datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Správa ochrany údajov s certifikátom

Holger Schmeken

Expert DQS pre informačnú bezpečnosť
feb 09 , 2022
# Bezpečnosť informácií a ochrana údajov

Mnohé spoločnosti hľadajú certifikát na preukázanie starostlivých a účinných opatrení na ochranu údajov. Všeobecné nariadenie EÚ o ochrane údajov stanovuje aj certifikáciu ochrany údajov. S normou ISO 27701 bola v auguste 2019 zverejnená nová norma na preukázanie implementácie nariadení o ochrane údajov. Tento nový medzinárodný štandard je teraz možné aj certifikovať.

OBSAH

Ochrana údajov ako doplnok systému riadenia

V ideálnom prípade je riadenie ochrany údajov navrhnuté s pomocou medzinárodnej normy, spolu s normou ISO 27001. Známa norma ISO/IEC 27001 sa zaoberá požiadavkami na systém riadenia bezpečnosti informácií (ISMS) a môže byť certifikovaná aj pre túto oblasť použitia. Nová norma ISO/IEC 27701 pre riadenie ochrany údajov vychádza z normy ISO 27001 a dopĺňa ju o kritériá ochrany údajov. Toto rozšírenie integruje požiadavky na systém riadenia ochrany informácií (DSMS alebo systém riadenia informácií o ochrane osobných údajov, PIMS) do ISMS.

Úplný názov medzinárodnej normy na ochranu údajov je:

ISO/IEC 27701:2019 - Bezpečnostné techniky - Rozšírenie noriem ISO/IEC 27001 a ISO/IEC 27002 o riadenie informácií o ochrane súkromia - Požiadavky a usmernenia.

Norma je k dispozícii na webovej stránke ISO.

Podobne ako norma ISO 27001, aj norma ISO 27701 zohľadňuje prístup systému riadenia a odkazuje na základnú štruktúru moderných noriem systému riadenia, štruktúru vysokej úrovne (HLS).

"Skúsenosti ukázali, že každý, kto zaviedol alebo certifikoval niekoľko noriem ISO, môže veľmi ľahko integrovať normu ISO 27701 vďaka štruktúre vysokej úrovne. Obvyklým scenárom je tu samozrejme začlenenie normy ISO 27701 do normy ISO 27001."

Stephan Rehfeld, expert na ochranu údajov a audítor v spoločnosti DQS

Nová medzinárodná norma je súčasťou normy ISO 29100, ktorá obsahuje všetky zásady ochrany údajov. Pôvodne sa mala nazývať ISO 27552, ale potom bola premenovaná na ISO 27701. V pozadí tohto kroku je rozhodnutie Medzinárodnej organizácie pre normalizáciu (ISO), aby všetky hlavné certifikovateľné normy končili rokom 01.

Riadenie ochrany údajov: Čo obsahuje norma ISO 27701?

Namiesto "bezpečnosti informácií" sa v novej norme o ochrane údajov hovorí o "bezpečnosti informácií a ochrane údajov". Okrem toho sú v nej aj doplnenia obsahu. Napríklad pri posudzovaní kontextu organizácie sa vyžaduje zahrnutie príslušných zákonov o ochrane údajov a súdnych rozhodnutí. Rovnako sa pri posudzovaní rizík musia zohľadniť kritériá spracúvania osobných údajov - vždy s ohľadom na ochranu dotknutých osôb a možné posúdenie vplyvu.

Okrem toho norma ISO 27701 obsahuje doplnky k norme ISO 27002, návod na implementáciu opatrení z prílohy A normy ISO 27001.

Norma ISO poskytuje aj nasledujúce usmernenia týkajúce sa riadenia ochrany údajov:

  • Rozšírenie usmernenia a politík o aspekty ochrany údajov.
  • Vymenovanie zodpovednej osoby (úradníka pre ochranu údajov) v spoločnosti za systém riadenia informácií o ochrane osobných údajov
  • Školenie zamestnancov o ochrane údajov
  • Zaznamenávanie prístupov a zmien
  • Šifrovanie, napríklad osobitných kategórií osobných údajov, ako sú zdravotné údaje
  • Zohľadnenie zásady "Privacy by Design".
  • Preskúmanie bezpečnostných incidentov z hľadiska porušenia ochrany osobných údajov

Riadenie ochrany údajov podľa normy ISO 27701

Ochrana údajov v kontexte informačnej bezpečnosti - vzrušujúca téma? Viac odborných poznatkov o norme ISO 27701 nájdete v našej bezplatnej Bielej knihe.

Stiahnite si bielu knihu o norme ISO 27701 a zistite viac

Príloha normy ISO 27701 obsahuje podrobnú tabuľku priradenia opatrení k požiadavkám nariadenia GDPR. Tu je jasné, aký vplyv má všeobecné nariadenie EÚ o ochrane údajov na túto medzinárodnú normu na ochranu údajov.

ISMS a PIMS: podobnosti a rozdiely

Systémy riadenia bezpečnosti informácií (ISMS) a systémy riadenia informácií o ochrane osobných údajov (PIMS) sú úzko prepojené.

Ochrana súkromia a bezpečnosť údajov sa týkajú osobných údajov. Séria noriem ISO 27000 je predovšetkým o ochrane informácií, pričom osobné údaje sú jej podmnožinou. Hľadisko teda určuje, či je niečo porušením ochrany údajov alebo incidentom informačnej bezpečnosti, alebo dokonca oboje?

"Prínos normy ISO 27701? Zostruje dôraz na aspekty ochrany údajov v systéme riadenia informačnej bezpečnosti!"

Stephan Rehfeld, expert na ochranu údajov a audítor v spoločnosti DQS

Tam, kde sa v normách ISO 27001 alebo ISO 27002 používa pojem "bezpečnosť informácií", sa v norme ISO 27701 nazýva "bezpečnosť informácií a ochrana údajov". Týmto doplnením sa ochrana údajov stáva súčasťou systému riadenia bezpečnosti informácií.

Existujú však aj odchýlky, pri ktorých PIMS funguje inak ako ISMS. Jeden príklad: odlišné chápanie kontextu organizácie. V norme ISO 27701 je v ustanovení 4.1 oproti norme ISO 27001 doplnená požiadavka, že "organizácia by mala definovať svoju úlohu ako zodpovedná strana alebo spoločný kontrolór pre spoločné zodpovednosti a/alebo ako zmluvný spracovateľ".

Táto požiadavka sa v systéme riadenia informačnej bezpečnosti nenachádza, pretože ISMS nepozná rozdiel medzi "kontrolórom" a "spracovateľom". V dôsledku toho norma ISO 27701 obsahuje dve ďalšie prílohy s opatreniami špecifickými pre ochranu údajov pre "prevádzkovateľov" a "spracovateľov".

Ciele ochrany údajov a ciele informačnej bezpečnosti: Podobnosti a rozdiely

Norma ISO 29100 definuje zásady ochrany údajov, ktoré by mal spĺňať vlastný systém riadenia spoločnosti. V článku 5 všeobecného nariadenia o ochrane údajov (GDPR) sa uvádza, ktoré ciele ochrany údajov sa majú dosiahnuť pomocou prevádzkových článkov GDPR. Zásady a ciele sa do veľkej miery zhodujú. Je to preto, že OECD definovala ciele ochrany údajov v roku 1980. Tie slúžili ako základ pre normu ISO 29100 aj pre nariadenie GDPR.

V systéme riadenia bezpečnosti informácií (ISMS) sa nachádzajú ciele bezpečnosti informácií dôvernosť, integrita, dostupnosť. Tie sa nachádzajú aj v článku 5, resp. v článku 32 DS-GVO. Hlavným rozdielom je však definícia "zainteresovaných strán" v systéme ISMS. Patria sem napríklad vlastní zamestnanci spoločnosti, zákazníci, dodávatelia, investori alebo orgány. Na druhej strane v oblasti ochrany údajov je zainteresovanou stranou len dotknutá osoba.

Preto sa aj riadenie rizík ochrany údajov líši od riadenia rizík informačnej bezpečnosti. V dôsledku toho sa ISMS nemôže používať jedna k jednej ako PIMS so svojimi procesmi špecifickými pre ochranu údajov. Napriek tomu existujú možnosti integrácie, aby sa napríklad mohli vykonávať spoločné interné audity.

Riadenie ochrany údajov: ISO 27701 na dosah

Pokiaľ ide o certifikáciu, nová norma ISO 27701 v budúcnosti doplní normu ISO 27001 - a bude prvou normou, ktorá bude potvrdzovať ochranu údajov certifikátom. Na tento účel je spoločnosť DQS v súčasnosti v akreditačnom procese s nemeckým akreditačným orgánom (DAkkS) a očakáva, že čoskoro získa schválenie. Keďže norma ISO 27701 je navrhnutá ako rozšírenie normy ISO 27001, systém riadenia ochrany údajov podľa normy ISO 27701 nemožno certifikovať bez systému riadenia bezpečnosti informácií podľa normy ISO 27001.

ISO 27701: Veľký krok k riadeniu ochrany údajov

Každý, kto vytvoril a zaviedol systematický systém riadenia ochrany údajov (PIMS) podľa normy ISO 27701 - inými slovami, každý, kto systematicky chráni a spravuje svoje osobné údaje - ľahko zabezpečí a preukáže súlad so zákonnými požiadavkami. Spoločnosti môžu novú normu využiť na zavedenie informačnej bezpečnosti vo veľkej miere v súlade s ochranou údajov a zodpovedajúcej ochrany údajov.

Vytvorte si jasné zodpovednosti pomocou normy ISO 27701

Pri zavádzaní novej normy ISO sa spoločnosti nevyhnú definovaniu jasných povinností v oblasti ochrany údajov. Táto výhoda by sa nemala podceňovať. Vo väčšine spoločností bez systematického systému riadenia ochrany údajov sa zodpovednosti príliš často formulujú mäkko z nepochopenej zdvorilosti ("Mohli by ste to v budúcnosti prevziať?"). Alebo sú zodpovednosti rozdelené podľa hesla "Urobíme to spolu!". Oboje nevyhnutne vedie k tomu, že zodpovednosť nakoniec neprevezme nikto. Pri dobre štruktúrovanom systéme riadenia ochrany údajov existujú jasné usmernenia, a to je na nezaplatenie.

"Pointa je, že zo systematizácie ochrany údajov profituje naozaj každá spoločnosť - vo všetkých odvetviach a veľkostiach firiem."

Stephan Rehfeld, expert na ochranu údajov a audítor spoločnosti DQS

Nová norma ISO v žiadnom prípade nevychádza len zo zásad všeobecného nariadenia o ochrane údajov, ale má tiež podporiť spoločnosti pri dodržiavaní globálnych noriem ochrany údajov. Cieľom je vytvoriť, zaviesť, udržiavať a neustále zlepšovať systém PIMS.

Ďalšia výhoda: Orientácia na riziko

V prospech integrácie normy ISO 27701 s normou ISO 27001 hovorí aj ďalší plusový bod. Zavedením normy ISO 27701 sú spoločnosti prakticky "nútené" zaujať k ochrane osobných údajov prístup orientovaný na riziko. To zahŕňa napríklad úplné vymedzenie a posúdenie rizík a odhad pravdepodobnosti ich výskytu.

Toto posúdenie rizík potom tvorí východisko pre zníženie konkrétneho potenciálu poškodenia na prijateľnú úroveň. Mimochodom, tento úžasne pragmatický prístup v podobnej podobe nájdeme aj pri GDPR, takže kruh sa uzatvára aj z hľadiska praktického významu.

Na prvý pohľad: Výhody normy ISO 27701

  • Norma ISO 27701 formuluje požiadavky na systém riadenia informácií o ochrane osobných údajov.
  • Pomocou normy ISO 27701 môžete identifikovať, posúdiť a minimalizovať bezpečnostné riziká v oblasti ochrany údajov v celkovom kontexte riadenia bezpečnosti informácií.
  • Okrem normy ISO 27001 je ISO 27701 prvou certifikovateľnou medzinárodnou normou, ktorá potvrdzuje ochranu údajov certifikátom (čoskoro: certifikát akreditovaný DAkkS od DQS).
  • Norma ISO 27701 predstavuje dôležitý vývoj v oblasti ochrany údajov v Európe a na medzinárodnej úrovni.

Záver: Systematický a štruktúrovaný prístup k riadeniu ochrany údajov

Ak sa chcete bezpečne pohybovať po plytčinách vnútroštátnych a medzinárodných predpisov o ochrane údajov, nemôžete sa vyhnúť štruktúrovanému a systematickému prístupu k tejto téme. V tejto súvislosti ponúka norma ISO 27701 vysokú pridanú hodnotu.

Ochranu a bezpečnosť údajov tak môžu zvládnuť aj stredne veľké spoločnosti a poskytuje vynikajúci plán na ochranu údajov v súlade s predpismi. Zahŕňa komplexnú zbierku osvedčených postupov, ktoré môžu spoločnosti použiť na spoľahlivé zdokumentovanie toho, že pri nakladaní s kritickými údajmi uplatňujú náležitú starostlivosť.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Radi vám odpovieme na vaše otázky

Aké sú požiadavky na certifikáciu podľa normy ISO 27701 a aké sú náklady? Zistite to. Bezplatne a nezáväzne.

Tešíme sa na vaše správy

DQS: Jednoduché využitie kvality.

V súhre dynamiky a stability nadobúdajú certifikované systémy manažérstva čoraz väčší význam - vývoj, ktorý spoločnosť DQS pociťuje pozitívne. Úspešné spoločnosti a organizácie totiž využívajú zistenia z našich auditov na neustále zlepšovanie svojich výsledkov. Zároveň využívajú naše celosvetovo uznávané certifikáty ako objektívny dôkaz svojej schopnosti dosahovať kvalitu. To vytvára dôveru - internú aj externú voči vašej spoločnosti.

Odbornosť a dôvera

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu textu alebo našich služieb pre nášho autora, kontaktujte nás.

Autor
Holger Schmeken

Produktový manažér a expert na informačnú bezpečnosť a vývoj softvéru. Holger Schmeken prispieva svojimi odbornými znalosťami aj ako audítor pre ISO 27001 s kompetenciou pre audítorské postupy KRITIS.

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás