Zarządzanie ochroną danych z certyfikatem

CONTENT

• Co znajduje się w normie ISO 27701?
• ISMS i PIMS: podobieństwa i różnice
• Cele ochrony danych osobowych a cele bezpieczeństwa informacji: Podobieństwa i różnice
• Certyfikacja ISO 27701 w zasięgu ręki
• ISO 27701: Duży krok w kierunku ochrony danych
• Tworzenie jasnej odpowiedzialności
• Dodatkowo: Orientacja na ryzyko
• Na pierwszy rzut oka: Zalety normy ISO 27701
• Wnioski: Systematyczne i uporządkowane podejście do ochrony danych
• DQS: Simply leveraging Quality.

Ochrona danych jako uzupełnienie systemu zarządzania

W idealnej sytuacji zarządzanie ochroną danych jest projektowane z pomocą międzynarodowego standardu, w tandemie z ISO 27001. Znana norma ISO/IEC 27001 zajmuje się wymaganiami dla systemu zarządzania bezpieczeństwem informacji (ISMS) i może być certyfikowana również dla tego obszaru zastosowań. Nowy standard ISO/IEC 27701 dotyczący zarządzania ochroną danych opiera się na normie ISO 27001 i dodaje do niej kryteria ochrony danych. To rozszerzenie integruje wymagania dotyczące systemu zarządzania informacjami o ochronie danych (DSMS lub Privacy Information Management System, PIMS) z systemem ISMS.

Pełny tytuł międzynarodowego standardu ochrony danych to:

Podobnie jak ISO 27001, również ISO 27701 uwzględnia podejście do systemu zarządzania i nawiązuje do podstawowej struktury współczesnych norm dotyczących systemów zarządzania - High Level Structure (HLS).

Nowy międzynarodowy standard jest częścią normy ISO 29100, która zawiera wszystkie zasady ochrony danych. Początkowo miała nosić tytuł ISO 27552, ale następnie zmieniono jej nazwę na ISO 27701. Tłem tego jest decyzja Międzynarodowej Organizacji Normalizacyjnej (ISO), aby wszystkie główne certyfikowane standardy kończyły się na 01.

Zarządzanie ochroną danych: Co jest w ISO 27701?

Zamiast "bezpieczeństwa informacji", nowa norma ochrony danych mówi o "bezpieczeństwie informacji i ochronie danych". Co więcej, w treści pojawiają się uzupełnienia. Na przykład przy rozważaniu kontekstu organizacji wymagane jest uwzględnienie odpowiednich przepisów dotyczących ochrony danych i orzeczeń sądowych. Podobnie kryteria dotyczące przetwarzania danych osobowych muszą być uwzględnione w ocenie ryzyka - przy czym zawsze należy pamiętać o ochronie osób poszkodowanych i ewentualnej ocenie wpływu.

Ponadto norma ISO 27701 zawiera uzupełnienia do normy ISO 27002, czyli wytyczne dotyczące wdrażania środków z załącznika A normy ISO 27001.

Norma ISO zawiera również następujące wskazówki dotyczące zarządzania ochroną danych:

• Rozszerzenie wytycznych i polityk o aspekty ochrony danych.
• Wyznaczenie osoby odpowiedzialnej (inspektora ochrony danych) w firmie za system zarządzania informacją o prywatności
• Szkolenie dla pracowników w zakresie ochrony danych
• Rejestrowanie dostępu i zmian
• Szyfrowanie, na przykład specjalnych kategorii danych osobowych, takich jak dane dotyczące zdrowia
• Uwzględnienie zasady "Privacy by Design".
• Przegląd incydentów bezpieczeństwa pod kątem naruszeń prywatności danych

W załączniku normy ISO 27701 znajduje się szczegółowa tabela przyporządkowania środków do wymagań GDPR. Tutaj staje się jasne, jaki wpływ ma unijne Ogólne Rozporządzenie o Ochronie Danych na ten międzynarodowy standard ochrony danych.

ISMS i PIMS: podobieństwa i różnice

Systemy zarządzania bezpieczeństwem informacji (ISMS) i systemy zarządzania informacjami o prywatności (PIMS) są ze sobą ściśle powiązane.

Prywatność i bezpieczeństwo danych dotyczą danych osobowych. Seria norm ISO 27000 dotyczy przede wszystkim ochrony informacji, przy czym dane osobowe stanowią jej podzbiór. Czyli perspektywa decyduje o tym, czy coś jest naruszeniem danych, czy incydentem bezpieczeństwa informacji, a może nawet jednym i drugim?

"Korzyść z wprowadzenia ISO 27701? Wyostrza nacisk na aspekty ochrony danych w systemie zarządzania bezpieczeństwem informacji!"

Stephan Rehfeld, ekspert ds. ochrony danych i audytor w DQS

Tam, gdzie w normie ISO 27001 lub ISO 27002 użyto terminu "bezpieczeństwo informacji", w normie ISO 27701 jest on określany jako "bezpieczeństwo informacji i ochrona danych". To uzupełnienie sprawia, że ochrona danych jest częścią systemu zarządzania bezpieczeństwem informacji.

Istnieją jednak również odstępstwa, w których PIMS funkcjonuje inaczej niż ISMS. Jeden z przykładów: odmienne rozumienie kontekstu organizacji. W normie ISO 27701, w klauzuli 4.1, znajduje się dodatkowe wymaganie w stosunku do normy ISO 27001, że "organizacja powinna określić swoją rolę jako strona odpowiedzialna lub współkontroler w przypadku wspólnej odpowiedzialności i/lub jako procesor kontraktowy."

Wymóg ten nie występuje w Systemie Zarządzania Bezpieczeństwem Informacji, ponieważ ISMS nie uznaje rozróżnienia pomiędzy "Kontrolerem" a "Przetwarzającym". W związku z tym ISO 27701 zawiera dwa dodatkowe załączniki ze środkami specyficznymi dla ochrony danych dla "administratorów" i "procesorów".

Cele ochrony danych i cele bezpieczeństwa informacji: Podobieństwa i różnice

ISO 29100 definiuje zasady ochrony danych, które powinien spełniać własny system zarządzania firmy. Artykuł 5 ogólnego rozporządzenia o ochronie danych (GDPR) pokazuje, jakie cele ochrony danych mają być osiągnięte za pomocą artykułów operacyjnych GDPR. Zasady i cele są w dużej mierze zbieżne. Wynika to z faktu, że OECD zdefiniowała cele ochrony danych w 1980 roku. Posłużyły one za podstawę zarówno ISO 29100, jak i GDPR.

W systemie zarządzania bezpieczeństwem informacji (ISMS) można znaleźć cele dotyczące bezpieczeństwa informacji: poufność, integralność, dostępność. Znajdują się one również odpowiednio w art. 5 i art. 32 DS-GVO. Istotną różnicą jest jednak definicja "zainteresowanych stron" w ISMS. Są to np. pracownicy własnej firmy, klienci, dostawcy, inwestorzy czy władze. Z kolei w ochronie danych osobowych stroną zainteresowaną jest jedynie osoba, której dane dotyczą.

Tym samym zarządzanie ryzykiem ochrony danych różni się również od zarządzania ryzykiem bezpieczeństwa informacji. W związku z tym ISMS nie może być stosowany jeden do jednego jako PIMS z jego procesami specyficznymi dla ochrony danych. Niemniej jednak istnieją możliwości integracji, tak aby np. mogły odbywać się wspólne audyty wewnętrzne.

Zarządzanie ochroną danych: Certyfikat ISO 27701 w zasięgu ręki

W zakresie certyfikacji, nowa norma ISO 27701 będzie w przyszłości uzupełniać ISO 27001 - i będzie to pierwsza norma potwierdzająca ochronę danych certyfikatem. W tym celu DQS jest obecnie w trakcie procesu akredytacji w niemieckiej jednostce akredytacyjnej (DAkkS) i spodziewa się, że wkrótce otrzyma akceptację. Ponieważ norma ISO 27701 została zaprojektowana jako rozszerzenie normy ISO 27001, system zarządzania ochroną danych według ISO 27701 nie może być certyfikowany bez systemu zarządzania bezpieczeństwem informacji według ISO 27001.

ISO 27701: Duży krok w kierunku zarządzania ochroną danych

Każdy, kto opracował i wdrożył systematyczny system zarządzania ochroną danych (PIMS) zgodnie z normą ISO 27701 - innymi słowy, każdy, kto systematycznie chroni dane osobowe i zarządza nimi - łatwo zapewni i wykaże zgodność z wymogami prawnymi. Firmy mogą wykorzystać nową normę do ustanowienia w dużej mierze zgodnego z ochroną danych bezpieczeństwa informacji i odpowiedniej ochrony danych.

Stwórz jasny zakres odpowiedzialności dzięki ISO 27701

Podczas wdrażania nowej normy ISO firmy nie mogą uniknąć zdefiniowania jasnych obowiązków w obszarze ochrony danych. Nie należy lekceważyć tej zalety. W większości firm bez systematycznego systemu zarządzania ochroną danych, obowiązki są zbyt często formułowane w sposób miękki z niezrozumiałej grzeczności ("Czy mógłbyś to przejąć w przyszłości?"). Albo obowiązki są dzielone, zgodnie z hasłem "Zrobimy to razem!". Oba te sposoby nieuchronnie prowadzą do tego, że w końcu nikt nie bierze na siebie odpowiedzialności. Przy dobrze zorganizowanym systemie zarządzania ochroną danych istnieją jasne wytyczne, a to jest bezcenne.

"Wniosek jest taki, że każda firma naprawdę korzysta z usystematyzowania ochrony danych - we wszystkich branżach i rozmiarach firm".

Stephan Rehfeld, ekspert ds. ochrony danych i audytor w DQS

Nowy standard ISO w żadnym wypadku nie opiera się wyłącznie na zasadach ogólnego rozporządzenia o ochronie danych, ale ma również wspierać firmy w przestrzeganiu globalnych standardów ochrony danych. Celem jest ustanowienie, wdrożenie, utrzymanie i ciągłe doskonalenie systemu PIMS.

Kolejna zaleta: Orientacja na ryzyko

Jest jeszcze jeden plus przemawiający za integracją ISO 27701 z ISO 27001. Wraz z wprowadzeniem ISO 27701, firmy są praktycznie "zmuszone" do przyjęcia zorientowanego na ryzyko podejścia do ochrony danych osobowych. Obejmuje to na przykład pełne zdefiniowanie i ocenę ryzyka oraz oszacowanie prawdopodobieństwa jego wystąpienia.

Taka ocena ryzyka stanowi następnie punkt wyjścia do zredukowania konkretnego potencjału szkody do akceptowalnego poziomu. Nawiasem mówiąc, to cudownie pragmatyczne podejście w podobnej formie odnajdujemy również w przypadku GDPR, więc pod względem praktycznego znaczenia koło się zamyka.

Na pierwszy rzut oka: Zalety normy ISO 27701

• ISO 27701 formułuje wymagania dotyczące systemu zarządzania informacjami o prywatności.
• Dzięki ISO 27701 można zidentyfikować, ocenić i zminimalizować ryzyko związane z ochroną danych w ogólnym kontekście zarządzania bezpieczeństwem informacji.
• Oprócz ISO 27001, ISO 27701 jest pierwszym certyfikowanym międzynarodowym standardem, który potwierdza ochronę danych certyfikatem (wkrótce: certyfikat akredytowany przez DAkkS od DQS).
• ISO 27701 to ważny rozwój dla ochrony danych w Europie i na świecie.

Wnioski: Systematyczne i uporządkowane podejście do zarządzania ochroną danych

Jeśli chcesz bezpiecznie poruszać się po mieliznach krajowych i międzynarodowych regulacji dotyczących ochrony danych, nie możesz uniknąć podejścia do tematu w sposób ustrukturyzowany i systematyczny. W tym kontekście ISO 27701 oferuje wysoką wartość dodaną.

Ochrona danych i bezpieczeństwo danych mogą być zatem opanowane również przez średnie firmy i stanowi doskonały schemat ochrony danych zgodnej z przepisami. Obejmuje ona obszerny zbiór najlepszych praktyk, które firmy mogą wykorzystać, aby pewnie udokumentować, że zachowują należytą staranność przy przetwarzaniu krytycznych danych.

DQS: Simply leveraging Quality.

W połączeniu dynamiki i stabilności, certyfikowane systemy zarządzania stają się coraz ważniejsze - jest to rozwój, który DQS odczuwa w sposób pozytywny. Dzieje się tak dlatego, że firmy i organizacje odnoszące sukcesy wykorzystują wyniki naszych audytów do ciągłej poprawy swoich wyników. Używają również naszych globalnie uznanych certyfikatów jako obiektywnego dowodu ich zdolności jakościowych. To tworzy zaufanie - zarówno wewnętrzne, jak i zewnętrzne w stosunku do Państwa firmy.

Ekspertyza i zaufanie

Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. norm lub wieloletnich audytorów. W przypadku pytań dotyczących treści tekstów lub naszych usług dla autora, prosimy o kontakt.