Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на информацията. Изисквания и указания.

Стандартът ISO/IEC 27701 установява специфични изисквания, насоки и мерки за изграждането на системи за управление на неприкосновеността на информацията като надгражда изискванията за изграждането системите за управление на информационната сигурност – стандарти ISO/IEC 27001 и ISO/IEC 27002, чрез внедряването на законовите изисквания и добрите практики свързани с неприкосновеността на информацията. Тоест, където ISO/IEC 27001 и ISO/IEC 27002 покриват въпроси свързани изрично с информационната сигурност, ISO/IEC 27701 разширява обхвата до въпроси свързани с информационната сигурност и неприкосновеността на информацията.

Приложимостта на стандарт ISO/IEC 27701 е международна като заимстваните изисквания за управление на неприкосновеността на информацията произтичат основно от Общия Регламент за Защита на Данните (GDPRGDPR), както и от насоките издадени от Европейския Комитет по Защита на Данните. Имайки предвид, че GDPRGDPR предлага най-детайлната рамка за управление на неприкосновеността на личните данни, стандарт ISO/IEC 27701 може да се използва и от организации подложени на други законови режими като Health Insurance Portability and Accountability Act (САЩ), Gramm Leach Bliley Act (САЩ), California Consumer Privacy Act (САЩ) и други.

Внедряването на ISO/IEC 27701 се осъществява по методиката за внедряване на ISO/IEC 27001, като първият изрично определя приложението на кои от мерките включени в Анекс „А“ на ISO/IEC 27001 трябва да бъдат изменени.

1. Съдържание

Стандартът ISO/IEC 27701 може да бъде основно разделен на три части:

  • Специфични изисквания свързани с изграждането на система за управление на неприкосновеността на информацията (Privacy Information Management System или PIMS), които надграждат на изискванията вписани в ISO/IEC 27001;
  • Специфични насоки свързани с прилагането на мерките за изграждане на система за управление на неприкосновеността на информацията (PIMS), които надграждат на насоките вписани в ISO/IEC 27002;
  • Допълнителни насоки за дружества, действащи като администратор на лични данни (controller);
  • Допълнителни насоки за дружества, действащи като обработващ на лични данни (processor).
  • Специфични мерки свързани с изграждането на система за управление на неприкосновеността на информацията (PIMS).

2. Действия по внедряване

Внедряването на ISO/IEC 27701 се позовава на извършването на оценка на риска на организацията по методиката заложена в ISO/IEC 27001, като това изисква успешното извършване на редица стъпки и мерки, включително:

  • Установяването на произхода, вида и целта на обработка на личните данни;
  • Определянето на обхвата на системата за управление на неприкосновеността на информацията;
  • Извършването на вътрешен одит за установяване нивото на съответствие с регулаторната рамка;
  • Изграждането на система за непрекъснато подобрение на системата за управление на неприкосновеността на информацията в съответствие със приложимата законова рамка;
  • Извършването на пълна инвентаризация на класовете лични данни;
  • Изработването на процедури по определяне и документиране на условията за събиране и обработка на лични данни;
  • Създаването на рамка за извършването на обучения на персонала;
  • Внедряването на процеси за изпълнение на задълженията на организацията към субектите на данни;
  • Определянето на процес за обработването на искания и оплаквания получени от субекти на данните, както и за провеждането на комуникация с регулаторните органи;
  • Прилагането на мерки за осигуряване защита на личните данни на етапа на проектиране и по подразбиране;
  • Изграждането на процеси за извършването на оценки на въздействието върху защитата на данните;
  • Внедряването на процеси за отстраняване или смекчаване на риска върху защитата на данните;
  • Одобрението и документирането на процеси за споделяне и разпространение на личните данни;
  • Изготвянето на договори за определяне условията на споделяне на информация към организации, обработващи лични данни, както и към трети страни;
  • Управлението на система за извършване на оценка на риска на партньори и контрагенти, които боравят с личните данни; и други.

3. Процес на сертифициране

Имайки предвид, че ISO/IEC 27701 не е отделен, самостоятелен стандарт, а само надгражда ISO/IEC 27001, процесът по сертифициране не е отделен от този за системите за управление на информационната сигурност. Например, ако дружеството е било сертифицирано по стандарта ISO/IEC 27001, чрез запитване към органа по сертификация, дружеството може да разшири обхвата на сертификационния одит, да включва мерките заложени в ISO/IEC 27701, като при успешно преминаване на одита, да получи съответния сертификат.

ЗАПИТВАНЕ ЗА ОФЕРТА