ISO 27701 on laajennus standardeihin ISO/IEC 27001 ja ISO/IEC 27002 tietosuojatiedon hallintaa varten. Selitämme, mitä se tarkoittaa.
ISO/IEC 27701 auttaa sinua hallitsemaan henkilökohtaisia tunnistetietoja (PII) organisaatiossasi. Se on uusi standardi, joka on suunniteltu kenen tahansa käyttöön vastuussa henkilökohtaisista tiedoista missä tahansa organisaatiossa.
Standardi näyttää, kuinka voit suunnitella, määrittää, hallita ja jatkuvasti parantaa Privacy Information Management System (PIMS) -järjestelmää. Se antaa sinulle paljon joustavuutta siinä, miten luot ja käytät PIMS. ISO 27701:n joustavuus auttaa sinua noudattamaan myös paikallisia henkilökohtaisia tunnistetietoja koskevia määräyksiä.
ISO 27701 perustuu ISO/IEC 27001 -standardiin. Tämä tarkoittaa, että voit:
ISO 27701 tuli voimaan 6. elokuuta 2019. Koska standardi on niin uusi, vain harvat organisaatiot ovat ottaneet sen käyttöön. Jos päätät hankkia ISO 27701 -sertifioinnin, olet tietoturvapaketin edellä.
ISO 27001 on maailman suosituin tietoturvastandardi, mutta siinä on joitain aukkoja. Erityisesti siinä ei kerrota, miten asetukset tehdään Henkilökohtaiset tunnistetiedot (PII) turvatoimet. EU:n yleinen tietosuoja-asetus (GDPR) toi esiin ISO 27001:n selkeiden henkilökohtaisia tietoja koskevien ohjeiden puutteen. GDPR pyytää henkilökohtaisia tunnistetietoja, mutta se ei anna käyttöönotto-ohjeita tai vaatimuksia.
Niinpä aloitettiin työ standardin parissa, josta tulisi ISO 27701. Uusi PII-hallintastandardi kehitettiin ensin nimellä ISO/IEC 27522. ISO 27522:n tekninen työ päättyi vuonna 2019, jolloin uusi standardi julkaistiin 6. elokuuta 2019. Se on Laajennus standardiin ISO/IEC 27001. Ennen julkaisua ISO/IEC 27522 muuttui ISO/IEC 27701:ksi. Tämä johtuu siitä, että kaikki standardit, jotka kuvaavat hallintajärjestelmän luomista, tulisi päättyä numeroon 01.
Henkilökohtaiset tunnistetiedot (PII) ovat tietoja, jotka paljastavat jonkun henkilöllisyyden. PII paljastaa henkilöllisyydet joko yksinään tai yhdessä muiden tietojen kanssa. Jotkut henkilökohtaisten tunnistetietojen luokat ovat erittäin arkaluonteisia. Voit esimerkiksi pitää vain ja käsitellä tietoja rikostuomioita ja rikoksia hyvin rajoitetuissa olosuhteissa.
Lähes jokaisella organisaatiolla on yksityisiä henkilökohtaisia tunnistetietoja (PII) yksittäisistä ihmisistä. Jos PII vuotaa, se voi olla erittäin vahingollista. ISO/IEC 27701 -yhteensopiva Privacy Information Management System (PIMS) suojaa sinua PII.
Se auttaa sinua välttämään henkilökohtaisten tunnistetietojen loukkausten negatiiviset seuraukset, joita voivat olla:
ISO 22701 -sertifikaatin saavuttamisella voi myös olla monia myönteisiä vaikutuksia, kuten:
Useimpien organisaatioiden on säilytettävä ja käsiteltävä tietoja joistakin tai kaikista:
Nämä ihmiset luottavat tietoja kerääviin organisaatioihin pitääkseen tiedot yksityisinä. Yksityisyystietojen tai henkilökohtaisten tunnistetietojen (PII) rikkomisen riski ja mahdollinen vahinko kasvaa nopeasti. Ongelmia voivat olla:
Joten yhä useammat organisaatiot luovat tietosuojatietojen hallintajärjestelmiä (tai PIMS). Tehokas, ISO 27701 -yhteensopiva tai sertifioitu PIMS tarjoaa monia mahdollisia etuja. Se voi:
Turvallisuuden lisäämiseksi voit pseudonymisoida tai anonymisoida henkilötietosi. GDPR-määritelmät näistä kahdesta tavasta hallita henkilötietojasi ovat:
Pseudonymisoituja tietoja voidaan edelleen käsitellä PII määräyksiä ja vaatimuksia. Useimmat sääntelyjärjestelmät eivät todennäköisesti koske anonymisoituja tietoja.
Ero pseudonymisoidun ja anonymisoidun tiedon välillä voi olla varsin hienovarainen ja monimutkainen. Se voi vaihdella eri lainkäyttöalueilla. Sinun on tarkistettava huolellisesti, että noudatat kaikkia asiaankuuluvia säädöksiä henkilökohtaisiin tunnistetietoihisi.
Ja jos sinulla on tietoja jostakin, joka on (valitettavasti) kuollut, se ei todennäköisesti ole henkilökohtainen tunniste. Vainajan tietoja ei yleensä luokitella henkilökohtaisiksi. Yritysten, viranomaisten tai muiden organisaatioiden tiedot eivät todennäköisesti myöskään ole henkilökohtaisia tunnistetietoja.
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
PIMS on henkilötietojen hallintajärjestelmä. Se yhdistää:
suojaamaan organisaatiosi hallussa olevia ja käyttämiä henkilökohtaisia tunnistetietoja. Tehokas PIMS vakuuttaa organisaatiosi:
PIMS auttaa sinua tallentamaan ja jakamaan henkilökohtaisia tunnistetietoja sekä sisäisesti että ulkoisesti. Oikea PIMS tekee myös ihmisten helpoksi päivittää ja korjata hallussaan olevia tietoja.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
ISO 27701:n käyttöönotto organisaatiosi tarvitsee että:
1. Prosessi ja/tai hallinnoida henkilökohtaisia tunnistetietoja (PII)
2. on ISO 27001 -sertifioitu tietoturvan hallintajärjestelmä (ISMS)
Sillä ei ole väliä minkä tyyppinen tai kokoinen organisaatio olet. ISO 27701:n vaatimukset kattavat kaikentyyppiset ja -kokoiset organisaatiot. Se sisältää (mutta ei rajoitu):
1. Julkiset ja yksityiset yritykset
2. Valtion yksiköt
3. Voittoa tavoittelemattomat järjestöt
Tutustu ISO 27701 -standardiin. Se auttaa sinua määrittelemään tietosuojan hallintastrategiasi ja suunnittelemaan PIMS:si. Rakenna seuraavaksi PIMS luomalla sen järjestelmät ja taktiset hallintalaitteet. Ota sitten käyttöön PIMS ja varmista, että noudatat kaikkia ISO 27701 -vaatimuksia.
Olet valmis auditointiin, kun täysi ISO 27701 -sertifiointi on mahdollista. Tällä hetkellä standardi on niin uusi, että kukaan ei ole akkreditoitu sertifioimaan sinua siihen.
Ja saavuttaaksesi ISO 27001, sinun on oltava joko ISO 27001 -yhteensopiva tai sertifioitu. Jos sinulla ei ole ISO 27001 -standardia, sinun on suunniteltava myös sen käyttöönotto.
ISO/IEC 27701:2019 on niin uusi, ettei sillä ole akkreditoituja sertifiointielimiä. Joten tätä kirjoitettaessa et voi saada ISO 27701 -sertifikaattia.<.p>
Suosittelemme saavuttaa ISO 27001 -standardin mukainen, joten olet valmis, kun sertifiointi on mahdollista. Näyttää siltä, että voit saada ISO 27701 -sertifioinnin vuoden 2021 puolivälistä eteenpäin.
ISO/IEC 27701:2019 -standardin noudattamisen saavuttamiseksi sinun on suunniteltava, rakennettava ja otettava käyttöön henkilötietojen hallintajärjestelmä (PIMS) organisaatiollesi.
Uuden PIMS:si tulee seurata:
1. ISO 27701 -standardi kaikilla asiaankuuluvilla tavoilla
2. Kaikki kansalliset tai kansainväliset määräykset, jotka koskevat organisaatiotasi
ISO 27701 edellyttää, että olet jo saavuttanut ISO 27001 -vaatimustenmukaisuuden tai -sertifioinnin. Se tarkoittaa tietoturvan hallintajärjestelmän (ISMS) luominen. Voit määrittää ISMS:si ennen ISO 27701 -toteutusta tai sen rinnalla.
Kun haet ISO 27701 -sertifiointia, auditoijasi arvioivat PIMS:si seuraavasti:
1. PIMS-dokumentaation lukeminen
2. Haastattele ihmisiä varmistaaksesi, että he ymmärtävät sen ja käyttävät sitä
3. Suorittamalla testejä nähdäksesi kuinka hyvin se toimii käytännössä
Jotta voit osoittaa hyvän ISO 27701 -käytännön, tarvitset:
1. Kattava PIMS-dokumentaatio
2. Hyvin koulutettu henkilökunta
3. Laajalti ymmärretty ja noudatettu politiikka ja menettelytavat
ISO/IEC 27701:2019 on niin uusi, ettei sillä ole akkreditoituja sertifiointielimiä. Joten tätä kirjoitettaessa et voi saada ISO 27701 -sertifikaattia. Kun ISO 27701 -sertifiointi tulee mahdolliseksi, se noudattaa samanlaista prosessia kuin ISO 27001 -sertifiointi.
Ensin sinun on suunniteltava, rakennettava ja toteutettava henkilökohtaisten tietojen hallintajärjestelmäsi (PIMS). Varmista, että noudatat ISO 27701 -standardin vaatimuksia. Rekisteröidy sitten tunnustetun riippumattoman sertifiointielimen kanssa, joka tarkastaa PIMS:si.
Sertifiointielimesi auditoijat arvioivat PIMS-dokumentaatiosi. Sitten he testaavat PIMS:si, yleensä haastattelujen ja näytteenoton avulla. Jos läpäiset tarkastuksen, olet sertifioitu. Tämän jälkeen sinulla on kaksi vuotuista valvontatarkastusta. Kolmen vuoden kuluttua sinun on hankittava uudelleen sertifiointi.
ISO 27701 täyttää joitain henkilökohtaisten tietojen aukkoja ISO 27001:ssä. Voit siis ottaa sen käyttöön joko ISO 27001:n rinnalla tai sen jälkeen.
Sekä ISO 27001, ISO 27701 kohdistetaan seuraaviin:
Muista, että sinun on myös noudatettava paikallisia määräyksiä, jos yhdistät ISO 27701 -standardin mihin tahansa muuhun standardiin.
ISO 27701 on erillinen GDPR:stä. Mutta jos olet ISO 27701 -yhteensopiva tai sertifioitu, henkilötietojen hallintajärjestelmäsi on GDPR-yhteensopiva.
ISO 27701 kehitettiin ensin nimellä ISO/IEC 27522. Standardin nimi muutettiin ISO 27701:ksi ennen sen julkaisua vuonna 2019. ISO 27522:sta tuli ISO 27701, koska minkä tahansa standardin, joka kertoo, kuinka hallintajärjestelmä määritetään, on päätyttävä numeroon 01.
- ISO 27000 -standardiperhe keskittyy tietoturvaan. Jokaisella ISO 27000 -standardilla on erilainen infosec-painotus ja -vaatimukset. Minkä tahansa kokoiset tai tyyppiset organisaatiot voivat käyttää niitä.
Keskeisiä perheenjäseniä ovat mm.
ISO 27701 -standardin liitteessä D kerrotaan, kuinka sen hallintalaitteet voidaan yhdistää EU:n yleiseen tietosuoja-asetukseen (GDPR).
ISO 27701 -standardin liite F selittää, kuinka laajennetaan ISO IEC 27001 ja ISO / IEC 27002 suojellakseen henkilökohtaisia tunnistetietoja (PII).
Jotta asiat olisivat sinulle yksinkertaisia, ISMS.online on rakentanut pilvipohjaisen alustan. Tämä alusta noudattaa ISO-standardien kriteerejä ja täyttää myös ISO 27701 -standardin vaatimukset. Näin voit luoda ja osoittaa noudattavasi ISO 27701 -standardia, mikä yksinkertaistaa sertifiointia.
Pilvipohjaisen alustamme avulla voit käyttää kaikkia ISMS-resurssejasi yhdessä paikassa. Meillä on sisäinen tietoturva-asiantuntijoiden tiimi, joka voi antaa ohjeita ja vastata kysymyksiin auttaakseen sinua matkallasi kohti ISO 27701 -standardin käyttöönottoa, jotta voit osoittaa omistautumisesi tietoturvallisuuden hallinnan parhaille käytännöille. Soita ISMS.online-palveluun + 44 (0) 1273 041140 saadaksesi lisätietoja siitä, kuinka voimme auttaa sinua saamaan ISO 27701 -sertifikaatin.
Tee yhteistyötä, luo ja näytä, että olet aina dokumentaatiosi kärjessä
Lue lisää
Tartu uhkiin ja mahdollisuuksiin vaivattomasti ja raportoi suorituskyvystä dynaamisesti
Lue lisää
Tee parempia päätöksiä ja näytä hallitsevasi hallintapaneelien, KPI:iden ja niihin liittyvän raportoinnin avulla
Lue lisää
Tee kevyttä työtä korjaavista toimista, parannuksista, auditoinneista ja johdon arvioinneista
Lue lisää
Valaise kriittisiä suhteita ja yhdistä tyylikkäästi alueet, kuten omaisuus, riskit, valvonta ja toimittajat
Lue lisää
Valitse omaisuus omaisuuspankista ja luo omaisuusluettelo helposti
Lue lisää
Käyttövalmiit integraatiot muihin keskeisiin liiketoimintajärjestelmiisi yksinkertaistamaan vaatimustenmukaisuuttasi
Lue lisää
Lisää siististi muita vaatimustenmukaisuuden osa-alueita, jotka vaikuttavat organisaatioosi, jotta saavutat vielä enemmän
Lue lisää
Sitouta henkilöstö, toimittajat ja muut dynaamiseen päästä päähän -säännösten noudattamiseen aina
Lue lisää
Hallitse due diligencea, sopimuksia, kontakteja ja suhteita koko elinkaarensa ajan
Lue lisää
Kartoita ja hallitse kiinnostuneita osapuolia visuaalisesti varmistaaksesi, että heidän tarpeisiinsa vastataan selvästi
Lue lisää
Vahva suunnittelun yksityisyys ja suojaustoiminnot tarpeidesi ja odotusten mukaan
Lue lisää100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa
