В серии ISO 27001 стандарт ISO 27701 предназначен для систем управления персональной конфиденциальной информацией (PIMS). Стандарт добавляет в ISO 27001 дополнительные средства управления обработкой конфиденциальности, чтобы создать основу для защиты данных и конфиденциальности.
Примечательно, что система управления информационной безопасностью (СМИБ) помогает организации сохранять конфиденциальность, точность и доступность информации для тех, кто имеет к ней доступ. Информационная безопасность обеспечивает необходимую основу для PIMS, которая позволяет организации защищать конфиденциальность личной информации и предотвращать несанкционированное использование или раскрытие такой информации в соответствии с нормативными, законодательными и договорными требованиями.
Сертификация по ISO 27701 обеспечивает международно-признанный знак уверенности для организации в том, что они предприняли все шаги для соответствия требованиям конфиденциальности защиты данных в дополнение к достижению информационной безопасности в масштабах всей организации.
Зачем рассматривать сертификацию ISO 27701? Наличие сертификатов ISO 27001 и 27701 демонстрирует Вашим клиентам, что вы предприняли шаги для обеспечения информационной безопасности и конфиденциальности данных. Эти сертификаты откроют возможности для деловых партнеров и продемонстрируют ваши возможности в области защиты конфиденциальности для всех заинтересованных сторон.
Проведение сертификации дает много преимуществ:
- Подтвержденная безопасность и конфиденциальность: соответствие стандарту ISO 27701 требует, прежде всего, соответствия стандарту ISO 27001. Вместе эти сертификаты демонстрируют строгий подход к информационной безопасности и конфиденциальности данных.
- Мировое признание: это международная общепризнная сертификация.
- Аудит третьей стороной: Сертификация соответствия сторонним аудитором является заслуживающим доверия подтверждением.
Общие правила защиты данных (GDPR) — это положения законодательства ЕС о защите данных и конфиденциальности в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). Он также касается передачи персональных данных за пределы ЕС и ЕЭЗ. GDPR сейчас не имеет аккредитованного процесса сертификации
Для целей сертификации разработан стандарт ISO 27701. Термины, используемые в стандарте ISO 27701, определены в ISO 29100.В таблицах ниже показаны важные различия, касающиеся двух стандартов, обсуждаемых в этой статье.
PII субъект: физическое лицо, к которому относится личная информация PII. (Пункт 2.11) Информация, позволяющая установить личность (PII): информация, которая может использоваться для идентификации субъекта PII или прямо или косвенно связана с ним. (Пункт 2.9)
Обработчик PII: заинтересованное лицо, занимающееся вопросами конфиденциальности, которое обрабатывает PII от имени и в соответствии с инструкциями оператора PII. (Пункт 2.12)
Оператор PII: заинтересованное лицо (и), определяющее цели и средства обработки PII, кроме физических лиц, которые используют данные в личных целях. (Пункт 2.10)
Терминология ISO 27701 | Терминология GDPR |
Субъект PII | Субъект данных |
PII | Персональные данные |
Обработчик PII | Обработчик данных |
Оператор PII | Контроллер, оператор данных |
ISO 27001 | ISO 27701 Дополнения |
Пункты | Требования конфиденциальности добавлены в пункты ISO 27001 |
Элементы управления приложения А | Модификация элементов управления приложения А ISO 27001. Кроме того, для конфиденциальности созданы дополнительные элементы управления. |
Руководство в ISO 27002 | В руководство ISO 27002 добавлена информация, касающаяся контроллеров данных и процессоров данных |
Ответственность контролера, оператора | Ответственность обработчика |
Создание уведомлений о конфиденциальности | Ограничения обработки |
Внедрить механизмы, позволяющие субъектам PII осуществлять свои права на неприкосновенность частной жизни | Содействовать с правами личности |
Создание требований к контракту с обработчиком | Передача и раскрытие информации |
Конфиденциальность по дизайну и по умолчанию | Субподрядчики |