System Zarządzania Informacjami o Prywatności ISO 27701
ISO/IEC 27701:2019 Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 dotyczące zarządzania informacjami o prywatności — Wymagania i wytyczne
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines.
Podejście do ochrony prywatności w ISO 27001
W celu zapewnienia zachowania poufności, integralności i dostępności przetwarzanych informacji, organizacje decydują się na ustanowienie w swoich strukturach Systemu Zarządzania Bezpieczeństwem Informacji. Motywacją do takiego postępowania jest często potrzeba dostarczania stronom zainteresowanym zaufania, że ryzyka związane z bezpieczeństwem informacji są przez organizację odpowiednio zarządzane. Powszechnie stosowanym standardem, który zapewnia dostarczenie wymagań dotyczących wdrożenia, utrzymywania i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji jest międzynarodowa norma ISO/IEC 27001. Istotą stosowania normy jest zapewnienie, że System Zarządzania Bezpieczeństwem Informacji stanie się częścią procesów funkcjonujących w organizacji i będzie z nimi w odpowiedni sposób zintegrowany. Normatywny załącznik A do normy ISO 27001 w punkcie 18.1.4 „Prywatność i ochrona danych identyfikujących osobę”, jako jedno z zabezpieczeń wskazuje potrzebę zapewnienia prywatności i ochrony danych identyfikujących osobę stosownie do odpowiednich przepisów prawa i regulacji. Norma ISO/IEC 27001 wymaga zatem zrozumienia, przez organizacje utrzymujące i doskonalące System Zarzadzania Bezpieczeństwem Informacji”, kontekstu ochrony prywatności.
Zastosowanie ISO 27701
Norma ISO/IEC 27701 „Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności – Wymagania i wytyczne” opracowana na szczeblu międzynarodowym przy udziale organów, ekspertów i środowisk związanych z ochroną prywatności, co do zasady ma pomagać w dostarczeniu dowodów w jaki sposób organizacja utrzymująca System Zarządzania Bezpieczeństwem Informacji oparty o wymagania norm ISO/IEC 27001 i ISO/IEC 27002 radzi sobie z ochroną informacji kategorii określanych jako PII (dane identyfikujące osobę). Takie dowody mają wspomagać relacje ze stronami zainteresowanymi a także kontakty z partnerami biznesowymi, szczególnie w tych obszarach, w których przedmiotem stosunków biznesowych są działania związane przetwarzaniem danych identyfikujących osobę oraz uwzględnić, oprócz bezpieczeństwa informacji, ochronę prywatności podmiotów tych danych jako potencjalnie dotkniętych przetwarzaniem. Przyjęte rozwiązania systemowe w zakresie ochrony prywatności mają także wspierać wykazanie zgodności z przepisami powszechnie obowiązującego prawa. Należy przy tym zaakcentować, że ISO 27701 jest standardem o szerokim spektrum oddziaływania i może być stosowany przez podmioty o różnych rozmiarach i różnym profilu działalności realizowanym w różnych lokalizacjach geograficznych w celu ustanowienia ochrony danych osobowych i zgodności prywatności z wieloma przepisami prawa lub standardami takimi jak:
ROZPORZĄDZENIE RODO – Unijne rozporządzenie o ochronie danych osobowych.
ISO/IEC 29100 – Ramy prywatności
ISO/IEC 29151 – Praktyczne zasady ochrony informacji o identyfikowalnych osobach
ISO/IEC 29134 – Wytyczne dotyczące oceny skutków dla prywatności
ISO/IEC 27018 – Kodeks postępowania w zakresie ochrony informacji umożliwiających identyfikację osoby w chmurach publicznych działających jako podmioty przetwarzające PII
Norma ISO/IEC 27701 koncentruje się na tych wymaganiach, które są specyficzne dla systemu zarządzania informacjami o prywatności (PII) umożliwiając organizacjom dostosowanie lub zintegrowanie go z wymaganiami innych standardów. Norma przewiduje trzy grupy przypadków oddziaływania:
Stosowanie wymagań wynikających z norm 27001 oraz 27002 bez ich zmiany z uwzględnieniem jedynie znowelizowanej terminologii (w praktyce dodanie do pojęcia „bezpieczeństwo informacji” terminu „prywatność”).
Dodanie do obecnych w normach regulacji, wymagań dodatkowych dotyczących prywatności lub dodatkowych wskazówek dotyczących ich wdrożenia.
Zmianę funkcjonujących w w/wskazanych normach wymagań, w taki sposób, by uwzględniać wymagania dotyczące prywatności lub wytyczne dotyczące implementacji.
Zakres normy ISO 27701
W zakresie przedmiotowym norma określa wymagania a także zawiera wytyczne związane z ustanowieniem, wdrożeniem, utrzymywaniem i ciągłym doskonaleniem Systemu Zarządzania Informacjami o Prywatności (PIMS) w formie rozszerzenia ISO/IEC 27001 i ISO/IEC 27002. Norma to także rodzaj wytycznych dla administratorów i podmiotów przetwarzających w zakresie postępowania z PII. W zakresie podmiotowym norma znajduje zastosowanie do wszystkich typów organizacji, które przetwarzają PII jako administratorzy lub podmioty przetwarzające w ramach Systemu Zarządzania Bezpieczeństwem Informacji.
Odniesienia normatywne
Standard odnosi się i przywołuje treści uwzględnione w innych normach, które w takim zakresie stanowią wymagania normy ISO 27701, są to:
ISO/IEC 27000, Technologia informacyjna – Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji – Przegląd i słownictwo
ISO/IEC 27002, Technologia informacyjna – Techniki bezpieczeństwa – Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji
ISO/IEC 29100, Technologia informacyjna – Techniki bezpieczeństwa – Ramy prywatności
Struktura normy ISO 27701
Struktura dokumentu opiera się na głównych punktach normy (klauzulach) i załącznikach:
Klauzula 5 – Wymagania specyficzne dla PIMS związane z ISO/IEC 27001 – wskazuje wymagania charakterystyczne dla PISM w odniesieniu do ISO/IEC 27001, uzupełniając niektóre główne punkty tej normy tj. pkt 4. Kontekst organizacji oraz pkt 6. Planowanie, o regulacje dotyczące ochrony prywatności. Wymagania te wzbogacono m.in. o zapisy dotyczące ról administratora i podmiotu przetwarzającego (procesora) PII, stron zainteresowanych związanych z przetwarzaniem PII, czynników zewnętrznych i wewnętrznych istotnych z punktu widzenia PISM, oceny ryzyka związanego z utratą poufności dostępności i integralności w zakresie PIMS.
Klauzula 6 – Wytyczne dotyczące PIMS związane z NORMĄ ISO/IEC 27002 – wskazuje wymagania dotyczące PISM w kontekście wdrażania zabezpieczeń uzewnętrznionych w normie ISO/IEC 27002. Zgodnie z normą, wszystkie cele zabezpieczeń należy rozpatrywać zarówno w kontekście zagrożeń dla bezpieczeństwa informacji, jak i zagrożeń dla prywatności związanych z przetwarzaniem PII. Od modyfikacji treści normy odstąpiono jedynie w przypadku punktu 17 dotyczącego aspektów bezpieczeństwa informacji w zarządzaniu ciągłością działania.
Klauzula 7 to zestaw dodatkowych wytycznych w kontekście ISO/IEC 27002 w odniesieniu do administratorów PII. Klauzula podnosi kwestie związane gromadzeniem i przetwarzaniem PII, w tym zgodności przetwarzania z prawem, oceną wpływu na prywatność, umów z podmiotami przetwarzającymi, współadministrowania, kwestie dotyczące obowiązków, wobec osób których dotyczą PII, oceny prywatności w fazie projektowania oraz domyślnej jej ochrony a także kwestie udostępniania, przekazywania i ujawniania informacji o danych osobowych.
Klauzula 8 to zestaw dodatkowych wytycznych w kontekście ISO/IEC 27002 w odniesieniu do podmiotów przetwarzających PII. Klauzula, podobnie jak w klauzuli 7, podnosi kwestie związane gromadzeniem i przetwarzaniem PII, w tym kwestie dotyczące. umów powierzenia przetwarzania, obowiązków wobec osób, których dotyczą PII, udostępniania, przekazywania i ujawniania informacji o danych osobowych a także kwestie związane z podpowierzeniem przetwarzania danych.
Uzupełnienie wymagań normy wyartykułowanych w wyżej wskazanych klauzulach stanowi sześć załączników do normy. Są to:
Załączniki A i B – które wymieniają cele i wskazują mechanizmy zabezpieczeń charakterystyczne dla PISM. Załączniki są dedykowane organizacjom działającym odpowiednio jako administratorzy lub profesorzy rozszerzając treści wskazane w Klauzuli 7 i 8.
Załącznik C – dokonuje mapowania regulacji zawartych w normie do wymagań ISO/IEC 29100 Technologia informacyjna – Techniki bezpieczeństwa – Ramy prywatności.
Załącznik D – dokonuje mapowania regulacji zawartych w normie do ogólnego rozporządzenia o ochronie danych osobowych (RODO).
Załącznik E – dokonuje mapowania regulacji zawartych w normie do normy ISO/IEC 27018 Kodeks postępowania w zakresie ochrony informacji umożliwiających identyfikację osoby w chmurach publicznych działających jako podmioty przetwarzające PII oraz do normy ISO/IEC 29151 Praktyczne zasady ochrony informacji o identyfikowalnych osobach.
Załącznik F – wskazuje, w jaki sposób normy ISO IEC 27001 i ISO/IEC 27002 są rozszerzone na ochronę prywatności podczas przetwarzania PII.
Stosowanie normy ISO 27701 a zapewnienie zgodności z RODO.
Korelacja normy z regulacjami wynikającymi z ROZPORZĄDZENIA RODO znajduje swój wyraz w załączniku D normy, który zestawia zawarte w niej regulacje z przepisami Unijnego Rozporządzenia o ochronie danych osobowych (art. 5–49, z wyjątkiem art. 43), co w zamiarze autorów normy, ma zobrazować jak zapewnienie zgodności z ISO 27701 przybliża organizacje do wypełnienia obowiązków RODO. Takie zestawienie, wykazujące wiele zbieżności i punktów styku, ma charakter czysto orientacyjny i nie zwalnia organizacji od dokonania oceny swoich obowiązków prawnych w celu podjęcia decyzji co do sposobu wywiązania się z nich. Spełnienie wymagań normy nie może być także postrzegane jako bezpośredni instrument certyfikacji RODO. Zestawiając ze sobą wymagania obydwu dokumentów można jednak z całą pewnością założyć, że organizacja, która uzyska certyfikat na zgodność z wymaganiami normy ISO 27701 zdobędzie solidne podwaliny pod proces certyfikacji na zgodność z przepisami RODO i będzie dobrze przygotowana by pretendować do uzyskania takiego certyfikatu.
Zapraszamy do zapoznania z naszą ofertą dotyczącą Systemu Zarządzania Informacjami o Prywatności zgodnego z ISO 27701: INFORMACJE O OFERCIE
