ISO/IEC 27701:2019 Sistem menadžmenta informacijama o privatnosti (PIMS)

ISO/IEC 27701:2019 Sistem menadžmenta informacijama o privatnosti (PIMS)

ISO/IEC 27701:2019
Sistem menadžmenta informacijama o privatnosti (PIMS)

Sistem menadžmenta informacijama o privatnosti (PIMS) ISO/IEC 27701:2019 ima cilj da organizaciji olakšava kontrolu i upravljanje ličnim podacima i internetskim identitetom ljudi,  omogućavajući im da dozvole, negiraju ili povuku pristanak trećim stranama ukoliko su im svoje podatke ostavili klijneti.

Implementacija ISO / IEC 27001:2019

Prilikom implementacije standarda vodi se briga o uskladjenosti sa domicijalnim zakonskim reguliativama o zaštiti podataka i GDPR direktivi.

Implementacija standard se u osnovi sastoji od:

Standard se sastoji od:

  1. Specifični zahtevi PIMS-a koji se odnose na ISO/IEC 27001;
  2. Specifične PIMS smernice koje se odnose na ISO/IEC 27002;
  3. Dodatne ISO/IEC 27002 smernice za rukovaoce;
  4. Dodatne ISO/IEC 27002 smernice za obrađivače;

i šest aneksa, od kojih su dva normativna, a četiri informativna i to:

Aneks A (normativan) PIMS – specifični referentni ciljevi kontrola i kontrole (rukovaoci);
Aneks B (normativan) PIMS – specifični referentni ciljevi kontrola i kontrole (obrađivači);
Aneks C (informativan) Mapiranje prema ISO/IEC 29100;
Aneks D (informativan) Mapiranje prema GDPR – Opšta uredba o zaštiti podataka o ličnosti;
Aneks E (informativan) Mapiranje prema ISO/IEC 27018 i ISO/IEC 29151;
Aneks F (informativan) Kako primeniti ISO/IEC 27701 na ISO/IEC 27001 i ISO/IEC 27002;

Sertifikacija ISO/IEC 27701:2019

ISO/IEC 27701 namenjen je za sertifikaciju kao proširenje na ISO/IEC 27001 sertifikat. Drugim rečima, organizacije koja žele sertifikat ISO/IEC 27701 prethodno moraju biti sertifikovane standardom za bezbednost informacija ISO/IEC 27001.

Sertifikat ISO/IEC 27701 predstavlja jedan od dokaza usklađenosti sa GDPR i Zakonom o zaštiti podataka o ličnosti.

Organizacije sertifikovane na osnovu ISO / IEC 27701 lakše će dokazati usaglašenosti s GDPR-om, čime će posredno pridoneti budućnosti u kojoj je privatnost prepoznata kao ljudsko pravo u digitalnom carstvu.

Organizacije koje žele dobiti ISO 27701 certifikat u skladu s GDPR-om morat će ili imati postojeći ISO 27001 certifikat ili će zajedno primjenjivati ​​ISO 27001 i ISO 27701 kao jednu aplikacijsku reviziju.

Standard ISO 27001 pruža okvir za sisteme upravljanja informaciskom bezbednošću (ISMS) koji osiguravaju kontinuitet poštovanja zakona kao i poverljivost, integritet i dostupnost informacija. Više od 60.000 organizacija širom svieta do danas je sertifikovalo ISO 27001 i dokazalo se da sertifikat predstavlja važan deo zaštite vaših najvažnijih dobara.

Sertifikacija implementiranog standarda ISO/IEC 27701:2019 – Sistem menadžmenta informacijama o privatnosti (PIMS),  odličan je način da se klijentima pokaže kako postoje efikasni sistemi koji podržavaju poštovanje GDPR-a i drugih relevantnih zakona o privatnosti.

Opšta uredba o zaštiti podataka EU GDPR  i Britanski DPA (Zakon o zaštiti podataka) od 2018. zahtevaju od organizacije poreduzmu sve mere kako bi osigurale poverljivost ličnih podataka koje obrađuju i čuvaju. Međutim, oba propisa ne daju mnogo uputa kako bi te mere trebale izgledati.

Tako su ISO (Međunarodna organizacija za standardizaciju) i IEC (Međunarodna elektrotehnička komisija) razvili ovaj novi standard kako bi pružili sve neophodne smernice.

Ovaj standard određuje zahteve u okviru GDPR-a i daje smernice za uspostavljanje, sprovodjenje, održavanje i kontinuirano poboljšavanje sistema upravljanja informacijama o privatnosti (PIMS) za širenje upravljanja privatnošću u ISO / IEC 27001 i ISO / IEC 27002. S druge strane, određuje zahteve koji se odnose na PIMS i vodi PII kontrolere koji snose odgovornost i odgovornost stručnjaka za PII. Primjenjuje se i na organizacije svih vrsta i veličina, uključujući PII kontrolere i / ili PII procesore koji obrađuju PII unutar ISMS-a, uključujući javna i privatna preduzeća, vladine agencije i neprofitne organizacije.


Šta je ISO / IEC 27701 i njegova namena !?

ISO / IEC 27701 Sistem menadžmenta informacijama o privatnosti (PIMS) standard objavljen je  2019. godine i prvi je međunarodni standard koji se bavi menadžmentom informacijama o privatnosti.  Razvijan kao ISO/IEC 27552 da bi u uvedenim izmenama i dopunama promenio ime u ISO/IEC 27701.

Standard će pomoći organizacijama da uspostave, održavaju i kontinuirano poboljšavaju sistem menadžmenta informacijama o privatnosti (PIMS) poboljšavanjem postojećeg ISMS-a, zasnovanog na zahtevima ISO / IEC 27001 i smernicama ISO / IEC 27002.

Prednosti ISO/IEC 27701  za organizaciju ?

Sve veća zloupotreba i rast broja zahteva za ustupanje ili prodaju prikupljenih ličnih podataka,a potom i povećanje obrade podataka doveli su do zabrinutosti za privatnost. Primećuje se sve učestalija zloupotreba ličnih podataka u svrhe marketinga, ali i druge kriminalne radnje. Stoga će primena sistema menadžmenta informacijama o privatnosti (PIMS) u skladu sa zahtevima i smernicama ISO / IEC 27701  omogućiti organizacijama da procene, tretiraju i smanje rizike povezane sa prikupljanjem, održavanjem i obradom ličnih podataka.

Ovaj standard je bitan za svaku organizaciju, koja je odgovorna za lične identifikacione informacije (PII), jer pruža zahteve
za upravljanje i obradu podataka i zaštitu privatnosti. Obogaćuje već implementirani ISMS za pravilno rešavanje problema privatnosti pomažući organizacijama da razumeju praktične pristupe koji su uključeni u implementaciju efikasnog upravljanja ličnim identifikacionim informacijama PII.


Benefiti ISO/IEC 27701:2019

ISO/IEC 27701:2019 Sistem menadžmenta informacijama o privatnosti (PIMS) donosi

  • Bolje razumevanje sistema za menadžment informacijama o privatnosti i zakonskih regulativa u toj oblasti.
  • Stičete potrebne veštine za podršku organizaciji u sprovođenju sistema menadžmenta informacijama o privatnosti u skladu sa ISO / IEC 27701 i GDPR direktivi
  • Kontinuirano unapređenje sistema menadžmenta informacijama o privatnosti unutar organizacije i veći stepen pravne zaštite
  • Zaštitita reputacije organizacije
  • Viši stepen poverenja kupaca
  • Povećaćete zadovoljstvo kupaca
  • Povećavate transparentnost procesa i postupaka organizacije
  • Održavate integritet informacija kupaca i drugih zainteresovanih strana

U odnosu na standard ISO/IEC 27001 standard sadrži dodatne zahteve za razumevanje konteksta organizacije i planiranje i dodatne smernice za implementaciju kontrola.

ISO/IEC 27701 daje okvir za upravljanje kontrolama privatnosti ličnih podataka za rukovaoce i obrađivače kako bi se smanjio rizik za kompromitovanje ličnih podataka, pomaže im da se kreću jednako brzo, ali da sui m privatnost i podaci o klijentima jedan od glavnih prioriteta.


Struktura ISO/IEC 27701

ISO / IEC 27701 je proširenje ISO / IEC 27001 i ISO / IEC 27002. Prošire zahteve ISO / IEC 27001: 2013 i ISO / IEC 27002: 2013 pružajući dodatne zahteve specifične za PIMS. Budući da je njegov glavni cilj poboljšanje postojećeg ISMS-a, termin “informaciona bezbednost” je zamenjen izrazom “informaciona bezbednost i privatnost”.

Zahtev 5 PIMS- posebni zahtevi u vezi sa ISO / IEC 27001

5.1 Opšte

Zahtevi ISO / IEC 27001: 2013 koji pominju „bezbednost informacija“ proširuju se i na zaštitu privatnosti kao potencijalni uticaj obrade ličnih podataka PII.

5.2 Kontekst organizacije
5.3 Liderstvo
5.4 Planiranje
5.5 Podrška
5.6 Rad
5.7 Procena performansi
5.8 Poboljšanje

Zahtev 6 PIMS- Specifične smernice koje se odnose na ISO / IEC 27002

6.1 Opšte

Smernice u ISO / IEC 27002: 2013 koje pominju „bezbednost informacija“ proširuju se i na zaštitu privatnosti kao potencijalni uticaj obrade ličnih identifikacionih informacija PII.

6.2 Politike bezbednosti informacija
6.3 Organizacija bezbednosti informacija
6.4 Bezbednost ljudskih resursa
6.5 Upravljanje imovinom
6.6 Kontrola pristupa
6.7 Kriptografija
6.8 Fizička bezbednost i bezbednost okoline
6.9 Bezbednost operacija
6.10 Bezbednost komunikacija
6.11 Nabavka, razvoj i održavanje sistema
6.12 Odnosi sa dobavljačima
6.13 Upravljanje bezbednosnim incidentima
6.14 Aspekti informatičke bezbednosti upravljanja kontinuitetom poslovanja
6.15 Usaglašenost


Zahtev 7 Dodatne ISO / IEC 27002 smernice za rukovaoce ličnim identifikacionim informacijama PII

7.1 Opšte

Uputstva sadržana u zahtevu 6 plus dodaci u ovom zahtevu stvaraju PIMS – posebne smernice za rukovaoce ličnim identifikacionim informacijama PII. Smernice za sprovođenje dokumentovane u ovom zahtevu odnose se na kontrole navedene u Aneksu A.

7.2 Uslovi za prikupljanje i obradu
7.3 Obaveze prema vlasnicima ličnih identifikacionih informacija PII
7.4 Privatnost prema dizajnu i podrazumevana privatnost
7.5 Lične identifikacione informacije PII – deljenje, prenos i otkrivanje

Zahtev 8 Dodatne ISO / IEC 27002 smernice za obrađivače ličnih identifikacionih informacija PII

8.1 Opšte

Smernice sadržane u ISO / IEC 27002: 2013 plus dodaci ovoj klauzuli stvaraju PIMS-specifične smernice za obrađivače ličnih identifikacionih informacija PII. Smernice za implementaciju dokumentirane u zahtevu 8 odnose se na kontrole navedene u Aneksu B.

8.2 Uslovi za prikupljanje i obradu
8.3 Obaveze prema vlasnicima ličnih identifikacionih informacija PII
8.4 Privatnost prema dizajnu i podrazumevana privatnost
8.5 lične identifikacione informacije PII – deljenje, prenos i otkrivanje

ISO / IEC 29100 pruža okvir privatnosti primenljiv na bilo koji sistem ili uslugu koja zahteva PII obradu. Opšti principi privatnosti ovog standarda povezani su sa kontrolama ličnih identifikacionih informacija PII rukovaoca I obrađivača, a ovo mapiranje je ilustrovano u Aneksu D standarda ISO / IEC 27701.

Osnova ovog standarda je upravljanje saglasnostima, koje namerava da osnaži ljude da povrate kontrolu nad svojim ličnim podacima. Iako su kompanije u prošlosti radile sa mantrom „Kreći se i razbijaj “, ovaj novi standard pomaže im da se kreću jednako brzo, ali da su im privatnost i podaci o klijentima jedan od glavnih prioriteta zaštite.