Správa ochrany dat s certifikátem

OBSAH

• Co obsahuje norma ISO 27701?
• ISMS a PIMS: podobnosti a rozdíly
• Cíle ochrany údajů a cíle bezpečnosti informací: Podobnosti a rozdíly
• Certifikace ISO 27701 na dosah
• ISO 27701: Velký krok k ochraně dat
• Vytvoření jasných odpovědností
• Plus: Orientace na rizika
• Na první pohled: Výhody normy ISO 27701
• Závěr: Systematický a strukturovaný přístup k ochraně dat
• DQS: Jednoduše využívat kvalitu.

Ochrana dat jako doplněk systému řízení

V ideálním případě je řízení ochrany dat navrženo s pomocí mezinárodní normy, společně s normou ISO 27001. Známá norma ISO/IEC 27001 se zabývá požadavky na systém řízení bezpečnosti informací (ISMS) a lze ji certifikovat i pro tuto oblast použití. Nová norma ISO/IEC 27701 pro řízení ochrany dat vychází z normy ISO 27001 a doplňuje ji o kritéria ochrany dat. Toto rozšíření integruje požadavky na systém řízení ochrany informací (DSMS nebo systém řízení informací o ochraně osobních údajů, PIMS) do systému ISMS.

Úplný název mezinárodní normy na ochranu údajů zní:

Stejně jako norma ISO 27001 i norma ISO 27701 zohledňuje přístup systému řízení a odkazuje na základní strukturu moderních norem systémů řízení, strukturu vysoké úrovně (HLS).

Nová mezinárodní norma je součástí normy ISO 29100, která obsahuje všechny zásady ochrany dat. Původně se měla jmenovat ISO 27552, ale poté byla přejmenována na ISO 27701. V pozadí tohoto kroku je rozhodnutí Mezinárodní organizace pro normalizaci (ISO), aby všechny hlavní certifikovatelné normy končily rokem 01.

Řízení ochrany dat: Co obsahuje norma ISO 27701?

Místo o "bezpečnosti informací" se v nové normě o ochraně dat hovoří o "bezpečnosti informací a ochraně dat". Kromě toho dochází k doplnění obsahu. Například při zohlednění kontextu organizace je vyžadováno zahrnutí příslušných zákonů a soudních rozhodnutí o ochraně údajů. Stejně tak je třeba při posuzování rizik zohlednit kritéria pro zpracování osobních údajů - vždy s ohledem na ochranu dotčených osob a případné posouzení dopadů.

Kromě toho norma ISO 27701 obsahuje doplňky k normě ISO 27002, tedy návod k zavedení opatření z přílohy A normy ISO 27001.

Norma ISO rovněž poskytuje následující pokyny týkající se řízení ochrany údajů:

• Rozšíření pokynů a zásad o aspekty ochrany údajů.
• Jmenování odpovědné osoby (pověřence pro ochranu osobních údajů) ve společnosti za systém řízení informací o ochraně osobních údajů.
• Školení zaměstnanců o ochraně údajů
• Zaznamenávání přístupů a změn
• Šifrování, například zvláštních kategorií osobních údajů, jako jsou zdravotní údaje.
• Zohlednění zásady "Privacy by Design".
• Přezkoumání bezpečnostních incidentů z hlediska porušení ochrany osobních údajů

Příloha normy ISO 27701 obsahuje podrobnou tabulku přiřazení opatření k požadavkům GDPR. Zde je zřejmé, jaký vliv má obecné nařízení EU o ochraně osobních údajů na tuto mezinárodní normu pro ochranu dat.

ISMS a PIMS: podobnosti a rozdíly

Systémy řízení bezpečnosti informací (ISMS) a systémy řízení informací o ochraně osobních údajů (PIMS) jsou úzce propojeny.

Ochrana soukromí a bezpečnost dat se týkají osobních údajů. Řada norem ISO 27000 se týká především ochrany informací, přičemž osobní údaje jsou její podmnožinou. Perspektiva tedy určuje, zda je něco narušením bezpečnosti údajů, nebo incidentem bezpečnosti informací, nebo dokonce obojím?

"Přínos normy ISO 27701? Zostřuje důraz na aspekty ochrany dat v systému řízení bezpečnosti informací!"

Stephan Rehfeld, odborník na ochranu dat a auditor ve společnosti DQS

Tam, kde se v normách ISO 27001 nebo ISO 27002 používá termín "bezpečnost informací", se v normě ISO 27701 nazývá "bezpečnost informací a ochrana dat". Tímto dodatkem se ochrana dat stává součástí systému řízení bezpečnosti informací.

Existují však i odchylky, kdy PIMS funguje jinak než ISMS. Jeden příklad: odlišné chápání kontextu organizace. V normě ISO 27701 je v bodě 4.1 oproti normě ISO 27001 uveden dodatečný požadavek, že "organizace by měla definovat svou roli jako odpovědná strana nebo společný správce pro sdílené odpovědnosti a/nebo jako smluvní zpracovatel".

Tento požadavek se v systému řízení bezpečnosti informací nevyskytuje, protože ISMS nezná rozdíl mezi "správcem" a "zpracovatelem". Proto norma ISO 27701 obsahuje dvě další přílohy s opatřeními specifickými pro ochranu údajů pro "správce" a "zpracovatele".

Cíle ochrany údajů a cíle bezpečnosti informací: Podobnosti a rozdíly

Norma ISO 29100 definuje zásady ochrany údajů, které by měl splňovat vlastní systém řízení společnosti. Článek 5 obecného nařízení o ochraně osobních údajů (GDPR) ukazuje, kterých cílů ochrany údajů má být dosaženo pomocí provozních článků GDPR. Zásady a cíle se do značné míry shodují. Je tomu tak proto, že OECD definovala cíle ochrany údajů již v roce 1980. Ty posloužily jako základ jak pro normu ISO 29100, tak pro GDPR.

V systému řízení bezpečnosti informací (ISMS) se nacházejí cíle bezpečnosti informací důvěrnost, integrita, dostupnost. Ty se nacházejí také v článku 5, respektive v článku 32 DS-GVO. Zásadním rozdílem je však definice "zainteresovaných stran" v systému ISMS. Patří sem například vlastní zaměstnanci, zákazníci, dodavatelé, investoři nebo úřady. Naproti tomu v oblasti ochrany údajů je zainteresovanou stranou pouze subjekt údajů.

Řízení rizik v oblasti ochrany údajů se tedy rovněž liší od řízení rizik v oblasti bezpečnosti informací. V důsledku toho nelze systém ISMS používat jedna ku jedné jako PIMS s jeho procesy specifickými pro ochranu údajů. Přesto existují možnosti integrace, aby mohly probíhat například společné interní audity.

Řízení ochrany dat: ISO 27701 na dosah

Z hlediska certifikace bude nová norma ISO 27701 v budoucnu doplňovat normu ISO 27001 - a bude to první norma, která bude potvrzovat ochranu dat certifikátem. Za tímto účelem je společnost DQS v současné době v akreditačním procesu u německého akreditačního orgánu (DAkkS) a očekává, že brzy obdrží schválení. Protože norma ISO 27701 je navržena jako rozšíření normy ISO 27001, systém řízení ochrany údajů podle normy ISO 27701 nelze certifikovat bez systému řízení bezpečnosti informací podle normy ISO 27001.

ISO 27701: Velký krok k řízení ochrany údajů

Každý, kdo vyvinul a zavedl systematický systém řízení ochrany údajů (PIMS) podle normy ISO 27701 - jinými slovy každý, kdo systematicky chrání a spravuje své osobní údaje - snadno zajistí a prokáže soulad s právními požadavky. Společnosti mohou novou normu využít k zavedení zabezpečení informací do značné míry v souladu s ochranou osobních údajů a odpovídající ochrany dat.

Vytvořte si jasné odpovědnosti pomocí normy ISO 27701

Při zavádění nové normy ISO se společnosti nevyhnou definování jasných odpovědností v oblasti ochrany údajů. Tuto výhodu nelze podceňovat. Ve většině společností bez systematického systému řízení ochrany dat jsou odpovědnosti příliš často formulovány měkce z nepochopené zdvořilosti ("Mohl byste to v budoucnu převzít?"). Nebo jsou odpovědnosti rozděleny podle hesla "Uděláme to společně!". Obojí nevyhnutelně vede k tomu, že odpovědnost nakonec nepřevezme nikdo. S dobře strukturovaným systémem řízení ochrany dat existují jasné pokyny, a to je k nezaplacení.

"Podstatné je, že ze systematizace ochrany dat profituje skutečně každá společnost - a to ve všech odvětvích a velikostech firem."

Stephan Rehfeld, odborník na ochranu dat a auditor společnosti DQS.

Nová norma ISO v žádném případě nevychází pouze ze zásad obecného nařízení o ochraně osobních údajů, ale má také podpořit společnosti v dodržování globálních standardů ochrany údajů. Cílem je zavedení, implementace, údržba a neustálé zlepšování systému PIMS.

Další výhoda: Orientace na rizika

Ve prospěch integrace normy ISO 27701 s normou ISO 27001 hovoří ještě jeden kladný bod. Zavedením normy ISO 27701 jsou společnosti prakticky "nuceny" zaujmout k ochraně osobních údajů přístup orientovaný na rizika. To zahrnuje například úplné definování a vyhodnocení rizik a odhad pravděpodobnosti, s jakou nastanou.

Toto posouzení rizik pak tvoří výchozí bod pro snížení konkrétního potenciálu poškození na přijatelnou úroveň. Mimochodem, tento úžasně pragmatický přístup najdeme v podobné podobě i u GDPR, takže kruh se uzavírá i z hlediska praktického významu.

Na první pohled: Výhody normy ISO 27701

• Norma ISO 27701 formuluje požadavky na systém řízení informací o ochraně osobních údajů.
• Pomocí normy ISO 27701 můžete identifikovat, vyhodnocovat a minimalizovat bezpečnostní rizika v oblasti ochrany osobních údajů v celkovém kontextu řízení bezpečnosti informací.
• Vedle normy ISO 27001 je ISO 27701 první certifikovatelnou mezinárodní normou, která potvrzuje ochranu údajů certifikátem (brzy: certifikát akreditovaný DAkkS od DQS).
• Norma ISO 27701 představuje důležitý vývoj v oblasti ochrany dat v Evropě i na mezinárodní úrovni.

Závěr: Systematický a strukturovaný přístup k řízení ochrany údajů

Pokud chcete bezpečně proplout mělčinami národních a mezinárodních předpisů o ochraně údajů, nevyhnete se strukturovanému a systematickému přístupu k tomuto tématu. V této souvislosti nabízí norma ISO 27701 vysokou přidanou hodnotu.

Ochranu a zabezpečení dat tak mohou zvládnout i středně velké společnosti a poskytuje vynikající plán pro ochranu dat v souladu s předpisy. Ten zahrnuje ucelenou sbírku osvědčených postupů, které mohou společnosti využít k tomu, aby s jistotou doložily, že při nakládání s kritickými daty postupují s náležitou péčí.

DQS: Jednoduše využívat kvalitu.

V souhře dynamiky a stability nabývají certifikované systémy řízení stále většího významu - tento vývoj vnímá společnost DQS pozitivně. Úspěšné společnosti a organizace totiž využívají zjištění z našich auditů k neustálému zlepšování svých výsledků. Naše celosvětově uznávané certifikáty používají také jako objektivní důkaz své schopnosti zajišťovat kvalitu. To vytváří důvěru - jak uvnitř, tak navenek vaší společnosti.

Odbornost a důvěra

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu textů nebo k našim službám pro jejich autora, kontaktujte nás.