System Zarządzania Informacjami o Prywatności ISO 27701

 

System Zarządzania Informacjami o Prywatności ISO 27701

ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.

Podejście do ochrony prywatności w ISO 27001

W celu zapewnienia zachowania poufności, integralności i dostępności przetwarzanych informacji, organizacje decydują się na ustanowienie w swoich strukturach Systemu Zarządzania Bezpieczeństwem Informacji. Motywacją do takiego postępowania jest często potrzeba dostarczania stronom zainteresowanym zaufania, że ryzyka związane z bezpieczeństwem informacji są przez organizację odpowiednio zarządzane. Powszechnie stosowanym standardem, który zapewnia dostarczenie wymagań dotyczących wdrożenia, utrzymywania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji jest międzynarodowa norma ISO/IEC 27001. Istotą stosowania normy jest zapewnienie, że System Zarządzania Bezpieczeństwem Informacji stanie się częścią procesów funkcjonujących w organizacji i będzie z nimi w odpowiedni sposób zintegrowany. Normatywny załącznik A do normy ISO 27001 w punkcie 18.1.4 „Prywatność i ochrona danych identyfikujących osobę”, jako jedno z zabezpieczeń wskazuje potrzebę zapewnienia prywatności i ochrony danych identyfikujących osobę stosownie do odpowiednich przepisów prawa i regulacji. Norma ISO/IEC 27001 wymaga zatem zrozumienia, przez organizacje utrzymujące i doskonalące System Zarzadzania Bezpieczeństwem Informacji”, kontekstu ochrony prywatności.

 

Zastosowanie ISO 27701

Norma ISO/IEC 27701 „Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności – Wymagania i wytyczne” opracowana na szczeblu międzynarodowym przy udziale organów, ekspertów i środowisk związanych z ochroną prywatności, co do zasady ma pomagać w dostarczeniu dowodów w jaki sposób organizacja utrzymująca System Zarządzania Bezpieczeństwem Informacji oparty o wymagania norm ISO/IEC 27001 i ISO/IEC 27002 radzi sobie z ochroną informacji kategorii określanych jako PII (dane identyfikujące osobę). Takie dowody mają wspomagać relacje ze stronami zainteresowanymi a także kontakty z partnerami biznesowymi, szczególnie w tych obszarach, w których przedmiotem stosunków biznesowych są działania związane przetwarzaniem danych identyfikujących osobę oraz uwzględnić, oprócz bezpieczeństwa informacji, ochronę prywatności podmiotów tych danych jako potencjalnie dotkniętych przetwarzaniem. Przyjęte rozwiązania systemowe w zakresie ochrony prywatności mają także wspierać wykazanie zgodności z przepisami powszechnie obowiązującego prawa. Należy przy tym zaakcentować, że ISO 27701 jest standardem o szerokim spektrum oddziaływania i może być stosowany przez podmioty o różnych rozmiarach i różnym profilu działalności realizowanym w różnych lokalizacjach geograficznych w celu ustanowienia ochrony danych osobowych i zgodności prywatności z wieloma przepisami prawa lub standardami takimi jak:

  • ROZPORZĄDZENIE RODO – Unijne rozporządzenie o ochronie danych osobowych.

  • ISO/IEC 29100 – Ramy prywatności

  • ISO/IEC 29151 – Praktyczne zasady ochrony informacji o identyfikowalnych osobach

  • ISO/IEC 29134 – Wytyczne dotyczące oceny skutków dla prywatności

  • ISO/IEC 27018 – Kodeks postępowania w zakresie ochrony informacji umożliwiających identyfikację osoby w chmurach publicznych działających jako podmioty przetwarzające PII

Norma ISO/IEC 27701 koncentruje się na tych wymaganiach, które są specyficzne dla systemu zarządzania informacjami o prywatności (PII) umożliwiając organizacjom dostosowanie lub zintegrowanie go z wymaganiami innych standardów. Norma przewiduje trzy grupy przypadków oddziaływania:

  1. Stosowanie wymagań wynikających z norm 27001 oraz 27002 bez ich zmiany z uwzględnieniem jedynie znowelizowanej terminologii (w praktyce dodanie do pojęcia „bezpieczeństwo informacji” terminu „prywatność”).

  2. Dodanie do obecnych w normach regulacji, wymagań dodatkowych dotyczących prywatności lub dodatkowych wskazówek dotyczących ich wdrożenia.

  3. Zmianę funkcjonujących w w/wskazanych normach wymagań, w taki sposób, by uwzględniać wymagania dotyczące prywatności lub wytyczne dotyczące implementacji.

Zakres normy ISO 27701

W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających w zakresie postępowania z PII. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają PII jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.

 

Odniesienia normatywne

Standard odnosi się i przywołuje treści uwzględnione w innych normach, które w takim zakresie stanowią wymagania normy ISO 27701, są to:

Struktura normy ISO 27701

Struktura dokumentu opiera się na głównych punktach normy (klauzulach) i załącznikach:

  • Klauzula 5 – Wymagania specyficzne dla PIMS związane z ISO/IEC 27001 – wskazuje wymagania charakterystyczne dla PISM w odniesieniu do ISO/IEC 27001, uzupełniając niektóre główne punkty tej normy tj. pkt 4. Kontekst organizacji oraz pkt 6. Planowanie, o regulacje dotyczące ochrony prywatności. Wymagania te wzbogacono m.in. o zapisy dotyczące ról administratora i podmiotu przetwarzającego (procesora) PII, stron zainteresowanych związanych z przetwarzaniem PII, czynników zewnętrznych i wewnętrznych istotnych z punktu widzenia PISM, oceny ryzyka związanego z utratą poufności dostępności i integralności w zakresie PIMS.

  • Klauzula 6 – Wytyczne dotyczące PIMS związane z NORMĄ ISO/IEC 27002 – wskazuje wymagania dotyczące PISM w kontekście wdrażania zabezpieczeń uzewnętrznionych w normie ISO/IEC 27002. Zgodnie z normą, wszystkie cele zabezpieczeń należy rozpatrywać zarówno w kontekście zagrożeń dla bezpieczeństwa informacji, jak i zagrożeń dla prywatności związanych z przetwarzaniem PII. Od modyfikacji treści normy odstąpiono jedynie w przypadku punktu 17 dotyczącego aspektów bezpieczeństwa informacji w zarządzaniu ciągłością działania.

  • Klauzula 7 to zestaw dodatkowych wytycznych w kontekście ISO/IEC 27002 w odniesieniu do administratorów PII. Klauzula podnosi kwestie związane gromadzeniem i przetwarzaniem PII, w tym zgodności przetwarzania z prawem, oceną wpływu na prywatność, umów z podmiotami przetwarzającymi, współadministrowania, kwestie dotyczące obowiązków, wobec osób których dotyczą PII, oceny prywatności w fazie projektowania oraz domyślnej jej ochrony a także kwestie udostępniania, przekazywania i ujawniania informacji o danych osobowych.

  • Klauzula 8 to zestaw dodatkowych wytycznych w kontekście ISO/IEC 27002 w odniesieniu do podmiotów przetwarzających PII. Klauzula, podobnie jak w klauzuli 7, podnosi kwestie związane gromadzeniem i przetwarzaniem PII, w tym kwestie dotyczące. umów powierzenia przetwarzania, obowiązków wobec osób, których dotyczą PII, udostępniania, przekazywania i ujawniania informacji o danych osobowych a także kwestie związane z podpowierzeniem przetwarzania danych.

Uzupełnienie wymagań normy wyartykułowanych w wyżej wskazanych klauzulach stanowi sześć załączników do normy. Są to:

  • Załączniki A i B – które wymieniają cele i wskazują mechanizmy zabezpieczeń charakterystyczne dla PISM. Załączniki są dedykowane organizacjom działającym odpowiednio jako administratorzy lub profesorzy rozszerzając treści wskazane w Klauzuli 7 i 8.

  • Załącznik C – dokonuje mapowania regulacji zawartych w normie do wymagań ISO/IEC 29100 Technologia informacyjna – Techniki bezpieczeństwa – Ramy prywatności.

  • Załącznik D – dokonuje mapowania regulacji zawartych w normie do ogólnego rozporządzenia o ochronie danych osobowych (RODO).

  • Załącznik E – dokonuje mapowania regulacji zawartych w normie do normy ISO/IEC 27018 Kodeks postępowania w zakresie ochrony informacji umożliwiających identyfikację osoby w chmurach publicznych działających jako podmioty przetwarzające PII oraz do normy ISO/IEC 29151 Praktyczne zasady ochrony informacji o identyfikowalnych osobach.

  • Załącznik F – wskazuje, w jaki sposób normy ISO IEC 27001 i ISO/IEC 27002 są rozszerzone na ochronę prywatności podczas przetwarzania PII.

Stosowanie normy ISO 27701 a zapewnienie zgodności z RODO.

Korelacja normy z regulacjami wynikającymi z ROZPORZĄDZENIA RODO znajduje swój wyraz w załączniku D normy, który zestawia zawarte w niej regulacje z przepisami Unijnego Rozporządzenia o ochronie danych osobowych (art. 5–49, z wyjątkiem art. 43), co w zamiarze autorów normy, ma zobrazować jak zapewnienie zgodności z ISO 27701 przybliża organizacje do wypełnienia obowiązków RODO. Takie zestawienie, wykazujące wiele zbieżności i punktów styku, ma charakter czysto orientacyjny i nie zwalnia organizacji od dokonania oceny swoich obowiązków prawnych w celu podjęcia decyzji co do sposobu wywiązania się z nich. Spełnienie wymagań normy nie może być także postrzegane jako bezpośredni instrument certyfikacji RODO. Zestawiając ze sobą wymagania obydwu dokumentów można jednak z całą pewnością założyć, że organizacja, która uzyska certyfikat na zgodność z wymaganiami normy ISO 27701 zdobędzie solidne podwaliny pod proces certyfikacji na zgodność z przepisami RODO i będzie dobrze przygotowana by pretendować do uzyskania takiego certyfikatu.

 

Zapraszamy do zapoznania z naszą ofertą dotyczącą Systemu Zarządzania Informacjami o Prywatności zgodnego z ISO 27701: INFORMACJE O OFERCIE

 
 

Centrum Doradczo Szkoleniowe MALON GROUP


Back to Top