System Zarządzania Informacjami o Prywatności - ISO 27701

System Zarządzania Informacjami o Prywatności - ISO 27701

System Zarządzania Informacjami o Prywatności - norma ISO 27701

ISO/IEC 27701 stanowi rozszerzenie do norm ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania prywatnością informacji. Norma określa wymagania i zawiera wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Prywatnością Informacji.

 

ISO/IEC 27701 opiera się na wymaganiach, celach stosowania zabezpieczeń i zabezpieczeniach ISO/IEC  27001 i zawiera zestaw wymagań dotyczących prywatności, celów stosowania zabezpieczeń i zabezpieczeń.

 

Dlaczego opracowano ISO/IEC 27701?

ISO/IEC 27701 stanowi odpowiedź na regulacje dotyczące prywatności danych w Unii Europejskiej oraz Wielkiej Brytanii.

 

Przepisy takie jak RODO wymagają od organizacji podjęcia odpowiednich środków w celu ochrony przetwarzanych danych osobowych. Jednakże, te przepisy często nie dostarczają konkretnych wskazówek, jak te środki powinny być implementowane.

 

W odpowiedzi na tę lukę, Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC) stworzyły normę ISO/IEC 27701. Celem tej normy jest pomoc organizacjom w skutecznym wdrażaniu praktyk zapewniających ochronę danych osobowych, zgodnie z wymogami prawnymi.

 

W jaki sposób ISO 27001 i ISO 27701 integrują się ze sobą?

ISO/IEC 27001 określa wymagania dla ISMS (systemu zarządzania bezpieczeństwem informacji), podejścia opartego na ryzyku, które obejmuje ludzi, procesy i technologię. Niezależna akredytowana certyfikacja ISO/IEC 27001 daje interesariuszom pewność, że dane są odpowiednio zabezpieczone.

 

Organizacje, które wdrożyły ISO/IEC 27001, mogą korzystać z ISO 27701, aby rozszerzyć swoje działania związane z bezpieczeństwem informacji na zarządzanie prywatnością, w tym przetwarzanie danych osobowych/PII (informacje umożliwiające identyfikację). Takie podejście może im pomóc w demonstracji podjęcia odpowiednich środków w celu spełnienia wymagań zgodności z przepisami dotyczącymi ochrony danych, takimi jak RODO.

 

Organizacje, które nie mają jeszcze wdrożonego systemu zarządzania bezpieczeństwem informacji, mogą równocześnie wdrażać ISO/IEC 27001 i ISO/IEC 27701 jako jeden wspólny projekt wdrożeniowy.

 

ISOQAR oferuje akredytowaną certyfikację ISO/IEC 27701 wyłącznie jako część systemu zarządzania bezpieczeństwem informacji zgodnie z normą ISO/IEC 27001. Certyfikacja ta nie będzie dostępna jako niezależny system zarządzania.

 

Kto powinien wdrożyć ISO/IEC 27701?

ISO/IEC 27701 został zaprojektowany do użytku przez wszystkich administratorów danych i procesorów danych. Podobnie jak ISO/IEC  27001, zaleca podejście oparte na ryzyku, tak aby każda organizacja spełniająca wymagania odnosiła się do konkretnego ryzyka, na które jest narażona, a także do zagrożeń dla danych osobowych i prywatności.

 

Jaka jest różnica między systemem zarządzania informacjami o prywatności a systemem zarządzania danymi osobowymi?

Podczas gdy ISO/IEC 27701 określa wymagania dotyczące systemu zarządzania informacjami o prywatności, BS 10012 jest brytyjską normą dotyczącą systemu zarządzania danymi osobowymi.

 

Pomiędzy tymi dwoma terminami występuje niewielka istotna różnica - oba są systemami zarządzania zaprojektowanymi do zabezpieczania danych osobowych - i ze względu na codzienne czynności można założyć, że akronim „PIMS” odnosi się do każdego z nich. Istnieją jednak pewne znaczące różnice między tymi dwoma podejściami.

 

Czy powinienem wdrożyć ISO 27701 czy BS 10012?

Chociaż oba standardy służą ochronie informacji, różnią się między sobą pod wieloma względami.

 

BS 10012 pomaga spełnić wymagania RODO i DPA 2018, podczas gdy ISO/IEC 27701 unika dostosowywania się do konkretnego systemu ochrony danych. Zapewnia to szersze zastosowanie, umożliwiając organizacjom przestrzeganie kilku reżimów prywatności.

 

Jeśli Twoja organizacja musi przestrzegać tylko wymagań RODO i DPA 2018, to prawdopodobnie standard BS 10012 spełni Twoje oczekiwania.

 

Jeśli jednak Twoja organizacja musi wykazać zgodność z wieloma różnymi regulacjami prawnymi w zakresie ochrony danych, to standard ISO/IEC 27701 jest właśnie dla Ciebie.

 

Wykaż zgodność z RODO dzięki ISO/IEC 27701 i ISO/IEC 27001

Wdrożenie ISO/IEC 27701 oraz ISO/IEC 27001 pozwala na spełnienie wymagań RODO oraz innych regulacji dotyczących prywatności i bezpieczeństwa informacji. Demonstruje również, że organizacja dysponuje odpowiednimi środkami technicznymi i organizacyjnymi do ochrony przetwarzanych danych osobowych oraz przestrzega praw osób, których dane dotyczą.

 

Dodatkowo, ISOQAR oferuje akredytowane usługi certyfikacji ISO/IEC 27701. Jeśli są Państwo zainteresowani naszą ofertą i chcieliby dowiedzieć się więcej o tym, jak możemy wspierać Państwa organizację w spełnianiu globalnych standardów ochrony danych, zachęcamy do kontaktu telefonicznego lub przez zapytanie ofertowe.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności