ISO 27701 er en udvidelse til ISO/IEC 27001 og ISO/IEC 27002 til håndtering af privatlivsoplysninger. Vi vil forklare, hvad det betyder.
ISO/IEC 27701 hjælper dig med at administrere personligt identificerbare oplysninger (PII) i din organisation. Det er en ny standard, designet til brug af alle ansvarlig for PII i enhver form for organisation.
Standarden viser dig, hvordan du designer, opsætter, administrerer og løbende forbedrer et Privacy Information Management System (PIMS). Det giver dig en masse fleksibilitet i, hvordan du opretter og driver din BILLEDER. ISO 27701's fleksibilitet hjælper dig også med at følge alle relevante lokale PII-regler.
ISO 27701 bygger på ISO/IEC 27001. Det betyder, at du enten kan:
ISO 27701 trådte i kraft den 6. august 2019. Fordi standarden er så ny, har meget få organisationer taget den i brug. Hvis du vælger at gå efter ISO 27701-certificering, vil du være foran infosec-pakken.
ISO 27001 er den mest populære sikkerhedsstandard i verden, men den har nogle huller. Især fortæller den dig ikke, hvordan du konfigurerer Personligt identificerbare oplysninger (PII) sikkerhedsforanstaltninger. EU's generelle databeskyttelsesforordning (GDPR) satte ISO 27001's mangel på klar PII-vejledning i fokus. GDPR beder om PII-sikkerhedsforanstaltninger, men det giver ingen implementeringsvejledning eller krav.
Så arbejdet begyndte med den standard, der skulle blive ISO 27701. Den nye PII-styringsstandard blev først udviklet som ISO/IEC 27522. Teknisk arbejde med ISO 27522 sluttede i 2019, hvilket førte til offentliggørelsen af den nye standard den 6. august 2019. Det er en udvidelse til ISO/IEC 27001. Før udgivelsen blev ISO/IEC 27522 til ISO/IEC 27701. Det skyldes, at enhver standard, der beskriver, hvordan man opretter et ledelsessystem, skal slutte med 01.
Personlig identificerbar information (PII) er information, der afslører en persons identitet. PII afslører identiteter enten alene eller i kombination med andre data. Nogle kategorier af PII er meget følsomme. For eksempel kan du kun holde og processdata om straffedomme og lovovertrædelser under meget begrænsede omstændigheder.
Næsten alle organisationer har detaljerede personligt identificerbare oplysninger (PII) om individuelle personer. Hvis PII lækker, kan det være meget skadeligt. Et ISO/IEC 27701-kompatibelt Privacy Information Management System (PIMS) vil beskytte din PIO.
Det hjælper dig med at undgå de negative resultater af PII-brud, som kan omfatte:
At opnå ISO 22701-certificering kan også have mange positive virkninger, herunder:
De fleste organisationer har brug for at opbevare og behandle oplysninger om nogle af eller alle deres:
Disse mennesker er afhængige af dataindsamlingsorganisationer for at holde disse oplysninger private. Risikoen for og potentiel skade fra brud på privatlivsoplysninger eller personligt identificerbare oplysninger (PII) stiger hurtigt. Problemer kan omfatte:
Så flere og flere organisationer opretter systemer til administration af privatlivsoplysninger (eller BILLEDER). En effektiv, ISO 27701-kompatibel eller certificeret PIMS har mange potentielle fordele. Det kan:
For at øge sikkerheden kan du pseudonymisere eller anonymisere din PII. GDPR-definitionerne af disse to måder at administrere dine personlige data på er:
Pseudonymiserede data kan stadig være underlagt PIO regler og krav. De fleste reguleringsordninger vil sandsynligvis ikke gælde for anonymiserede data.
Forskellen mellem pseudonymiserede og anonymiserede data kan være ret subtil og kompleks. Det kan variere i forskellige jurisdiktioner. Du skal tjekke omhyggeligt for at sikre, at du anvender alle relevante regler på din PII.
Åh, og hvis du har oplysninger om en, der (meget desværre) er død, så vil det sandsynligvis ikke være PII. Oplysninger om den afdøde er generelt ikke klassificeret som personlige. Oplysninger om virksomheder, offentlige myndigheder eller andre organisationer er sandsynligvis heller ikke PII.
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
En PIMS er et Personal Information Management System. Den kombinerer:
for at beskytte de personligt identificerbare oplysninger (PII), din organisation ligger inde med og bruger. Et effektivt PIMS vil forsikre din organisations:
Dit PIMS hjælper dig med at gemme og dele PII, både internt og eksternt. Den rigtige PIMS vil også gøre det nemt for folk at opdatere og rette eventuelle data, du har på dem.
En skræddersyet hands-on session baseret på dine behov og mål
For at implementere ISO 27701, din organisations behov til:
1. Proces og/eller administrere personligt identificerbare oplysninger (PII)
2. har du en ISO 27001-certificeret informationssikkerhedsstyringssystem (ISMS)
Det er lige meget, hvilken type eller størrelse organisation du er. ISO 27701's krav fleks til at dække alle typer og størrelser af organisationer. Det omfatter (men er ikke begrænset til):
1. Offentlige og private virksomheder
2. Statslige enheder
3. Ikke-for-profit organisationer
Lær ISO 27701-standarden at kende. Det hjælper dig med at definere din strategi for privatlivsstyring og planlægge dine PIMS. Byg derefter din PIMS, opret dens systemer og taktiske kontroller. Implementer derefter dit PIMS, og sørg for, at du følger alle ISO 27701-kravene.
Du vil være klar til din revision, når fuld ISO 27701-certificering bliver mulig. I øjeblikket er standarden så ny, at ingen er akkrediteret til at certificere dig for den.
Åh, og for at opnå ISO 27001 skal du enten være ISO 27001-kompatibel eller certificeret. Hvis du ikke har ISO 27001, skal du også planlægge, hvordan du implementerer det.
ISO/IEC 27701:2019 er så ny, at den ikke har nogen akkrediterede certificeringsorganer. Så i skrivende stund kan du faktisk ikke blive ISO 27701 certificeret.<.p>
Vi anbefaler opnå ISO 27001 overensstemmelse, så du er klar, når certificering bliver mulig. Det ser ud til, at du vil være i stand til at blive ISO 27701-certificeret fra midten af 2021 og fremefter.
For at opnå ISO/IEC 27701:2019 overholdelse skal du designe, bygge og implementere et Personal Information Management System (PIMS) til din organisation.
Din nye PIMS bør følge:
1. ISO 27701-standarden på alle relevante måder
2. Alle nationale eller internationale regler, der gælder for din organisation
ISO 27701 antager, at du allerede har opnået ISO 27001-overensstemmelse eller certificering. Det betyder oprettelse af et informationssikkerhedsstyringssystem (ISMS). Du kan konfigurere dit ISMS forud for eller sideløbende med din ISO 27701-implementering.
Når du går efter ISO 27701-certificering, vil dine revisorer vurdere dine PIMS ved at:
1. Gennemlæsning af din PIMS' dokumentation
2. Interview dine folk for at sikre, at de forstår det og bruger det
3. Udførelse af tests for at se, hvor godt det fungerer i praksis
For at vise god ISO 27701 praksis skal du bruge:
1. Omfattende PIMS-dokumentation
2. Veluddannet personale
3. Bredt forstået og fulgt politikker og procedurer
ISO/IEC 27701:2019 er så ny, at den ikke har nogen akkrediterede certificeringsorganer. Så i skrivende stund kan du faktisk ikke blive ISO 27701 certificeret. Når ISO 27701-certificering bliver mulig, vil den følge en lignende proces som ISO 27001-certificering.
Først skal du designe, bygge og implementere dit Personal Information Management System (PIMS). Sørg for at følge kravene i ISO 27701-standarden. Tilmeld dig derefter hos et anerkendt uafhængigt certificeringsorgan, som vil revidere dine PIMS.
Dit certificeringsorgans revisorer vil vurdere din PIMS-dokumentation. Derefter vil de teste dine PIMS, normalt gennem interviews på stedet og prøveudtagning. Hvis du består din revision, er du certificeret. Du vil derefter have to årlige overvågningsaudits. Efter tre år skal du gencertificeres.
ISO 27701 udfylder nogle personligt identificerbare informationshuller i ISO 27001. Så du kan implementere det enten sammen med eller efter ISO 27001.
Samt ISO 27001, ISO 27701 kortlægges på:
Husk på, at du også skal følge lokale regler, hvis du knytter ISO 27701 til en anden standard.
ISO 27701 er adskilt fra GDPR. Men hvis du er ISO 27701-kompatibel eller certificeret, vil dit Personal Information Management System være GDPR-kompatibelt.
ISO 27701 blev først udviklet som ISO/IEC 27522. Standardens navn blev ændret til ISO 27701 før lanceringen i 2019. ISO 27522 blev til ISO 27701, fordi enhver standard, der fortæller dig, hvordan du opsætter et ledelsessystem, skal slutte med 01.
ISO 27000-standardfamilie har fokus på informationssikkerhed. Hver ISO 27000-standard har forskellige infosec-fokus og krav. Organisationer af enhver størrelse eller type kan bruge dem.
Nøglefamiliemedlemmer omfatter:
Bilag D til ISO 27701-standarden fortæller dig, hvordan du kortlægger dens kontrol på EU's generelle databeskyttelsesforordning (GDPR).
Bilag F til ISO 27701-standarden forklarer, hvordan man udvider ISO IEC 27001 og ISO / IEC 27002 for at beskytte personligt identificerbare oplysninger (PII).
For at gøre tingene nemmere for dig, ISMS.online har bygget en cloud-baseret platform. Denne platform overholder ISO-standardernes kriterier og opfylder også kravene i ISO 27701. Dette giver dig mulighed for at skabe og demonstrere overholdelse af ISO 27701-standarden, hvilket forenkler certificeringen.
Vores cloud-baserede platform giver dig adgang til alle dine ISMS-ressourcer på ét sted. Vi har et internt team af informationssikkerhedseksperter, der kan give vejledning og besvare spørgsmål for at hjælpe dig på vej til ISO 27701-implementering, så du kan demonstrere din dedikation til bedste praksis for informationssikkerhedsstyring. Ring til ISMS.online på + 44 (0) 1273 041140 for at finde ud af mere om, hvordan vi kan hjælpe dig med at blive certificeret til ISO 27701.
Samarbejd nemt, skab og vis, at du til enhver tid er på toppen af din dokumentation
Find ud af mereHåndter ubesværet trusler og muligheder og rapporter dynamisk om ydeevne
Find ud af mereTræf bedre beslutninger og vis, at du har kontrol med dashboards, KPI'er og relateret rapportering
Find ud af mereGør let arbejde med korrigerende handlinger, forbedringer, revisioner og ledelsesgennemgange
Find ud af mereGiv et lys over kritiske relationer og sammenkæde områder som aktiver, risici, kontroller og leverandører elegant
Find ud af mereVælg aktiver fra Asset Bank og opret dit Asset Inventory med lethed
Find ud af mereUd af boksen integrationer med dine andre vigtige forretningssystemer for at forenkle din overholdelse
Find ud af mereTilføj pænt andre områder af overholdelse, der påvirker din organisation for at opnå endnu mere
Find ud af mereEngager personale, leverandører og andre med dynamisk end-to-end compliance til enhver tid
Find ud af mereAdministrer due diligence, kontrakter, kontakter og relationer i løbet af deres livscyklus
Find ud af mereVisuelt kortlægge og administrere interesserede parter for at sikre, at deres behov bliver klart tilgodeset
Find ud af mereStærkt privatliv ved design og sikkerhedskontrol, der matcher dine behov og forventninger
Find ud af mere100 % af vores brugere opnår ISO 27001-certificering første gang