ГРУППА ДКС –
ведущий международный
сертификационный холдинг

Сертификация по ISO / IEC 27701 для соответствия GDPR регламенту по защите персональных данных. Управление конфиденциальной информацией

Традиционно, конфиденциальность данных была частью общей системы управления информационной безопасностью. Было известно, что Международные Стандарты информационной безопасности ориентированы в основном на безопасность данных, а не на конфиденциальность данных.
ИСО попыталась восполнить этот пробел, выпустив Принципы конфиденциальности данных (ИСО / МЭК 29100) в 2011 году. В 2014 году ИСО выпустила ИСО / МЭК 27018, чтобы предоставить руководящие указания по внедрению средств управления ИСО 27001 для защиты персональной информации (PII) в публичное облако.
ИСО / МЭК 27018 включает в себя принципы безопасности, определенные в ИСО / МЭК 29100. Это была первая попытка ИСО расширить область применения Информационной безопасности с равным акцентом на конфиденциальность.
С момента вступления в силу в мае 2018 года GDPR (Общего регламента защиты данных) внимание к конфиденциальности данных приобрело первостепенное значение. Любая организация, имеющая дело со странами-членами ЕС, должна соблюдать GDPR. Следуя инициативе ЕС, штат Калифорния ввел Калифорнийский закон о защите прав потребителей (CCPA), который вступил в силу с 1 января 2020 года. Ожидается, что в других штатах скоро будут введены аналогичные правила конфиденциальности.
Ни одно из этих правил не является сертифицируемым стандартом, хотя статья 42 GDPR требует от государств-членов ввести некоторую схему сертификации, чтобы показать соответствие GDPR. Статья 43 требует создания национального органа по аккредитации для управления этой программой сертификации. Это точно такая же структура управления программами сертификации как и ISO. Страны-члены ЕС должны были решить, устанавливать ли новую сертификационную схему или использовать схему сертификации ISO.
Для соответствия требованиям статей 42 и 43 требовался эквивалентный стандарт ISO в соответствии с GDPR. ISO быстро отреагировала быстрым выпуском ISO / IEC 27701 в августе 2019 года. Это первый в мире стандарт системы управления информацией о конфиденциальности (PIMS). ISO / IEC 27701 включает в себя принципы и требования ISO / IEC 29100, ISO / IEC 27018, ISO / IEC 29151 и GDPR.
Название ISO / IEC 27701 гласит «Расширение до ISO / IEC 27001 и ISO / IEC 27002 для управления информацией о конфиденциальности. Требования и руководящие принципы».  Это дает понять, что этот стандарт должен использоваться вместе с ISO / IEC 27001 и ISO IEC 27002. Любая организация, желающая зарегистрироваться, должна быть проверена на соответствие требованиям и применимым средствам контроля обоих стандартов.
ISO / IEC 27701 является уникальным в том смысле, что он обеспечивает как руководящие указания, так и требования.
В разделе 5 приведены конкретные требования PIMS, которые должны быть добавлены к требованиям пунктов 4-10 ISO / IEC 27001. Заметным дополнением является включение оценки риска в отношении конфиденциальности в объем общей оценки риска. Заявление о применимости (SOA) должно содержать применимые элементы управления из приложения A к ISO / IEC 27001 и приложения A и / или приложения B к ISO / IEC 27701.
В разделе 6 приведены конкретные рекомендации PIMS по внедрению контроля по Приложению A стандарта ISO / IEC 27001.
ISO / IEC 27701 предоставляет дополнительные элементы управления, связанные с конфиденциальностью, в двух отдельных приложениях:

  • Приложение A: Специальные контрольные цели PIMS и элементы управления для контроллеров PII – 31 элемент управления
  • Приложение B: конкретные контрольные цели PIMS и элементы управления для процессоров PII – 18 элементов управления

Контроллеры PII являются хранителями персональных данных. Они, в свою очередь, могут привлекать третьих лиц к процессу. Следовательно, контроллеры PII должны реализовывать гораздо больше элементов управления, чем сторонние поставщики услуг. Организация должна выбрать соответствующие элементы управления из этих двух приложений в зависимости от их роли. Неприменимые средства контроля могут быть исключены из SOA с достаточным обоснованием. Ожидается, что процесс аудита будет следовать тому же подходу, что и ISO / IEC 27001.
DQS является одним из первых сертификационных органов, представивших намерение аккредитоваться в соответствии с ISO / IEC 27701.

<< Все новости

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

Подготовим для Вас индивидуальное коммерческое предложение по Вашему запросу

Запрос коммерческого предложения

Подготовим индивидуальное коммерческое предложение по Вашему запросу

 

Группа компаний ДКС
ООО ССУ «ДЭКУЭС»
ООО «ДКС РУС»

Телефон: +7 4852 69 50 21
8-800-777-53-46 (Бесплатно по России)
Адрес: ул. Республиканская, д. 3, 150003, Ярославль, Российская Федерация