Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на информацията. Изисквания и указания.
Стандартът ISO/IEC 27701 установява специфични изисквания, насоки и мерки за изграждането на системи за управление на неприкосновеността на информацията като надгражда изискванията за изграждането системите за управление на информационната сигурност – стандарти ISO/IEC 27001 и ISO/IEC 27002, чрез внедряването на законовите изисквания и добрите практики свързани с неприкосновеността на информацията. Тоест, където ISO/IEC 27001 и ISO/IEC 27002 покриват въпроси свързани изрично с информационната сигурност, ISO/IEC 27701 разширява обхвата до въпроси свързани с информационната сигурност и неприкосновеността на информацията.
Приложимостта на стандарт ISO/IEC 27701 е международна като заимстваните изисквания за управление на неприкосновеността на информацията произтичат основно от Общия Регламент за Защита на Данните (GDPRGDPR), както и от насоките издадени от Европейския Комитет по Защита на Данните. Имайки предвид, че GDPRGDPR предлага най-детайлната рамка за управление на неприкосновеността на личните данни, стандарт ISO/IEC 27701 може да се използва и от организации подложени на други законови режими като Health Insurance Portability and Accountability Act (САЩ), Gramm Leach Bliley Act (САЩ), California Consumer Privacy Act (САЩ) и други.
Внедряването на ISO/IEC 27701 се осъществява по методиката за внедряване на ISO/IEC 27001, като първият изрично определя приложението на кои от мерките включени в Анекс „А“ на ISO/IEC 27001 трябва да бъдат изменени.
1. Съдържание
Стандартът ISO/IEC 27701 може да бъде основно разделен на три части:
- Специфични изисквания свързани с изграждането на система за управление на неприкосновеността на информацията (Privacy Information Management System или PIMS), които надграждат на изискванията вписани в ISO/IEC 27001;
- Специфични насоки свързани с прилагането на мерките за изграждане на система за управление на неприкосновеността на информацията (PIMS), които надграждат на насоките вписани в ISO/IEC 27002;
- Допълнителни насоки за дружества, действащи като администратор на лични данни (controller);
- Допълнителни насоки за дружества, действащи като обработващ на лични данни (processor).
- Специфични мерки свързани с изграждането на система за управление на неприкосновеността на информацията (PIMS).
2. Действия по внедряване
Внедряването на ISO/IEC 27701 се позовава на извършването на оценка на риска на организацията по методиката заложена в ISO/IEC 27001, като това изисква успешното извършване на редица стъпки и мерки, включително:
- Установяването на произхода, вида и целта на обработка на личните данни;
- Определянето на обхвата на системата за управление на неприкосновеността на информацията;
- Извършването на вътрешен одит за установяване нивото на съответствие с регулаторната рамка;
- Изграждането на система за непрекъснато подобрение на системата за управление на неприкосновеността на информацията в съответствие със приложимата законова рамка;
- Извършването на пълна инвентаризация на класовете лични данни;
- Изработването на процедури по определяне и документиране на условията за събиране и обработка на лични данни;
- Създаването на рамка за извършването на обучения на персонала;
- Внедряването на процеси за изпълнение на задълженията на организацията към субектите на данни;
- Определянето на процес за обработването на искания и оплаквания получени от субекти на данните, както и за провеждането на комуникация с регулаторните органи;
- Прилагането на мерки за осигуряване защита на личните данни на етапа на проектиране и по подразбиране;
- Изграждането на процеси за извършването на оценки на въздействието върху защитата на данните;
- Внедряването на процеси за отстраняване или смекчаване на риска върху защитата на данните;
- Одобрението и документирането на процеси за споделяне и разпространение на личните данни;
- Изготвянето на договори за определяне условията на споделяне на информация към организации, обработващи лични данни, както и към трети страни;
- Управлението на система за извършване на оценка на риска на партньори и контрагенти, които боравят с личните данни; и други.
3. Процес на сертифициране
Имайки предвид, че ISO/IEC 27701 не е отделен, самостоятелен стандарт, а само надгражда ISO/IEC 27001, процесът по сертифициране не е отделен от този за системите за управление на информационната сигурност. Например, ако дружеството е било сертифицирано по стандарта ISO/IEC 27001, чрез запитване към органа по сертификация, дружеството може да разшири обхвата на сертификационния одит, да включва мерките заложени в ISO/IEC 27701, като при успешно преминаване на одита, да получи съответния сертификат.