ISO/IEC 27701 stanowi rozszerzenie do norm ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania prywatnością informacji. Norma określa wymagania i zawiera wytyczne dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia Systemu Zarządzania Prywatnością Informacji.
ISO/IEC 27701 opiera się na wymaganiach, celach stosowania zabezpieczeń i zabezpieczeniach ISO/IEC 27001 i zawiera zestaw wymagań dotyczących prywatności, celów stosowania zabezpieczeń i zabezpieczeń.
ISO/IEC 27701 stanowi odpowiedź na regulacje dotyczące prywatności danych w Unii Europejskiej oraz Wielkiej Brytanii.
Przepisy takie jak RODO wymagają od organizacji podjęcia odpowiednich środków w celu ochrony przetwarzanych danych osobowych. Jednakże, te przepisy często nie dostarczają konkretnych wskazówek, jak te środki powinny być implementowane.
W odpowiedzi na tę lukę, Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC) stworzyły normę ISO/IEC 27701. Celem tej normy jest pomoc organizacjom w skutecznym wdrażaniu praktyk zapewniających ochronę danych osobowych, zgodnie z wymogami prawnymi.
ISO/IEC 27001 określa wymagania dla ISMS (systemu zarządzania bezpieczeństwem informacji), podejścia opartego na ryzyku, które obejmuje ludzi, procesy i technologię. Niezależna akredytowana certyfikacja ISO/IEC 27001 daje interesariuszom pewność, że dane są odpowiednio zabezpieczone.
Organizacje, które wdrożyły ISO/IEC 27001, mogą korzystać z ISO 27701, aby rozszerzyć swoje działania związane z bezpieczeństwem informacji na zarządzanie prywatnością, w tym przetwarzanie danych osobowych/PII (informacje umożliwiające identyfikację). Takie podejście może im pomóc w demonstracji podjęcia odpowiednich środków w celu spełnienia wymagań zgodności z przepisami dotyczącymi ochrony danych, takimi jak RODO.
Organizacje, które nie mają jeszcze wdrożonego systemu zarządzania bezpieczeństwem informacji, mogą równocześnie wdrażać ISO/IEC 27001 i ISO/IEC 27701 jako jeden wspólny projekt wdrożeniowy.
ISOQAR oferuje akredytowaną certyfikację ISO/IEC 27701 wyłącznie jako część systemu zarządzania bezpieczeństwem informacji zgodnie z normą ISO/IEC 27001. Certyfikacja ta nie będzie dostępna jako niezależny system zarządzania.
ISO/IEC 27701 został zaprojektowany do użytku przez wszystkich administratorów danych i procesorów danych. Podobnie jak ISO/IEC 27001, zaleca podejście oparte na ryzyku, tak aby każda organizacja spełniająca wymagania odnosiła się do konkretnego ryzyka, na które jest narażona, a także do zagrożeń dla danych osobowych i prywatności.
Podczas gdy ISO/IEC 27701 określa wymagania dotyczące systemu zarządzania informacjami o prywatności, BS 10012 jest brytyjską normą dotyczącą systemu zarządzania danymi osobowymi.
Pomiędzy tymi dwoma terminami występuje niewielka istotna różnica - oba są systemami zarządzania zaprojektowanymi do zabezpieczania danych osobowych - i ze względu na codzienne czynności można założyć, że akronim „PIMS” odnosi się do każdego z nich. Istnieją jednak pewne znaczące różnice między tymi dwoma podejściami.
Chociaż oba standardy służą ochronie informacji, różnią się między sobą pod wieloma względami.
BS 10012 pomaga spełnić wymagania RODO i DPA 2018, podczas gdy ISO/IEC 27701 unika dostosowywania się do konkretnego systemu ochrony danych. Zapewnia to szersze zastosowanie, umożliwiając organizacjom przestrzeganie kilku reżimów prywatności.
Jeśli Twoja organizacja musi przestrzegać tylko wymagań RODO i DPA 2018, to prawdopodobnie standard BS 10012 spełni Twoje oczekiwania.
Jeśli jednak Twoja organizacja musi wykazać zgodność z wieloma różnymi regulacjami prawnymi w zakresie ochrony danych, to standard ISO/IEC 27701 jest właśnie dla Ciebie.
Wdrożenie ISO/IEC 27701 oraz ISO/IEC 27001 pozwala na spełnienie wymagań RODO oraz innych regulacji dotyczących prywatności i bezpieczeństwa informacji. Demonstruje również, że organizacja dysponuje odpowiednimi środkami technicznymi i organizacyjnymi do ochrony przetwarzanych danych osobowych oraz przestrzega praw osób, których dane dotyczą.
Dodatkowo, ISOQAR oferuje akredytowane usługi certyfikacji ISO/IEC 27701. Jeśli są Państwo zainteresowani naszą ofertą i chcieliby dowiedzieć się więcej o tym, jak możemy wspierać Państwa organizację w spełnianiu globalnych standardów ochrony danych, zachęcamy do kontaktu telefonicznego lub przez zapytanie ofertowe.