Upravljanje zaštitom podataka uz certifikat

SADRŽAJ

• Što se nalazi u ISO 27701?
• ISMS i PIMS: Sličnosti i razlike
• Ciljevi zaštite podataka i ciljevi informacijske sigurnosti: Sličnosti i razlike
• Certifikacija prema ISO 27701 nadohvat ruke
• ISO 27701: Veliki korak prema zaštiti podataka
• Stvaranje jasnih odgovornosti
• Prednost: Pristup temeljen na rizicima
• Kratki pregled: Prednosti ISO 27701
• Zaključak: Sistematičan i strukturiran pristup zaštiti podataka
• DQS: Simply leveraging Quality.

Zaštita podataka kao dodatak sustavu upravljanja 

Upravljanje zaštitom podataka dizajnirano je uz pomoć međunarodnog standarda, uz ISO 27001. Dobro poznati standard ISO/IEC 27001 bavi se zahtjevima za sustav upravljanja informacijskom sigurnošću (ISMS) te se također može certificirati za ovo područje primjene. Novi ISO/IEC 27701 standard za upravljanje zaštitom podataka nadograđuje ISO 27001 i dodaje mu kriterije za zaštitu podataka. Ovo proširenje integrira zahtjeve sustava upravljanja informacijama za zaštitu podataka (data protection information management system - DSMS ili sustav upravljanja privatnošću informacija - Privacy Information Management System - PIMS) u sustav upravljanja informacijskom sigurnošću (ISMS).

Puni naziv međunarodnog standarda za zaštitu podataka je: 

Kao i ISO 27001, ISO 27701 također uzima u obzir pristup sustavu upravljanja te se referira na temeljnu strukturu modernih standarda za sustave upravljanja, Strukturu visoke razine (High Level Structure - HLS).

Novi međunarodni standard dio je ISO 29100, koji sadrži sve principe zaštite podataka. Prvotno je trebao nositi naziv ISO 27552, ali je kasnije preimenovan u ISO 27701. Pozadina ove odluke Međunarodne organizacije za normizaciju (International Organization for Standardization - ISO) je ta da svi veći standardi za certifikaciju završavaju na 01.

Upravljanje zaštitom podataka: Što se nalazi u ISO 27701?

Umjesto "informacijske sigurnosti", novi standard za zaštitu podataka govori o "informacijskoj sigurnosti i zaštiti podataka". Štoviše, sadržaj se proširuje. Na primjer, kada se gleda kontekst organizacije, nužno je uključiti odgovarajuće zakone i zakonske odluke o zaštiti podataka. Također, kriteriji za obradu osobnih podataka trebaju se uzeti u obzir pri procjeni rizika - uvijek imajući na umu zaštitu osoba na koje se to odnosi i moguću procjenu utjecaja.

Uz to, ISO 27701 sadrži i dodatke normi ISO 27002, smjernice za implementaciju mjera iz Dodatka A ISO 27001.

Ovaj ISO standard donosi sljedeće smjernice za upravljanje zaštitom podataka:

• Proširenje smjernica i politika kako bi se uključili aspekti zaštite podataka
• Imenovanje odgovorne osobe (službenik za zaštitu podataka) u poduzeću za sustav upravljanja privatnošću informacija
• Edukacija o zaštiti podataka za zaposlenike
• Bilježenje pristupa i promjena
• Šifriranje, na primjer, posebnih kategorija osobnih podataka kao što su zdravstveni podaci
• Razmatranje principa "Privatnost po dizajnu"
• Pregled sigurnosnih incidenata vezanih za kršenje privatnosti podataka

Dodatak standarda ISO 27701 sadrži detaljnu tablicu raspodjele mjera prema zahtjevima Opće uredbe za zaštitu podataka (GDPR). Ovdje postaje jasno koliki utjecaj navedena Uredba Europske unije ima na ovaj međunarodni standard za zaštitu podataka.

ISMS i PIMS: Sličnosti i razlike

Sustavi upravljanja informacijskom sigurnošću (ISMS) i sustavi upravljanja privatnošću informacija (PIMS) usko su povezani.

Kod privatnosti i sigurnosti podataka radi se o osobnim podacima. U nizu normi ISO 27000 primarno se radi o zaštiti informacija, dok su osobni podaci podskup. Stoga je perspektiva odlučujući faktor u tome je li nešto povreda podataka ili incident informacijske sigurnosti, ili čak oboje?

"Prednost norme ISO 27701? Izoštrava fokus na aspekte zaštite podataka u sustavu upravljanja informacijskom sigurnošću!"

Stephan Rehfeld, stručnjak za zaštitu podataka i auditor DQS-a

Na mjestima gdje se naziv "informacijska sigurnost" koristi u normama ISO 27001 ili ISO 27002, u ISO 27701 koristi se "informacijska sigurnost i zaštita podataka". Ovaj dodatak čini zaštitu podataka dijelom sustava upravljanja informacijskom sigurnošću.

Ipak, postoje i odstupanja u kojima PIMS funkcionira drugačije od ISMS-a. Na primjer, različito razumijevanje konteksta organizacije. U ISO 27701, u Točki 4.1, postoji dodatni zahtjev uz ISO 27001 da "organizacija treba definirati svoju ulogu kao odgovornu stranu ili zajedničkog kontrolora za dijeljene odgovornosti i/ili izvršitelja ugovora".

Ovaj se zahtjev ne nalazi u sustavu upravljanja informacijskom sigurnošću jer sustav ne prepoznaje razliku između "kontrolora" i "izvršitelja". Zbog toga ISO 27701 sadrži još dva dodatka s mjerama specifičnima za zaštitu podataka za "kontrolore" i "izvršitelje".

Ciljevi zaštite podataka i ciljevi informacijske sigurnosti: Sličnosti i razlike 

ISO 29100 definira principe zaštite podataka koje treba ispunjavati sustav upravljanja nekog poduzeća. Članak 5 Opće uredbe o zaštiti podataka (GDPR) pokazuje koje je ciljeve zaštite podataka potrebno ispuniti prema provedbenim člancima GDPR-a. Principi i ciljevi se uvelike podudaraju. Razlog tome je definiranje ciljeva zaštite podataka 1980. godine od strane OECD-a. Ovo je koristilo kao osnova i za ISO 29100 i za GDPR.

U sustavu upravljanja informacijskom sigurnošću, ciljevi informacijske sigurnosti su povjerljivost, integritet i dostupnost. To se nalazi i u Članku 5 i Članku 32 Opće uredbe o zaštiti podataka. Ipak, velika je razlika u definiciji "zainteresiranih strana" u sustavu upravljanja informacijskom sigurnošću. To uključuje, na primjer, zaposlenike poduzeća, klijente, dobavljače, investitore ili upravu. U zaštiti podataka, s druge strane, zainteresirana strana je samo subjekt podataka.

Stoga se upravljanje rizicima u zaštiti podataka također razlikuje od upravljanja rizicima u informacijskoj sigurnosti. Posljedično, sustav upravljanja informacijskom sigurnošću ne može se koristiti umjesto sustava upravljanja privatnošću informacija sa svojim procesima specifičnima za zaštitu podataka. Ipak, postoje prilike za integraciju tako da se, na primjer, mogu provoditi zajednički interni auditi.

Upravljanje zaštitom podataka: Certifikacija prema ISO 27701 nadohvat ruke

Kada se radi o certifikaciji, novi standard ISO 27701 u budućnosti će nadopunjavati ISO 27001 - i bit će prvi standard koji certifikatom potvrđuje zaštitu podataka. Zbog toga se DQS trenutno nalazi u procesu akreditacije pri akreditacijskom tijelu Savezne Republike NJemačke (DAkkS) te se očekuje da će uskoro uspješno završiti proces akreditacije. S obzirom na to da je ISO 27701 dizajniran kao produžetak ISO 27001, sustav upravljanja zaštitom podataka prema ISO 27701 ne može biti certificiran bez sustava upravljanja informacijskom sigurnošću prema ISO 27001.

ISO 27701: Veliki korak prema upravljanju zaštitom podataka

Svakome tko je razvio i implementirao sveobuhvatni sustav upravljanja zaštitom podataka (PIMS) prema ISO 27701 - drugim riječima, tko sustavno štiti i upravlja svojim osobnim podacima - bit će lako osigurati i dokazati usklađenost sa zakonskim zahtjevima. Poduzeća mogu koristiti novi standard kako bi uspostavila informacijsku sigurnost koja je uvelike usklađena sa zaštitom podataka, te odgovarajuću zaštitu podataka.

Stvorite jasne odgovornosti s ISO 27701

Pri implementaciji novog ISO standarda poduzeća ne mogu izbjeći definiranje jasnih odgovornosti u području zaštite podataka. Ova prednost ne bi se trebala podcjenjivati. U većini poduzeća bez sveobuhvatnog sustava upravljanja zaštitom podataka, odgovornosti su često oblikovane na nejasan način iz pogrešno shvaćene pristojnosti ("Možete li ubuduće preuzeti ovo"?). Ili su odgovornosti podijeljene prema načelu "Učinit ćemo to zajedno"! Oboje neizbježno vodi do toga da nitko na kraju ne preuzme odgovornost. Uz kvalitetno strukturiran sustav upravljanja zaštitom podataka, postoje jasne smjernice, a to je neprocjenjivo.

"Poanta je u tome da svakom poduzeću uistinu koristi sistematizacija njegove zaštite podataka - u svim industrijama i za sve veličine poduzeća."

Stephan Rehfeld, stručnjak za zaštitu podataka i auditor DQS-a

Novi ISO standard nije temeljen isključivo na Općoj uredbi o zaštiti podataka, već je namijenjen i za potporu poduzećima u postizanju usklađenosti s globalnim standardima zaštite podataka. Cilj je uspostava, implementacija, održavanje i kontinuirano poboljšavanje sustava upravljanja privatnošću informacija.

Još jedna prednost: Pristup temeljen na rizicima

Postoji još jedna prednost integracije ISO 27701 s ISO 27001. Uvođenjem ISO 27701, poduzeća su gotovo "prisiljena" koristiti pristup temeljen na rizicima u zaštiti osobnih podataka. To uključuje, na primjer, potpuno definiranje i procjenu rizika te procjenu vjerojatnosti njihove pojave. 

Procjena rizika tada postaje početna točka u smanjenju konkretne mogućnosti povreda na prihvatljivu razinu. Uz to, za nas je ovaj sjajni pragmatični pristup sličan pristupu GDPR-a, tako da je praktična važnost zaista prisutna.

Kratki pregled: Prednosti ISO 27701

• ISO 27701 donosi zahtjeve za sustav upravljanja privatnošću informacija.
• S ISO 27701 možete odrediti, procijeniti i svesti na minimum sigurnosne rizike u zaštiti podataka u širem kontekstu vašeg upravljanja informacijskom sigurnošću.
• Uz ISO 27001, ISO 27701 je prvi međunarodni standard koji se može certificirati, a koji certifikatom potvrđuje zaštitu podataka (uskoro: DQS-ov certifikat akreditiran od strane DAkkS-a).
• ISO 27701 važan je korak u razvoju zaštite podataka u Europi i međunarodno.

Zaključak: Sistematičan i strukturiran pristup upravljanju zaštitom podataka 

Ako želite sigurno ploviti morima domaćih i međunarodnih regulativa zaštite podataka, morat ćete tome pristupiti na strukturiran i sistematičan način. U tom kontekstu, ISO 27701 nudi visoku dodanu vrijednost. 

Zaštitu podataka i sigurnost podataka stoga mogu usvojiti i srednja poduzeća, što stvara izvrstan temelj za usklađenost - usklađenu zaštitu podataka. To uključuje i niz najboljih praksi koje poduzeća mogu primjenjivati kako bi na povjerljiv način dokumentirala svoje provođenje dubinske analize pri obradi kritičnih podataka.

DQS: Simply leveraging Quality.

Pri stalnim izmjenama dinamike i stabilnosti, certificirani sustavi upravljanja postaju sve važniji – to je razvoj koji je za DQS pozitivan. Razlog tome je činjenica da uspješna poduzeća i organizacije koriste rezultate naših audita kako bi stalno poboljšavali svoje rezultate. Oni također koriste naše globalno prepoznate certifikate kao objektivan dokaz svoje kvalitete. To gradi povjerenje - i iznutra i izvana prema vašem poduzeću.

Stručnost i povjerenje

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate pitanja za naše autore u vezi sadržaja tekstova ili naših usluga, slobodno nas kontaktirajte.