти, които трябва да отбележим относно ISO/IEC 27001 и поверителността на информацията е, че ISO/IEC 27701 предоставя контроли, специфични за обработващия личните данни, които помагат на организациите да преодолеят предизвикателствата на поверителността и сигурността чрез установяване на точка на сближаване между сигурността на информацията като цяло и сигурността на личните данни в частност. Сигурността е важна за поверителността. ISO 22701 разчита на ISO 27001 за управление на сигурността. Сертификацията по ISO/IEC 27701 е възможна само като допълнение към сертификацията по ISO/IEC 27001 и не може да бъде получена като самостоятелен сертификат.
ISO/IEC 27701 има 135 контроли, които изменят или модифицират ISO/IEC 27001, а също така има 49 контроли, които очертават насоки относно личните данни. Те обхващат процеси, ръководещи промяна или оттегляне на съгласие за обработване на лични данни; достъп, коригиране или изтриване на лични данни; информиране на трети страни за промени в лични данни; предоставяне на копие от обработената лична информация и др. Различни елементи от тези контроли са приложими и за спазването на Общия регламент за защита на данните (GDPR).
ISO/IEC 27701:2019 се базира на контролите от Анекс A на ISO/IEC 27001, който през 2022 г. претърпя изменение, основно по отношение на контролите. Поради това в момента се работи по нова верния на ISO/IEC 27701. Общественото обсъждане е приключило и предстои одобряване на проекта. Следете публикациите на Консехо за повече подробности по темата.
Внедряване на управленски стандарти
КОНСЕХО ЕООД (CONSEJO) е консултантска фирма, сформирана от екип консултанти с над 15 годишен опит по системи за управление в областта на международните стандарти. Фокусът на фирмата е предоставяне на консултантски услуги при разработване и внедряване на системи за управление, покриващи изискванията на международните стандарти по качеството, околната среда, безопасни условия на труд, сигурност на информацията, добри производствени практики на базата на международните стандарти: ISO 9001, ISO 14001, ISO 45001, ISO 22000, ISO 27001, IFS Food, HACCP и други.
Екипът на КОНСЕХО е участвал в реализирането на проекти във всички отрасли на икономиката. Реализираните проекти от екипа на КОНСЕХО са над 1000, в областите - производство и проектиране, строителство, търговия, информационни и комуникационни технологии, транспорт и спедиция, хотелиерство и ресторантьорство, специална продукция, енергетика, дизайн, хранително-вкусова промишленост, услуги и др. Във фирмата е изграден стриктен ред за контрол по спазването на договорените изисквания с клиентите, както сроковете на договорите, така и качеството на изпълнение на услугата. Изграденият стил на работа на фирмата се състои в разработване на истински системи за управление, съвместно с нашите клиенти, на базата на провеждане на множество обучения и оказване на пълно съдействие в процеса на внедряване. Чрез подхода си на работа КОНСЕХО осигурява и гарантира безпроблемно сертифициране на изградените системи в изключително кратки срокове.
