ISO 27701 – Die Standaard vir Privaatheidsinligtingbestuur

Wat is ISO 27701?

In die nasleep van die EU se Algemene Databeskermingsregulasie (GDPR), Suid-Afrika se POPIA, Brasilië se LGPD, die Australia Privaatheidsbeginsels, baie soortgelyke privaatheidswette en -regulasies wat regoor die wêreld opgestel word; daar was 'n groeiende behoefte aan 'n gedragskode, of standaard, om voldoening aan privaatheiddata en sertifisering te demonstreer. ISO 27701 poog om 'n werklik internasionale benadering tot privaatheidbeskerming as 'n komponent van inligtingsekuriteit te bied.

ISO 27701 is ontwikkel om 'n standaard vir dataprivaatheidskontroles te verskaf, wat, wanneer dit met 'n ISMS gekoppel word, 'n organisasie in staat stel om doeltreffende privaatheidsdatabestuur te demonstreer. Dit bepaal die parameters vir 'n PIMS in terme van privaatheidbeskerming en verwerking van persoonlik identifiseerbare inligting (PII).

ISO 27701 is 'n indrukwekkende manier om aan verbruikers, eksterne organisasies en interne belanghebbendes te demonstreer dat meganismes in plek is om data veilig te hou en om aan GDPR en ander privaatheidswette te voldoen.

Die ISO 27701-standaard, 'n PIMS (Privacy Information Management System)-standaard, lê 'n gedetailleerde stel operasionele kontrolelyste uiteen wat aangepas kan word by 'n verskeidenheid regulasies, insluitend GDPR. Maatskappye dokumenteer hul beleide, prosedures, protokolle en aktiwiteite in ooreenstemming met die standaard se operasionele kontrolelyste, met rekords wat dan deur interne en derdeparty-ouditeure geoudit word, wat lei tot gedetailleerde bewys van voldoening aan die standaard. ISO 27701 help ondernemings om 'n doeltreffende privaatheid- en inligtingsekuriteitstelsel te handhaaf en privaatheidsrisiko's te verminder.

Wat is die boustene van die standaard?

ISO 27701 is 'n uitbreiding van ISO/IEC 27001, wat een van die mees gebruikte internasionale standaarde vir inligtingsekuriteitbestuur is. As jou organisasie reeds vertroud is met ISO/IEC 27001, kan die integrasie van die nuwe privaatheidskontroles van PIMS relatief eenvoudig wees. ISO 27701 is ook gebaseer op ander standaarde, soos ISO 27002 en ISO 29100. ISO 27701 voeg 'n data-privaatheidslaag by vorige inligtingsekuriteitstandaarde. As jy die blokkies vir ander standaarde merk, merk jy dalk al van die blokkies vir ISO 27701.

Belangrike punte om te onthou oor ISO 27001 en PIMS:

• PIMS bied nuwe kontroleerder- en verwerkerspesifieke kontroles wat organisasies help om die uitdagings van privaatheid en sekuriteit te oorkom deur 'n punt van konvergensie te vestig tussen wat twee verskillende funksies kan wees.
• Sekuriteit is belangrik vir privaatheid. ISO 22701 PIMS maak staat op ISO 27001 vir sekuriteitsbestuur. IS0 27701-sertifisering is slegs beskikbaar as 'n byvoeging tot ISO 27001-sertifisering en kan nie as 'n selfstandige sertifikaat verkry word nie.

ISO 27701 voldoeningsuitdagings

Onder die riglyne van die GDPR word daar van organisasies verwag om alle persoonlik identifiseerbare inligting veilig te hou teen diefstal, verlies en skade.

Veranderinge aan die Britse wetgewing sedert Mei 2018 beteken nou dat organisasies 'n HR-data-handhanteringbeleid moet instel, met die vermoë om te wys dat nie-relevante persoonlike data gepas uitgevee word. ISO 27701 help organisasies om hierdie drie belangrike voldoeningsuitdagings aan te spreek:

Te veel regulatoriese vereistes om te jongleren

Die gebruik van ISO 27701 as 'n verenigde stelsel van operasionele beheer van dataprivaatheid verwyder die behoefte om op veelvuldige regulasies te fokus. As 'n internasionale standaard is ISO 27701 ontwerp om aan die vereistes van databeskerming en GDPR te voldoen, en om buigsaam genoeg te wees om by spesifieke industrievereistes aangepas te word. Dit stel maatskappye in staat om binne 'n enkele raamwerk te werk om aan veelvuldige regulatoriese vereistes te voldoen.

Te duur om regulasie-vir-regulasie te oudit

Interne en eksterne ouditeure gebruik ISO 27701 om regulatoriese voldoening in een enkele ouditsiklus te bepaal. Dit spaar die organisasie geld in vergelyking met die volg van 'n onsamehangende regulasie-vir-regulasie ouditproses.

Beloftes van voldoening sonder bewys is potensieel riskant

Dit is nie genoeg vir maatskappye om beste praktyk data privaatheid prosesse te volg nie; hulle moet ook voldoening aan wette en regulasies kan bewys. Dit beteken om 'n robuuste, geïntegreerde proses vir dokumentasie te hê. Besighede met komplekse prosesse kan verskeie tipes databeheerder en dataverwerker, wolkverskaffers en vennootverskaffers hê. Onvermoë om voldoening aan wette of regulasies in enige deel van die voorsieningsketting te bewys, kan die onderneming aan finansiële en reputasierisiko blootstel.

Voordele van ISO 27701

Demonstreer databeskerming op die volgende vlak met ISO 27701

Die ISO 27701-standaard is een van die maniere om te wys dat jy voldoen aan alle toepaslike vereistes vir databeskerming, vertroulikheid en privaatheidsekerheid.

Bou vertroue wanneer persoonlike inligting bestuur word

Wanneer dit kom by die hantering van persoonlike inligting, moet jy 'n manier hê om te verseker dat jou organisasie alles moontlik doen om te verseker dat inligting korrek en in ooreenstemming met die wet hanteer word. ISO 27701 gee jou die standaard wat nodig is om vertroue te bou wanneer jy data bestuur. Verskaffers, verbruikers en vennote kan vertroue hê in jou beleide, prosedures en protokolle wanneer jy volgens 'n internasionale standaard soos ISO 27701 werk.

Integreer met die toonaangewende inligtingsekuriteitstandaarde

ISO 27701 integreer met die toonaangewende inligtingsekuriteitstandaarde. Dit maak naatlose ontwikkeling en opdatering van beleide en prosedures oor verskillende standaarde moontlik, en die seker wete dat jy nie jou voldoening aan ander standaarde sal benadeel deur ISO 27701-standaarde aan te neem nie.

Ondersteun nakoming van ander privaatheidsregulasies

ISO 27701 is die 'industriestandaard' om aan nuwe databeskermingswetgewing te voldoen. Alhoewel ISO 27701 ooreenstem met die beginsels van GDPR, laat dit ook organisasies toe om voldoening aan ander privaatheidswette, regulasies, standaarde en vereistes te dokumenteer.

Buigsaam genoeg om jurisdiksiebesonderhede te akkommodeer

Die ISO 27701-standaard is ontwikkel om standaarde te verskaf vir die werk met persoonlik identifiseerbare inligting sodat jy aan verskillende privaatheidswette kan voldoen. As jou maatskappy buite die EU werksaam is en jy die ekwivalente gebiedspesifieke riglyne gelykstaande aan GDPR wil volg, kan jy daardie jurisdiksiebesonderhede in ISO 27701 inbring.

Bied deursigtigheid tussen belanghebbendes

ISO 27701 stel die standaard vir hoe privaatheidsdata bestuur word. Die standaard maak prosesse deursigtig vir alle belanghebbendes, wat vertroue en wedersydse respek wek.

Fasiliteer effektiewe besigheidsooreenkomste

Wanneer maatskappye daartoe verbind is om volgens dieselfde hoë privaatheiddatastandaarde daar te werk, is dit makliker om ooreenkomste te maak en saam te werk. ISO 27701 wek vertroue en verseker dat alle belanghebbendes op dieselfde bladsy is wanneer stelselintegrasie en gedeelde besigheidsprosesse oorweeg word.

ISO 27701 vs ISO 27001 – wat is die verskille?

ISO 27701 en ISO 27001 is twee standaarde wat dikwels uitruilbaar deur nie-inligtingsekuriteitskundiges gebruik word wanneer daar na inligtingsekuriteit verwys word.

Beide ISO 27001- en ISO 27701-standaarde is IT-sekuriteitbestuurstandaarde. Die verskil tussen die twee standaarde is dat ISO 27001 fokus op die gaping tussen risikobestuur en sekuriteitskontroles, terwyl ISO 27701 'n standaard is wat daarop gemik is om te voldoen aan privaatheidsregulasies en -wette soos GDPR en die Databeskermingswet. ISO 27701 is gefokus op privaatheidsdatarisiko's.

Hoe integreer ISO 27001 en ISO 27701 met mekaar?

ISO 27701 is 'n uitbreiding van ISO 27001. Dit is een van die risikobestuurstandaarde, maar dit verseker dat die besigheid aan GDPR en ander relevante PII-regulasies voldoen. Voordat jy voordeel kan trek uit ISO 27701 se sekuriteitsvoordele, moet jy eers ISO 27001 implementeer.

Hoe hou ISO 27701 verband met GDPR?

Organisasies moet die integriteit van alle sensitiewe data wat hulle verwerk onder die Algemene Databeskermingsregulasie (GDPR) en die Britse Databeskermingswet 2018 (DPA) beveilig en verseker. Nóg die GDPR nóg die DPA verskaf egter duidelikheid oor die aksies wat maatskappye moet neem om dataprivaatheid te verseker. Dit is waar ISO 27701 inkom. ISO 27701 verskaf die vereistes en riglyne vir 'n beste-praktykproses vir die bestuur van 'n privaatheidinligtingbestuurstelsel (PIMS) met effektiewe datasekuriteit en privaatheidvermoëns.

Hoe integreer ISO 27001 en GDPR met mekaar?

ISO 27001 is die internasionale beste praktykstandaard vir 'n inligtingsekuriteitbestuurstelsel (ISMS) wat deur baie lande regoor die wêreld aangeneem is. Meer as 35 lande het onderteken om GDPR te implementeer. ISO 27701 kan help met voldoening aan GDPR.

Begin met ISO 27701

As jy 'n besigheid besit wat persoonlike data verwerk, moet jy verstaan ​​hoe die nuwe ISO 27701-standaard op jou van toepassing is. Om die basiese beginsels van ISO 27701 te verstaan ​​kan 'n uitdaging wees. Dit is veral waar as jy gewoond is daaraan om volgens verskillende standaarde te werk.

Implementeer ISO 27701

Soos met die meeste amptelike standaarde, kan ISO 27701 'n bietjie moeilik wees om jou kop rond te kry. ISMS.online help jou deur 'n wolkgebaseerde oplossing te verskaf om voldoening aan die vereistes van ISO 27701 te dokumenteer.
Die implementering van ISO 27701 sal jou 'n soliede raamwerk gee vir nakoming van wette en regulasies, van die GDPR-regulasies tot HIPAA-vlakbeskerming.

Demonstreer goeie praktyk

Die implementering van ISO 27701 gaan oor die demonstrasie van 'goeie praktyk' vir persoonlike inligtingbestuur. ISO 27701 het 'n integrale deel van die databestuursraamwerk vir besighede in baie sektore geword. Hierdie belangrike standaard is 'n verskuiwing van die ISO 27001 inligtingsekuriteit tegniese en bate klem na 'n meer risiko-gebaseerde besigheidsfokus.

Beplan, doen, kontroleer, voer op

Plan, Do, Check, Act (PDCA) is 'n voortdurende verbeteringsiklus wat baie progressiewe maatskappye gebruik, en is 'n noodsaaklike element in die implementering van ISO 27701. Ander kan verskillende name vir die fases gebruik - maar die sleutelgedagte is dieselfde: Beplan wat gedoen moet word; doen die beste werk wat jy kan met die implementering en uitvoering van daardie taak; kontroleer die resultate teen jou plan; en wanneer die nodige planveranderings optree om prestasie te verbeter.

Vereistes van ISO 27701

Die vereistes om ISO/IEC 27701-voldoening te bereik, sluit in:

• Ontwerp, bou en implementeer 'n persoonlike inligtingstelsel vir jou organisasie.
• Volg die ISO 27701-riglyne wanneer jy die PIMS ontwerp en implementeer.
• Die PIM's moet streng stelsels en taktiese kontroles definieer vir die bestuur van persoonlik identifiseerbare inligting, insluitend hoe hierdie inligting verkry, gebruik, gedeel en uitgevee word.
• Definieer streng gebruikersrolle en sterk wagwoorde vir alle belanghebbendes wat privaatheidsdata verwerk en beheer.

ISO 27701-sertifisering vereis dat jy ISO 27001-sertifisering het. Jou persoonlike inligtingbestuurstelsel bou op jou inligtingsekuriteitbestuurstelsel (ISMS). Jy kan gesertifiseer word volgens ISO 27701 op dieselfde tyd as wat jy ISO 27001 doen. Om albei gelyktydig te doen is gewoonlik makliker, minder hulpbronintensief en goedkoper as om dit in serie te doen.

struktuur

ISO 27701 word in klousules verdeel, net soos ander ISO-standaarde, met klousules 5–8 wat die bykomende vereistes en opdaterings uiteensit wat by ISO 27001 gevoeg moet word:

• Klousule 5 skets die PIMS-vereistes vir ISO/IEC 27001-voldoening.
• Klousule 6 skets die PIMS-riglyne vir ISO/IEC 27002.
• Klousule 7 gee 'n uiteensetting van PIMS-leiding vir PII-beheerders.
• Klousule 8 van die PIMS verskaf leiding vir PII-verwerkers.

Die volgende aanhangsels is ook by die standaard ingesluit:

• PIMS-spesifieke verwysingsbeheerdoelwitte en -kontroles word in Bylae A genoem. (PII-beheerders)
• PIMS-spesifieke verwysingsbestuursdoelwitte en -kontroles word in Bylae B genoem. (PII-verwerkers)
• Kartering van aanhangsel C tot ISO/IEC 29100
• Kartering na die Algemene Databeskermingsregulasie (GDPR) in Bylae D (GDPR).
• Bylae E tot ISO/IEC 27018 en ISO/IEC 29151 Kartering
• Bylaag F Wat is die verwantskap tussen ISO/IEC 27701 en ISO/IEC 27001 en ISO/IEC 27002?

Dit is egter belangrik dat jy al die beleide, prosedures en kontroles in plek leer en dat dit konsekwent deur jou organisasie gevolg word.

ISO 27701 Implementering

Die implementering van ISO/IEC 27701 is 'n robuuste manier om 'n privaatheidinligtingbestuurstelsel binne enige maatskappy te begin. Baie maatskappye kies om ISO 27701 saam met ISO 27001 na te streef. Dit kan koste verminder en die algehele tyd en moeite wat daaraan verbonde is om beide standaarde te bereik.

Hier by ISMS.online verskaf ons wolkgebaseerde oplossings wat jou organisasie kan gebruik om voldoening aan ISO 27001 en dan ISO 27701 te dokumenteer. Ons haal die onsekerheid en raaiwerk uit die proses deur 'n raamwerk vir voldoening aan ISO-standaarde te verskaf.

Wie moet ISO 27701 implementeer?

ISO 27701 bied 'n internasionale standaard vir enige organisasie wat privaatheidsdata hanteer. Enige maatskappy wat persoonlik identifiseerbare inligting hou, ongeag grootte en tipe, kan baat vind by ISO 27701-implementering. ISO 27701 help om die finansiële en regulatoriese risiko's wat verband hou met privaatheidsdataskendings te versag. ISO 27701 is vir private, openbare maatskappye en selfs regeringsagentskappe wat 'n risiko-gebaseerde benadering tot die hou en verwerking van persoonlike inligting moet volg.

Watter rolle is betrokke by die implementering van ISO 27701?

Gegewe die omvang en skaal van die ISO 27701-standaard, is dit geen verrassing dat verskillende rolle by die implementering van die standaard betrokke is nie. Hierdie rolle sluit gewoonlik in:

• Die hoofimplementeerder/projekbestuurder
• Hoof privaatheidsbeampte / Databeskermingsbeampte
• Privaatheidsbestuurder/Databeskermingsbestuurder
• Interne Ouditeur
• Eksterne Ouditeur
• Privaatheidsontleder - vir die neem van funksionele vereistes en omskakeling na tegniese implementering
• Databasis en sagteware professionele persone

Voldoening vs sertifisering

ISO 27701-nakoming en -sertifisering kan verwarrend wees, aangesien dit op sigwaarde blykbaar dieselfde beteken.

ISO 27701-nakoming beteken dat jou organisasie die beheermaatreëls ingestel het wat nodig is om aan die vereistes van ISO 27701 te voldoen; 'n stel beste praktyke vir privaatheidsinligtingbestuur. Voldoening aan standaarde is belangrik.

'n ISO 27701-sertifikaat is die dokument wat bevestig dat 'n spesifieke organisasie deur die prosesse gegaan het en alles gedokumenteer het wat nodig is om aan ISO 27701 te voldoen.

Sertifisering beteken dat jy voldoening getoon het.

Is ISO 27701-sertifisering reg vir my?

As jou maatskappy met persoonlik identifiseerbare inligting handel, moet jy dalk na ISO 27701-sertifisering kyk. ISO 27701-sertifisering sal jou laat uitstaan ​​in vergelyking met maatskappye wat nie gesertifiseer is nie.

Daarbenewens, in die geval van 'n data-oortreding, het die inligtingskommissaris se kantoor (ICO) in die Verenigde Koninkryk verklaar dat organisasies wat sertifisering implementeer of 'n omvattende stelsel in plek het om hul datasekuriteit te hanteer, meer gunstig deur reguleerders gesien kan word.

ISO 27701-sertifiseringsproses

Die proses om ISO 27701 te implementeer is relatief maklik vir organisasies wat reeds ISO 27001-sertifisering het.

Die ISO 27701-sertifisering kan in drie stappe verkry word:

U moet eers 'n gekwalifiseerde sertifiseringsliggaam inskakel wat 'n oudit van u organisasie sal uitvoer.

Nadat u op 'n voorstel ooreengekom het, sal 'n assessor u organisasie 'n gedetailleerde oudit gee. Die assessor moet 'n verpligte besoek aflê tydens die aanvanklike sertifiseringsoudit. Hulle sal kyk of jy 'n heeltemal funksionele persoonlike inligtingbestuurstelsel ingestel het.

Sodra die assessor die oudit voltooi het, sal die sertifiseringsliggaam besluit of jou organisasie aan die kriteria voldoen het. As die uitkoms positief is, sal hulle vir jou 'n sertifikaat gee wat verklaar dat jou maatskappy aan die standaard se spesifikasies voldoen. Die sertifisering is geldig vir die volgende drie jaar, of totdat jou ISO 27001-sertifikaat verval, wat ook al eerste kom.

As jou maatskappy nog nie ISO 27001-sertifisering het nie, sal jy dit eers moet hê, of terselfdertyd ISO 27001- en ISO 27701-sertifisering moet verwerf.

Die handhawing van ISO 27701-sertifisering

Die handhawing van ISO 27701-sertifisering hoef nie 'n skrikwekkende vooruitsig te wees nie, solank die aanvanklike ISO 27701-implementering korrek voltooi is. Om jou ISO 27701 geldig te hou, moet jy egter periodieke toesigoudits in kombinasie met jou ISO 27001 oudit uitvoer, en dan 'n volledige herbeoordeling voor sertifisering hernuwing.

Die beste manier om ISO 27701-sertifisering te handhaaf, is om jou stelsels op so 'n manier te bestuur dat jy kan aanhou om deurlopende verbeterings te doen. Voortdurende verbetering is die deurlopende poging wat deur jou organisasie gedoen word om te verbeter hoe dit persoonlik identifiseerbare inligting hanteer, die identifisering van opkomende risiko's vir voldoening en die neem van sistemiese aksies om dit reg te stel.

Die eenvoudigste manier na ISO 27701

ISMS.online maak persoonlike inligtingbestuur maklik deur 'n wonderlike wolkgebaseerde oplossing om ISO 27701-voldoening in jou organisasie te ondersteun. Boonop het ons inligtingsekuriteitskundiges en hulpbronne beskikbaar om jou deur die ISO 27701-akkreditasieproses te lei.

Raamwerke vir ISO 27701

Dit kan moeilik wees om te weet waar om met ISO 27701 te begin, veral as jy nog nooit so iets moes doen nie. Dit is waar ISMS.online inkom. Ons ISO 27701-oplossings verskaf raamwerke wat jou organisasie toelaat om voldoening aan ISO 27701 te demonstreer. Ons inligtingsekuriteitskundiges kan saam met jou werk om te verseker dat jy 'n logiese implementeringsproses ontwikkel wat in lyn is met die aanlyn dokumentasieraamwerk .

Gereedskap vir voorsieningskettingbestuur

By ISMS.online kan ons voorsieningskettinginligtingsekuriteitbestuur in jou ISMS inkorporeer. Vinnige en praktiese prestasiemaatstawwe kan ook gebruik word om die vordering van jou verskaffers en ander derdeparty-vennootskappe te monitor. Gebruik ISMS.online Clusters om die hele voorsieningsketting op een plek bymekaar te kry vir duidelikheid, insig en beheer.

Hoogs doeltreffende projektoesig en samewerking

Ons ISMS.aanlyn-oplossings maak dit maklik vir organisasies om projektoesig te bereik, en verseker dat die databeheerder en verwerkerbeleide en -prosedures in lyn is met die ISO-standaard. Ons aanlyn stelsel verseker ook dat stelselimplementeerders 'n enkele plek het vir verwysing en samewerking. Ons versekerde resultate-metode (ARM) stel jou in staat om vol vertroue te wees dat jy al die blokkies afmerk wat jy nodig het om aan die standaard te voldoen.

Help en ondersteun om jou mense te betrek

ISO 27701 is nie net 'n raamwerk vir organisasies om aan te neem nie; dit beteken die aanpassing van die manier waarop mense data verstaan, koppelvlak en interaksie daarmee het. By ISMS.online het ons ons stelsel ontwerp sodat jy en jou personeel voordeel kan trek uit ons maklik-om-te gebruik koppelvlak om jou ISO-reis te dokumenteer. Ons verskaf ook videobronne en toegang tot inligtingsekuriteitspersoneel om jou te help om standaarde in jou maatskappy te integreer.