ISO 27701 – Standarden for håndtering af privatlivsoplysninger

Hvad er ISO 27701?

I kølvandet på EU's generelle databeskyttelsesforordning (GDPR), Sydafrikas POPIA, Brasiliens LGPD, Australiens privatlivsprincipper, mange lignende love og regler om beskyttelse af personlige oplysninger er ved at blive udarbejdet rundt om i verden; der har været et stigende behov for en adfærdskodeks eller standard for at demonstrere overholdelse af databeskyttelse og certificering. ISO 27701 søger at give en virkelig international tilgang til beskyttelse af privatlivets fred som en komponent i informationssikkerhed.

ISO 27701 blev udviklet til at levere en standard for databeskyttelseskontrol, som, når det kombineres med et ISMS, giver en organisation mulighed for at demonstrere effektiv datastyring. Den fastlægger parametrene for en PIMS med hensyn til beskyttelse af privatlivets fred og behandling af personligt identificerbare oplysninger (PII).

ISO 27701 er en imponerende måde at demonstrere over for forbrugere, eksterne organisationer og interne interessenter, at mekanismer er på plads til at holde data sikre og overholde GDPR og andre love om beskyttelse af personlige oplysninger.

ISO 27701-standarden, en PIMS-standard (Privacy Information Management System), opstiller et detaljeret sæt af operationelle tjeklister, der kan tilpasses til en række regler, herunder GDPR. Virksomheder dokumenterer deres politikker, procedurer, protokoller og aktiviteter i overensstemmelse med standardens operationelle tjeklister, med optegnelser revideret af interne og tredjepartsrevisorer, hvilket resulterer i detaljeret bevis for overholdelse af standarden. ISO 27701 hjælper virksomheder med at opretholde et effektivt privatlivs- og informationssikkerhedssystem og reducere privatlivsrisici.

Hvad er byggestenene i standarden?

ISO 27701 er en udvidelse af ISO/IEC 27001, som er en af ​​de mest udbredte internationale standarder for informationssikkerhedsstyring. Hvis din organisation allerede er bekendt med ISO/IEC 27001, kan det være relativt ligetil at integrere de nye privatlivskontroller i PIMS. ISO 27701 er også baseret på andre standarder, såsom ISO 27002 og ISO 29100. ISO 27701 tilføjer et databeskyttelseslag til tidligere informationssikkerhedsstandarder. Hvis du afkrydser afkrydsningsfelterne for andre standarder, har du muligvis allerede sat kryds i nogle af felterne for ISO 27701.

Vigtige punkter at huske om ISO 27001 og PIMS:

• PIMS leverer nye controller- og processorspecifikke kontroller, der hjælper organisationer med at overvinde udfordringerne med privatliv og sikkerhed ved at etablere et konvergenspunkt mellem, hvad der kunne være to forskellige funktioner.
• Sikkerhed er vigtigt for privatlivets fred. ISO 22701 PIMS er afhængig af ISO 27001 til sikkerhedsstyring. IS0 27701-certificering er kun tilgængelig som en tilføjelse til ISO 27001-certificering og kan ikke opnås som et selvstændigt certifikat.

ISO 27701 overholdelse udfordringer

I henhold til retningslinjerne i GDPR forventes organisationer at holde alle personligt identificerbare oplysninger sikre mod tyveri, tab og beskadigelse.

Ændringer i britisk lovgivning siden maj 2018 betyder nu, at organisationer skal indføre en HR-datahåndhåndteringspolitik med mulighed for at vise, at ikke-relevante persondata slettes korrekt. ISO 27701 hjælper organisationer med at håndtere disse tre vigtige overholdelsesudfordringer:

For mange lovkrav til at jonglere

Brug af ISO 27701 som et samlet system til databeskyttelseskontrol fjerner behovet for at fokusere på flere regler. Som en international standard er ISO 27701 designet til at opfylde kravene til databeskyttelse og GDPR, og til at være fleksibel nok til at blive tilpasset specifikke branchekrav. Dette gør det muligt for virksomheder at arbejde inden for en enkelt ramme for at opfylde flere regulatoriske krav.

For dyrt at revidere regulering for regulering

Interne og eksterne revisorer bruger ISO 27701 til at bestemme overholdelse af lovgivning i en enkelt revisionscyklus. Dette sparer organisationen for penge sammenlignet med at følge en usammenhængende regulerings-for-regulativ revisionsproces.

Løfter om overholdelse uden bevis er potentielt risikable

Det er ikke nok for virksomheder at følge best practice databeskyttelsesprocesser; de skal også kunne bevise overholdelse af love og regler. Det betyder at have en robust, integreret proces til dokumentation. Virksomheder med komplekse processer kan have flere typer dataansvarlige og databehandlere, cloud-udbydere og partnerleverandører. Manglende evne til at bevise overholdelse af love eller regler i nogen del af forsyningskæden kan udsætte virksomheden for økonomiske risici og omdømmerisici.

Fordele ved ISO 27701

Demonstrer databeskyttelse på næste niveau med ISO 27701

ISO 27701-standarden er en af ​​måderne til at vise, at du overholder alle relevante krav til databeskyttelse, fortrolighed og privatlivssikkerhed.

Skab tillid, når du administrerer personlige oplysninger

Når det kommer til håndtering af personoplysninger, skal du have en måde at sikre dig, at din organisation gør alt for at sikre, at oplysninger håndteres korrekt og i overensstemmelse med lovgivningen. ISO 27701 giver dig den nødvendige standard for at opbygge tillid, når du administrerer data. Leverandører, forbrugere og partnere kan have tillid til dine politikker, procedurer og protokoller, når du arbejder efter en international standard som ISO 27701.

Integreres med de førende informationssikkerhedsstandarder

ISO 27701 integreres med de førende informationssikkerhedsstandarder. Dette muliggør problemfri udvikling og opdatering af politikker og procedurer på tværs af forskellige standarder, og den sikre viden om, at du ikke vil kompromittere din overholdelse af andre standarder ved at vedtage ISO 27701-standarder.

Understøtter overholdelse af andre regler om beskyttelse af personlige oplysninger

ISO 27701 er 'industristandarden' til at overholde ny databeskyttelseslovgivning. Selvom ISO 27701 stemmer overens med principperne i GDPR, giver den også organisationer mulighed for at dokumentere overholdelse af andre love, regler, standarder og krav til beskyttelse af privatlivets fred.

Fleksibel nok til at imødekomme jurisdiktionsspecifikationer

ISO 27701-standarden blev udviklet til at levere standarder for at arbejde med personligt identificerbare oplysninger, så du kan opfylde forskellige love om beskyttelse af personlige oplysninger. Hvis din virksomhed opererer uden for EU, og du ønsker at følge de tilsvarende områdespecifikke retningslinjer svarende til GDPR, kan du bringe disse jurisdiktionsspecifikationer ind i ISO 27701.

Giver gennemsigtighed mellem interessenter

ISO 27701 sætter standarden for, hvordan privatlivsdata administreres. Standarden gør processer gennemsigtige for alle interessenter, hvilket skaber tillid og gensidig respekt.

Faciliterer effektive forretningsaftaler

Når virksomheder er forpligtet til at arbejde efter de samme høje datastandarder for privatlivets fred, er det lettere at lave aftaler og arbejde sammen. ISO 27701 skaber tillid og sikrer, at alle interessenter er på samme side, når de overvejer systemintegration og delte forretningsprocesser.

ISO 27701 vs ISO 27001 – hvad er forskellene?

ISO 27701 og ISO 27001 er to standarder, der ofte bruges i flæng af ikke-informationssikkerhedsprofessionelle, når de refererer til informationssikkerhed.

Både ISO 27001 og ISO 27701 standarder er IT-sikkerhedsstyringsstandarder. Forskellen mellem de to standarder er, at ISO 27001 fokuserer på kløften mellem risikostyring og sikkerhedskontroller, hvorimod ISO 27701 er en standard, der er gearet til at opfylde privatlivsforordninger og -love som GDPR og databeskyttelsesloven. ISO 27701 er fokuseret på privatlivsdatarisici.

Hvordan integreres ISO 27001 og ISO 27701 med hinanden?

ISO 27701 er en udvidelse af ISO 27001. Det er en af ​​risikostyringsstandarderne, men den sikrer, at virksomheden overholder GDPR og andre relevante PII-regler. Før du kan drage fordel af ISO 27701's sikkerhedsfordele, skal du først implementere ISO 27001.

Hvordan forholder ISO 27701 sig til GDPR?

Organisationer skal sikre og sikre integriteten af ​​alle følsomme data, de behandler i henhold til General Data Protection Regulation (GDPR) og UK Data Protection Act 2018 (DPA). Hverken GDPR eller DPA giver dog afklaring om, hvilke handlinger virksomheder skal tage for at sikre databeskyttelse. Det er her ISO 27701 kommer ind i billedet. ISO 27701 giver kravene og retningslinjerne for en best-practice-proces til at køre et privatlivsinformationsstyringssystem (PIMS) med effektiv datasikkerhed og privatlivsfunktioner.

Hvordan integreres ISO 27001 og GDPR med hinanden?

ISO 27001 er den internationale standard for bedste praksis for et informationssikkerhedsstyringssystem (ISMS), der er vedtaget af mange lande rundt om i verden. Mere end 35 lande har tilmeldt sig at implementere GDPR. ISO 27701 kan hjælpe med overholdelse af GDPR.

Kom godt i gang med ISO 27701

Hvis du ejer en virksomhed, der behandler personoplysninger, så skal du forstå, hvordan den nye ISO 27701-standard gælder for dig. At forstå det grundlæggende i ISO 27701 kan være en udfordring. Dette gælder især, hvis du er vant til at arbejde efter forskellige standarder.

Implementering af ISO 27701

Som med de fleste officielle standarder kan ISO 27701 være lidt vanskelig at få hovedet rundt på. ISMS.online hjælper dig ved at levere en cloud-baseret løsning til at dokumentere overholdelse af kravene i ISO 27701.
Implementering af ISO 27701 vil give dig en solid ramme for overholdelse af love og regler, fra GDPR-reglerne til HIPAA-niveaubeskyttelse.

Demonstrer god praksis

Implementering af ISO 27701 handler om at demonstrere 'god praksis' for håndtering af personlige oplysninger. ISO 27701 er blevet en integreret del af datastyringsrammen for virksomheder i mange sektorer. Denne vigtige standard er et skift fra ISO 27001 informationssikkerhed teknisk og aktiv vægt til et mere risikobaseret forretningsfokus.

Planlæg, gør, kontroller, handling

Plan, Do, Check, Act (PDCA) er en kontinuerlig forbedringscyklus, som mange progressive virksomheder bruger, og den er et afgørende element i implementeringen af ​​ISO 27701. Andre kan bruge forskellige navne på faserne - men hovedideen er den samme: Planlæg, hvad der skal gøres; gøre det bedste stykke arbejde du kan med implementering og udførelse af denne opgave; kontrollere resultaterne i forhold til din plan; og når de nødvendige planændringer virker for at forbedre ydeevnen.

Krav til ISO 27701

Kravene for at opnå ISO/IEC 27701-overensstemmelse omfatter:

• Design, byg og implementer et personligt informationssystem til din organisation.
• Følg ISO 27701 retningslinjerne, når du designer og implementerer PIMS.
• PIM'erne bør definere strenge systemer og taktiske kontroller til håndtering af personligt identificerbare oplysninger, herunder hvordan disse oplysninger indhentes, bruges, deles og slettes.
• Definer strenge brugerroller og stærke adgangskoder til alle interessenter, der behandler og kontrollerer privatlivsdata.

ISO 27701 certificering kræver, at du har ISO 27001 certificering. Dit Personal Information Management System bygger på dit Information Security Management System (ISMS). Du kan blive certificeret til ISO 27701 samtidig med at du laver ISO 27001. At gøre begge dele samtidigt er normalt nemmere, mindre ressourcekrævende og billigere end at udføre dem i serier.

Struktur

ISO 27701 er opdelt i klausuler, ligesom andre ISO-standarder, hvor paragraf 5-8 beskriver de yderligere krav og opdateringer, der skal tilføjes til ISO 27001:

• Klausul 5 skitserer PIMS-kravene til ISO/IEC 27001-overensstemmelse.
• Klausul 6 skitserer PIMS-vejledningen til ISO/IEC 27002.
• Klausul 7 skitserer PIMS-vejledning for PII-controllere.
• Klausul 8 i PIMS giver vejledning til PII-processorer.

Følgende bilag er også inkluderet i standarden:

• PIMS-specifikke referencekontrolmål og kontroller er nævnt i bilag A. (PII-controllere)
• PIMS-specifikke referencestyringsmål og kontroller er nævnt i bilag B. (PII-processorer)
• Kortlægning af bilag C til ISO/IEC 29100
• Kortlægning til den generelle databeskyttelsesforordning (GDPR) i bilag D (GDPR).
• Bilag E til ISO/IEC 27018 og ISO/IEC 29151 Mapping
• Appendiks F Hvad er forholdet mellem ISO/IEC 27701 og ISO/IEC 27001 og ISO/IEC 27002?

Det er dog vigtigt, at du lærer alle de politikker, procedurer og kontroller, der er på plads, og at de følges konsekvent i hele din organisation.

ISO 27701 Implementering

Implementering af ISO/IEC 27701 er en robust måde at starte et datastyringssystem for beskyttelse af personlige oplysninger i enhver virksomhed. Mange virksomheder vælger at følge ISO 27701 sammen med ISO 27001. Dette kan reducere omkostningerne og den samlede tid og indsats, der er involveret i at opnå begge standarder.

Her på ISMS.online leverer vi cloud-baserede løsninger, som din organisation kan bruge til at dokumentere overholdelse af ISO 27001 og derefter ISO 27701. Vi tager usikkerheden og gætværket ud af processen ved at levere en ramme for overholdelse af ISO-standarder.

Hvem skal implementere ISO 27701?

ISO 27701 tilbyder en international standard for enhver organisation, der håndterer privatlivsdata. Enhver virksomhed, der har personligt identificerbare oplysninger, uanset størrelse og type, kan drage fordel af ISO 27701-implementering. ISO 27701 hjælper med at mindske de økonomiske og lovgivningsmæssige risici forbundet med databrud på privatlivets fred. ISO 27701 er til private, offentlige virksomheder og endda offentlige myndigheder, der skal have en risikobaseret tilgang til at opbevare og behandle personlige oplysninger.

Hvilke roller er involveret i implementeringen af ​​ISO 27701?

I betragtning af omfanget og omfanget af ISO 27701-standarden kommer det ikke som nogen overraskelse, at forskellige roller er involveret i implementeringen af ​​standarden. Disse roller omfatter typisk:

• Lead Implementer/ Projektleder
• Chief Privacy Officer / Data Protection Officer
• Privacy Manager/Data Protection Manager
• Intern revisor
• Ekstern revisor
• Privacy Analyst- til at tage funktionskrav og konvertere til teknisk implementering
• Database- og softwareprofessionelle

Overholdelse vs certificering

ISO 27701-overholdelse og certificering kan være forvirrende, da de pålydende ser ud til at betyde det samme.

Overholdelse af ISO 27701 betyder, at din organisation har indført de nødvendige kontroller for at opfylde kravene i ISO 27701; et sæt bedste praksis for håndtering af privatlivsoplysninger. Overholdelse af standarder er vigtig.

Et ISO 27701-certifikat er det dokument, der bekræfter, at en bestemt organisation har gennemgået processerne og dokumenteret alt, hvad der er nødvendigt for at blive ISO 27701-kompatibel.

Certificering betyder, at du har demonstreret overholdelse.

Er ISO 27701-certificering det rigtige for mig?

Hvis din virksomhed beskæftiger sig med personligt identificerbare oplysninger, skal du muligvis undersøge ISO 27701-certificeringen. ISO 27701-certificering vil få dig til at skille dig ud i forhold til virksomheder, der ikke er certificerede.

I tilfælde af et databrud har Information Commissioner's Office (ICO) i Det Forenede Kongerige desuden udtalt, at organisationer, der implementerer certificering eller har et omfattende system på plads til at håndtere deres datasikkerhed, kan blive set mere positivt af tilsynsmyndigheder.

ISO 27701 certificeringsproces

Processen med at implementere ISO 27701 er relativt let for organisationer, der allerede har ISO 27001 certificeringer.

ISO 27701-certificeringen kan opnås i tre trin:

Du skal først ansætte et kvalificeret certificeringsorgan, som vil udføre en revision af din organisation.

Når du er blevet enige om et forslag, vil en bedømmer give din organisation en detaljeret revision. Bedømmeren skal aflægge et obligatorisk besøg under den indledende certificeringsaudit. De vil se efter, om du har indført et fuldstændigt funktionelt system til håndtering af personlige oplysninger.

Når bedømmeren har gennemført audit, vil certificeringsorganet afgøre, om din organisation har opfyldt kriterierne. Hvis udfaldet er positivt, vil de give dig et certifikat på, at din virksomhed overholder standardens specifikationer. Certificeringen er gyldig i de næste tre år, eller indtil dit ISO 27001-certifikat udløber, alt efter hvad der kommer først.

Hvis din virksomhed endnu ikke har ISO 27001-certificering, skal du have den først, eller forfølge ISO 27001- og ISO 27701-certificeringer på samme tid.

Opretholdelse af ISO 27701 certificering

Vedligeholdelse af ISO 27701-certificering behøver ikke være en skræmmende udsigt, så længe den indledende ISO 27701-implementering blev gennemført korrekt. For at holde din ISO 27701 gyldig skal du dog udføre periodiske overvågningsaudits i kombination med din ISO 27001 audit og derefter en komplet revurdering før certificeringsfornyelse.

Den bedste måde at opretholde ISO 27701-certificering på er at styre dine systemer på en sådan måde, at du er i stand til at blive ved med at lave løbende forbedringer. Kontinuerlig forbedring er den løbende indsats, som din organisation gør for at forbedre, hvordan den håndterer personligt identificerbare oplysninger, identificere nye risici for overholdelse og tage systemiske handlinger for at afhjælpe dem.

Den enkleste vej til ISO 27701

ISMS.online gør håndtering af personlige oplysninger let gennem en fantastisk cloud-baseret løsning til at understøtte ISO 27701-overholdelse i din organisation. Oven i dette har vi informationssikkerhedseksperter og ressourcer til rådighed til at guide dig gennem ISO 27701 akkrediteringsprocessen.

Rammer til ISO 27701

Det kan være svært at vide, hvor man skal starte med ISO 27701, især hvis man aldrig har skullet gøre noget lignende før. Det er her, ISMS.online kommer ind i billedet. Vores ISO 27701-løsninger leverer rammer, der gør det muligt for din organisation at demonstrere overholdelse af ISO 27701. Vores informationssikkerhedseksperter kan arbejde sammen med dig for at sikre, at du udvikler en logisk implementeringsproces, der stemmer overens med onlinedokumentationsrammerne .

Supply chain management værktøjer

Hos ISMS.online kan vi inkorporere styring af forsyningskædeinformationssikkerhed i dit ISMS. Hurtige og praktiske præstationsmålinger kan også bruges til at overvåge fremskridtene for dine leverandører og andre tredjepartspartnerskaber. Brug ISMS.online Clusters til at samle hele forsyningskæden på ét sted for klarhed, indsigt og kontrol.

Meget effektiv projektovervågning og samarbejde

Vores ISMS.online-løsninger gør det nemt for organisationer at opnå projekttilsyn, hvilket sikrer, at dataansvarlige og databehandlerens politikker og procedurer er i overensstemmelse med ISO-standarden. Vores online system sikrer også, at systemimplementere har et enkelt sted for reference og samarbejde. Vores Assured Results Method (ARM) giver dig mulighed for at være sikker på, at du afkrydser alle de felter, du skal bruge for at overholde standarden.

Hjælp og støtte med at engagere dine folk

ISO 27701 er ikke kun en ramme for organisationer at vedtage; det betyder at tilpasse den måde, folk forstår, brugerflader og interagerer med data. Hos ISMS.online har vi designet vores system, så du og dine medarbejdere kan drage fordel af vores brugervenlige grænseflade til at dokumentere din ISO-rejse. Vi leverer også videoressourcer og adgang til informationssikkerhedseksperter for at hjælpe dig med at integrere standarder i din virksomhed.