ISO 27701 – Tietosuojatietojen hallinnan standardi

Mikä on ISO 27701?

EU:n yleisen tietosuoja-asetuksen (GDPR), Etelä-Afrikan POPIA:n, Brasilian LGPD:n, Australian tietosuojaperiaatteiden, monia vastaavia tietosuojalakeja ja -asetuksia laaditaan ympäri maailmaa; on ollut kasvava tarve käytännesäännöille tai standardeille, jotka osoittavat tietosuojatietojen noudattamisen ja sertifioinnin. ISO 27701 pyrkii tarjoamaan aidosti kansainvälisen lähestymistavan yksityisyyden suojaan osana tietoturvaa.

ISO 27701 kehitettiin tarjoamaan standardi tietosuojavalvontaan, joka yhdistettynä ISMS:ään antaa organisaatiolle mahdollisuuden osoittaa tehokasta tietosuojatietojen hallintaa. Se määrittää PIMS:n parametrit yksityisyyden suojan ja henkilökohtaisten tunnistetietojen (PII) käsittelyn kannalta.

ISO 27701 on vaikuttava tapa osoittaa kuluttajille, ulkopuolisille organisaatioille ja sisäisille sidosryhmille, että käytössä on mekanismeja tietojen turvaamiseksi ja GDPR:n ja muiden tietosuojalakien noudattamiseksi.

ISO 27701 -standardi, PIMS (Privacy Information Management System) -standardi, sisältää yksityiskohtaisen joukon toiminnallisia tarkistuslistoja, joita voidaan mukauttaa useisiin säädöksiin, mukaan lukien GDPR. Yritykset dokumentoivat politiikkansa, menettelynsä, protokollansa ja toimintansa standardin toiminnallisten tarkistuslistojen mukaisesti. Sisäiset ja ulkopuoliset tarkastajat tarkastavat asiakirjat, mikä johtaa yksityiskohtaisiin todisteisiin standardin noudattamisesta. ISO 27701 auttaa yrityksiä ylläpitämään tehokasta tietosuoja- ja tietoturvajärjestelmää ja vähentämään tietosuojariskejä.

Mitkä ovat standardin rakennuspalikoita?

ISO 27701 on laajennus ISO/IEC 27001:lle, joka on yksi laajimmin käytetyistä kansainvälisistä tietoturvan hallinnan standardeista. Jos organisaatiosi tuntee jo ISO/IEC 27001:n, PIMS:n uusien yksityisyyssäätimien integrointi voi olla suhteellisen yksinkertaista. ISO 27701 perustuu myös muihin standardeihin, kuten ISO 27002 ja ISO 29100. ISO 27701 lisää tietoturvakerroksen aikaisempiin tietoturvastandardeihin. Jos merkitset muiden standardien ruutuja, saatat jo merkitä joitakin ISO 27701 -standardin ruutuja.

Tärkeitä huomioita ISO 27001:stä ja PIMS:stä:

• PIMS tarjoaa uusia ohjain- ja prosessorikohtaisia ​​ohjaimia, jotka auttavat organisaatioita voittamaan yksityisyyden ja turvallisuuden haasteet luomalla konvergenssipisteen kahden eri toiminnon välille.
• Tietoturva on tärkeää yksityisyyden kannalta. ISO 22701 PIMS luottaa ISO 27001 -standardiin turvallisuuden hallinnassa. IS0 27701 -sertifikaatti on saatavilla vain lisäyksenä ISO 27001 -sertifikaattiin, eikä sitä voi saada erillisenä sertifikaattina.

ISO 27701 -standardin noudattamisen haasteita

GDPR:n ohjeiden mukaan organisaatioiden odotetaan pitävän kaikki henkilökohtaiset tunnistetiedot turvassa varkauksilta, katoamiselta ja vahingoittumiselta.

Yhdistyneen kuningaskunnan lakiin toukokuusta 2018 lähtien tehdyt muutokset tarkoittavat nyt sitä, että organisaatioiden on otettava käyttöön HR-tietojen käsittelykäytäntö, joka pystyy osoittamaan, että asiaankuulumattomat henkilötiedot poistetaan asianmukaisesti. ISO 27701 auttaa organisaatioita vastaamaan näihin kolmeen tärkeään vaatimustenmukaisuushaasteeseen:

Liian monta sääntelyvaatimusta jongleerattavaksi

ISO 27701:n käyttäminen yhtenäisenä tietosuojajärjestelmänä toiminnanohjausjärjestelmänä poistaa tarpeen keskittyä useisiin säädöksiin. Kansainvälisenä standardina ISO 27701 on suunniteltu täyttämään tietosuoja- ja GDPR-vaatimukset ja olemaan riittävän joustava, jotta se voidaan mukauttaa erityisiin alan vaatimuksiin. Tämä antaa yrityksille mahdollisuuden työskennellä samassa kehyksessä useiden säännösten vaatimusten täyttämiseksi.

Liian kallista tarkastaa säädöskohtaisesti

Sisäiset ja ulkoiset tarkastajat käyttävät ISO 27701 -standardia säännöstenmukaisuuden määrittämiseen yhdessä auditointijaksossa. Tämä säästää organisaation rahaa verrattuna hajautuneen säännöskohtaisen auditointiprosessin noudattamiseen.

Lupaukset noudattamisesta ilman todisteita voivat olla vaarallisia

Ei riitä, että yritykset noudattavat parhaiden käytäntöjen tietosuojaprosesseja; Heidän on myös pystyttävä todistamaan lakien ja määräysten noudattaminen. Tämä tarkoittaa vankkaa, integroitua dokumentointiprosessia. Monimutkaisia ​​prosesseja käyttävillä yrityksillä voi olla monenlaisia ​​rekisterinpitäjiä ja tietojen käsittelijöitä, pilvipalveluntarjoajia ja kumppanitoimittajia. Kyvyttömyys todistaa lakien tai määräysten noudattamista missä tahansa toimitusketjun osassa voi altistaa yrityksen taloudelliselle ja maineriskille.

ISO 27701: n edut

Osoita seuraavan tason tietosuojaa ISO 27701 -standardin avulla

ISO 27701 -standardi on yksi tavoista osoittaa, että noudatat kaikkia asianmukaisia ​​tietosuoja-, luottamuksellisuus- ja yksityisyyden suojavaatimuksia.

Rakenna luottamusta henkilökohtaisten tietojen hallinnassa

Henkilötietojen käsittelyssä sinulla on oltava keino varmistaa, että organisaatiosi tekee kaikkensa varmistaakseen, että tietoja käsitellään oikein ja lain mukaisesti. ISO 27701 antaa sinulle standardin, jota tarvitaan luottamuksen rakentamiseen tietojen hallinnassa. Toimittajat, kuluttajat ja kumppanit voivat luottaa käytäntöihisi, menettelyihisi ja protokolliisi, kun työskentelet kansainvälisen standardin, kuten ISO 27701, mukaisesti.

Integroituu johtavien tietoturvastandardien kanssa

ISO 27701 integroituu johtaviin tietoturvastandardeihin. Tämä mahdollistaa käytäntöjen ja menettelytapojen saumattoman kehittämisen ja päivittämisen eri standardeissa ja varman tiedon siitä, että et vaaranna muiden standardien noudattamista ottamalla käyttöön ISO 27701 -standardit.

Tukee muiden tietosuojamääräysten noudattamista

ISO 27701 on "toimialan standardi", joka täyttää uuden tietosuojalainsäädännön. Vaikka ISO 27701 noudattaa GDPR:n periaatteita, sen avulla organisaatiot voivat myös dokumentoida muiden tietosuojalakien, säädösten, standardien ja vaatimusten noudattamisen.

Tarpeeksi joustava sopeutuakseen lainkäyttöalueen erityispiirteisiin

ISO 27701 -standardi on kehitetty tarjoamaan standardeja henkilökohtaisten tunnistetietojen käsittelylle, jotta voit täyttää erilaiset tietosuojalakit. Jos yrityksesi toimii EU:n ulkopuolella ja haluat noudattaa vastaavia GDPR:ää vastaavia aluekohtaisia ​​ohjeita, voit sisällyttää kyseiset lainkäyttöaluekohtaiset tiedot ISO 27701 -standardiin.

Tarjoaa läpinäkyvyyttä sidosryhmien välillä

ISO 27701 asettaa standardin tietosuojatietojen hallinnassa. Standardi tekee prosesseista läpinäkyviä kaikille sidosryhmille, mikä synnyttää luottamusta ja keskinäistä kunnioitusta.

Helpottaa tehokkaita liikesopimuksia

Kun yritykset ovat sitoutuneet työskentelemään samojen korkeiden tietosuojastandardien mukaisesti, on siellä helpompi tehdä sopimuksia ja tehdä yhteistyötä. ISO 27701 herättää luottamusta ja varmistaa, että kaikki sidosryhmät ovat samalla sivulla järjestelmäintegraatiota ja yhteisiä liiketoimintaprosesseja harkittaessa.

ISO 27701 vs ISO 27001 – mitä eroja on?

ISO 27701 ja ISO 27001 ovat kaksi standardia, joita muut kuin tietoturva-ammattilaiset käyttävät usein vuorotellen tietoturvaan viitattaessa.

Sekä ISO 27001 että ISO 27701 -standardit ovat tietoturvan hallintastandardeja. Ero näiden kahden standardin välillä on se, että ISO 27001 keskittyy kuiluun riskienhallinnan ja turvavalvonnan välillä, kun taas ISO 27701 on standardi, joka on suunnattu tietosuojasäännösten ja lakien, kuten GDPR:n ja tietosuojalain, noudattamiseen. ISO 27701 keskittyy tietosuojatietoriskeihin.

Miten ISO 27001 ja ISO 27701 integroituvat toisiinsa?

ISO 27701 on ISO 27001 -standardin laajennus. Se on yksi riskienhallintastandardeista, mutta se varmistaa, että yritys noudattaa GDPR:ää ja muita asiaankuuluvia henkilökohtaisia ​​tunnistetietoja koskevia säännöksiä. Ennen kuin voit hyötyä ISO 27701:n turvallisuuseduista, sinun on ensin otettava käyttöön ISO 27001.

Miten ISO 27701 liittyy GDPR:ään?

Organisaatioiden on suojattava ja varmistettava kaikkien käsittelemiensä arkaluonteisten tietojen eheys yleisen tietosuoja-asetuksen (GDPR) ja Yhdistyneen kuningaskunnan vuoden 2018 tietosuojalain (DPA) mukaisesti. GDPR tai DPA eivät kuitenkaan selvennä toimenpiteitä, joihin yritysten on ryhdyttävä tietosuojan varmistamiseksi. Tässä kohtaa ISO 27701 tulee käyttöön. ISO 27701 tarjoaa vaatimukset ja ohjeet parhaiden käytäntöjen prosessille yksityisyyden tietojen hallintajärjestelmän (PIMS) käyttämiseksi tehokkailla tietoturva- ja yksityisyysominaisuuksilla.

Miten ISO 27001 ja GDPR integroituvat toisiinsa?

ISO 27001 on tietoturvan hallintajärjestelmän (ISMS) kansainvälinen parhaiden käytäntöjen standardi, joka on otettu käyttöön monissa maissa ympäri maailmaa. Yli 35 maata on liittynyt GDPR:n käyttöön. ISO 27701 voi auttaa GDPR:n noudattamisessa.

ISO 27701:n käytön aloittaminen

Jos omistat yrityksen, joka käsittelee henkilötietoja, sinun on ymmärrettävä, miten uusi ISO 27701 -standardi koskee sinua. ISO 27701:n perusteiden ymmärtäminen voi olla haaste. Tämä pätee erityisesti, jos olet tottunut työskentelemään erilaisten standardien mukaan.

ISO 27701:n käyttöönotto

Kuten useimmat viralliset standardit, ISO 27701 voi olla hieman hankala saada selville. ISMS.online auttaa sinua tarjoamalla pilvipohjaisen ratkaisun ISO 27701 -standardin vaatimustenmukaisuuden dokumentointiin.
ISO 27701:n käyttöönotto antaa sinulle vankan kehyksen lakien ja määräysten noudattamiselle GDPR-säännöksistä HIPAA-tason suojaukseen.

Hyvien käytäntöjen osoittaminen

ISO 27701:n käyttöönotto on henkilötietojen hallinnan "hyvien käytäntöjen" osoittamista. ISO 27701:stä on tullut olennainen osa monien alojen yritysten tiedonhallintakehystä. Tämä tärkeä standardi on siirtyminen ISO 27001 -standardin mukaisesta tietoturvan teknisestä ja omaisuuspainotuksesta riskipohjaisempaan liiketoimintapainotukseen.

Suunnittele, tee, tarkista, toimi

Suunnittele, tee, tarkista, toimi (PDCA) on jatkuva parannussykli, jota monet edistykselliset yritykset käyttävät, ja se on olennainen osa ISO 27701:n toteuttamista. Toiset voivat käyttää eri nimiä vaiheille – mutta avainidea on sama: Suunnittele mitä pitäisi tehdä; tehdä parasta mahdollista työtä tämän tehtävän toteuttamisessa ja suorittamisessa; vertaa tuloksia suunnitelmaasi; ja kun tarvittavat suunnitelmamuutokset toimivat suorituskyvyn parantamiseksi.

ISO 27701:n vaatimukset

Vaatimukset ISO/IEC 27701 -vaatimustenmukaisuuden saavuttamiseksi ovat:

• Suunnittele, rakenna ja toteuta henkilötietojärjestelmä organisaatiollesi.
• Noudata ISO 27701 -ohjeita, kun suunnittelet ja toteutat PIMS:ää.
• PIM:issä olisi määriteltävä tiukat järjestelmät ja taktiset tarkastukset henkilökohtaisten tunnistetietojen hallintaan, mukaan lukien se, miten näitä tietoja hankitaan, käytetään, jaetaan ja poistetaan.
• Määritä tiukat käyttäjäroolit ja vahvat salasanat kaikille sidosryhmille, jotka käsittelevät ja hallitsevat tietosuojatietoja.

ISO 27701 -sertifikaatti edellyttää, että sinulla on ISO 27001 -sertifikaatti. Henkilötietojen hallintajärjestelmäsi perustuu tietoturvan hallintajärjestelmääsi (ISMS). Voit hankkia ISO 27701 -sertifikaatin samanaikaisesti ISO 27001 -standardin kanssa. Molempien tekeminen samanaikaisesti on yleensä helpompaa, vähemmän resursseja ja halvempaa kuin sarjassa tekeminen.

Tuote mallit

ISO 27701 on jaettu lausekkeisiin, kuten muutkin ISO-standardit, ja lausekkeissa 5–8 kuvataan lisävaatimukset ja päivitykset, jotka on lisättävä ISO 27001:een:

• Kohdassa 5 esitetään ISO/IEC 27001 -yhteensopivuuden PIMS-vaatimukset.
• Kohdassa 6 esitetään ISO/IEC 27002:n PIMS-ohjeet.
• Kohdassa 7 esitetään PIMS-ohjeet PII-ohjaimille.
• PIMS:n lauseke 8 antaa ohjeita PII-prosessoreille.

Standardiin sisältyvät myös seuraavat liitteet:

• PIMS-spesifiset vertailuohjaustavoitteet ja -säädöt mainitaan liitteessä A. (PII-ohjaimet)
• PIMS-kohtaiset viitehallinnan tavoitteet ja kontrollit mainitaan liitteessä B. (PII-prosessorit)
• Standardin ISO/IEC 29100 liitteen C kartoitus
• Kartoitus yleiseen tietosuoja-asetukseen (GDPR) liitteessä D (GDPR).
• Liite E standardeihin ISO/IEC 27018 ja ISO/IEC 29151 Mapping
• Liite F Mikä on standardien ISO/IEC 27701 ja ISO/IEC 27001 ja ISO/IEC 27002 välinen suhde?

On kuitenkin tärkeää, että opit kaikki käytössä olevat käytännöt, menettelyt ja kontrollit ja että niitä noudatetaan johdonmukaisesti koko organisaatiossasi.

ISO 27701 -toteutus

ISO/IEC 27701:n käyttöönotto on vankka tapa aloittaa tietosuojatietojen hallintajärjestelmä missä tahansa yrityksessä. Monet yritykset päättävät noudattaa ISO 27701 -standardia ISO 27001 -standardin rinnalla. Tämä voi vähentää kustannuksia ja kokonaisaikaa ja vaivaa, joka tarvitaan molempien standardien saavuttamiseen.

Täällä ISMS.online tarjoaa pilvipohjaisia ​​ratkaisuja, joita organisaatiosi voi käyttää dokumentoidakseen ISO 27001:n ja sitten ISO 27701:n noudattamisen. Poistamme prosessista epävarmuuden ja arvailun tarjoamalla puitteet ISO-standardien noudattamiselle.

Kenen tulisi ottaa käyttöön ISO 27701?

ISO 27701 tarjoaa kansainvälisen standardin kaikille tietosuojatietoja käsitteleville organisaatioille. Kaikki yritykset, joilla on hallussaan henkilökohtaisia ​​tunnistetietoja koosta ja tyypistä riippumatta, voivat hyötyä ISO 27701 -standardin täytäntöönpanosta. ISO 27701 auttaa vähentämään yksityisyyden suojan loukkauksiin liittyviä taloudellisia ja sääntelyriskejä. ISO 27701 on tarkoitettu yksityisille, julkisille yrityksille ja jopa valtion virastoille, joiden on omaksuttava riskipohjainen lähestymistapa henkilötietojen säilyttämiseen ja käsittelyyn.

Mitä rooleja ISO 27701:n käyttöönotossa on?

Ottaen huomioon ISO 27701 -standardin laajuuden ja laajuuden, ei ole yllättävää, että standardin toteuttamisessa on mukana erilaisia ​​rooleja. Näihin rooleihin kuuluu yleensä:

• Päätoteuttaja/projektipäällikkö
• Tietosuojavastaava / tietosuojavastaava
• Tietosuojapäällikkö/tietosuojapäällikkö
• Sisäinen tarkastaja
• Ulkoinen tilintarkastaja
• Privacy Analyst - toiminnallisten vaatimusten selvittämiseen ja tekniseen toteutukseen siirtymiseen
• Tietokanta- ja ohjelmistoalan ammattilaiset

Vaatimustenmukaisuus vs sertifiointi

ISO 27701 -standardin noudattaminen ja sertifiointi voivat olla hämmentäviä, sillä nimellisarvossa ne näyttävät tarkoittavan samaa asiaa.

ISO 27701 -vaatimustenmukaisuus tarkoittaa, että organisaatiosi on ottanut käyttöön tarvittavat valvontatoimenpiteet ISO 27701 -standardin vaatimusten täyttämiseksi. joukko parhaita käytäntöjä tietosuojatietojen hallintaan. Standardien noudattaminen on tärkeää.

ISO 27701 -sertifikaatti on asiakirja, joka vahvistaa, että tietty organisaatio on käynyt läpi prosessit ja dokumentoinut kaiken tarvittavan ISO 27701 -yhteensopivuuden saavuttamiseksi.

Sertifiointi tarkoittaa, että olet osoittanut vaatimustenmukaisuuden.

Onko ISO 27701 -sertifiointi oikea minulle?

Jos yrityksesi käsittelee henkilökohtaisia ​​tunnistetietoja, sinun on ehkä tutkittava ISO 27701 -sertifiointia. ISO 27701 -sertifikaatti erottuu joukosta yrityksiä, joilla ei ole sertifiointia.

Lisäksi tietoturvaloukkauksen sattuessa Yhdistyneen kuningaskunnan Information Commissioner's Office (ICO) on todennut, että organisaatiot, jotka ottavat käyttöön sertifioinnin tai joilla on kattava järjestelmä tietoturvansa hoitamiseksi, voivat olla suotuisampia sääntelyviranomaisten silmissä.

ISO 27701 -sertifiointiprosessi

ISO 27701:n käyttöönottoprosessi on suhteellisen helppoa organisaatioille, joilla on jo ISO 27001 -sertifikaatit.

ISO 27701 -sertifikaatin saa kolmessa vaiheessa:

Sinun on ensin palkattava pätevä sertifiointielin, joka suorittaa organisaatiosi auditoinnin.

Kun olet sopinut ehdotuksesta, arvioija antaa organisaatiollesi yksityiskohtaisen tarkastuksen. Arvioijan on tehtävä pakollinen käynti ensimmäisen sertifiointitarkastuksen aikana. He tarkistavat, oletko ottanut käyttöön täysin toimivan henkilötietojen hallintajärjestelmän.

Kun arvioija on suorittanut auditoinnin, sertifiointielin päättää, täyttääkö organisaatiosi kriteerit. Jos tulos on myönteinen, he antavat sinulle todistuksen siitä, että yrityksesi täyttää standardin vaatimukset. Sertifiointi on voimassa seuraavat kolme vuotta tai kunnes ISO 27001 -sertifikaattisi vanhenee sen mukaan, kumpi tulee ensin.

Jos yritykselläsi ei vielä ole ISO 27001 -sertifikaattia, sinun on ensin hankittava se tai haettava ISO 27001- ja ISO 27701 -sertifikaatteja samanaikaisesti.

ISO 27701 -sertifikaatin ylläpitäminen

ISO 27701 -sertifikaatin ylläpitämisen ei tarvitse olla pelottava mahdollisuus, kunhan alkuperäinen ISO 27701 -toteutus on suoritettu oikein. Jotta ISO 27701 -standardisi pysyy kuitenkin voimassa, sinun on suoritettava säännölliset valvontatarkastukset yhdessä ISO 27001 -auditointisi kanssa ja sen jälkeen täydellinen uudelleenarviointi ennen sertifioinnin uusimista.

Paras tapa ylläpitää ISO 27701 -sertifiointia on hallita järjestelmiäsi siten, että pystyt jatkuvasti parantamaan niitä. Jatkuva parantaminen on organisaatiosi jatkuvaa pyrkimystä parantaa tapaa, jolla se käsittelee henkilökohtaisia ​​tunnistetietoja, tunnistaa nousevat vaatimustenmukaisuuteen liittyvät riskit ja ryhtyy järjestelmällisiin toimiin niiden korjaamiseksi.

Yksinkertaisin tapa ISO 27701:een

ISMS.online tekee henkilötietojen hallinnasta helppoa loistavalla pilvipohjaisella ratkaisulla, joka tukee ISO 27701 -yhteensopivuutta organisaatiossasi. Tämän lisäksi meillä on käytettävissämme tietoturva-asiantuntijoita ja resursseja, jotka opastavat sinua ISO 27701 -akkreditointiprosessin läpi.

ISO 27701 -standardin puitteet

Voi olla vaikea tietää, mistä aloittaa ISO 27701 -standardilla, varsinkin jos sinun ei ole koskaan tarvinnut tehdä mitään vastaavaa ennen. Tässä ISMS.online tulee esiin. ISO 27701 -ratkaisumme tarjoavat puitteet, joiden avulla organisaatiosi voi osoittaa noudattavansa ISO 27701 -standardia. Tietoturva-asiantuntijamme voivat työskennellä kanssasi varmistaakseen, että kehität loogisen toteutusprosessin, joka on linjassa online-dokumentaatiokehyksen kanssa. .

Toimitusketjun hallintatyökalut

ISMS.online-sivustolla voimme sisällyttää toimitusketjun tietoturvahallinnan ISMS-järjestelmääsi. Nopeiden ja käytännöllisten suorituskykymittareiden avulla voidaan myös seurata toimittajien ja muiden kolmansien osapuolten kumppanuuksien edistymistä. Käytä ISMS.online-klustereita kokoaaksesi koko toimitusketjun yhteen paikkaan selkeyden, näkemyksen ja hallinnan vuoksi.

Erittäin tehokas projektivalvonta ja yhteistyö

ISMS.online-ratkaisumme helpottavat organisaatioiden projektien valvontaa varmistaen, että rekisterinpitäjän ja käsittelijän käytännöt ja menettelyt ovat ISO-standardin mukaisia. Verkkojärjestelmämme varmistaa myös, että järjestelmän toteuttajilla on yksi paikka viite- ja yhteistyöpaikalle. Assured Results Method (ARM) -menetelmämme avulla voit olla varma, että valitset kaikki ruudut, joita tarvitset standardin noudattamiseksi.

Auta ja tue ihmisten sitouttamisessa

ISO 27701 ei ole vain kehys organisaatioille. se tarkoittaa ihmisten tavan mukauttaa tiedon ymmärtämistä, käyttöliittymää ja vuorovaikutusta sen kanssa. ISMS.onlinessa olemme suunnitelleet järjestelmämme niin, että sinä ja henkilökuntasi voitte hyödyntää helppokäyttöistä käyttöliittymäämme ISO-matkasi dokumentointiin. Tarjoamme myös videoresursseja ja pääsyn tietoturva-alan ammattilaisille, jotka auttavat sinua integroimaan standardit yritykseesi.