ISO 27701:2019 może być używane do weryfikacji zgodności z przepisami dotyczącymi prywatności i jest rozszerzeniem ISO 27001. Norma dodaje szeroki zakres aspektów istotnych dla ochrony prywatności. Oficjalna nazwa normy to „ISO/IEC 27701:2019-08 – Technologia informacyjna – Techniki bezpieczeństwa – Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o ochronie prywatności – Wymagania i wytyczne”.
Tytuł wskazuje już na relację tematyczną w ramach rodziny norm ISO 27000 i pokazuje, jak silnie powiązane są bezpieczeństwo informacji i prywatność. Zarówno standardy, jak i połączony system zarządzania opierają się na zasadach poufności, integralności oraz dostępności danych i informacji. Dlatego interakcja tych norm ISO nie jest zaskakująca i zaleca się ich wspólne wdrożenie.
Oprócz Systemu Zarządzania Bezpieczeństwem Informacji (ISMS) w ISO 27001, ISO 27701 zawiera szczegółowe wytyczne dotyczące wdrażania Systemu Zarządzania Informacjami o Ochronie Prywatności (PIMS) – jako integralnej części istniejącego ISMS (lub SZBI po polsku), w szczególności rozszerzonej o aspekty prywatności danych. PIMS zapewnia lepszą kontrolę nad danymi osobowymi (PII), daje możliwość zarządzania tymi PII i, w razie potrzeby, udostępniania ich innym użytkownikom.
Dzięki wdrożonemu systemowi zarządzania wg ISO 27701 organizacja osiąga systematyczny dalszy rozwój, w tym optymalizację procesów w obszarze ochrony prywatności. Audity wewnętrzne i zewnętrzne wspierają ten proces.
Korzyści z certyfikacji dla organizacji są zatem oczywiste:
- Zapewnia systematyczne i jasne narzędzie zarządzania i system kontroli dla wszystkich kwestii ochrony prywatności, które należy rozwiązać, oraz do przetwarzania danych wrażliwych i danych osobowych.
- Dowodzi to, że przetwarzanie danych osobowych jest zgodne z wymogami RODO (ogólne rozporządzenie o ochronie danych).
- Podejście oparte na ryzyku może zidentyfikować i zapobiec możliwym obszarom odpowiedzialności na wczesnym etapie.
- Zintegrowane podejście PIMS w stosunku do bezpieczeństwa informacji i prywatności ma kilka zalet zintegrowanych systemów zarządzania, takich jak szybkie wdrożenie, wspólny proces zarządzania ryzykiem i znaczny wzrost wydajności dzięki licznym efektom synergii.
CIS jest jednym z pierwszych akredytowanych na arenie międzynarodowej dostawców, który oferuje certyfikat „Privacy Information Management zgodnie z ISO 27701” – jako dodatek do ISO 27001 – który stanowi obiektywny dowód, że Twoja organizacja spełnia wymagania ochrony prywatności RODO. Certyfikat buduje zaufanie – zarówno wewnętrzne, jak i zewnętrzne – i jest wyraźnym sygnałem na rynku.
- Zwiększa bezpieczeństwo i przejrzystość prawną
- Zapewnia solidne mechanizmy ochrony prywatności
- Zwiększa kompetencje w zakresie ochrony prywatności
- Minimalizuje ryzyko naruszenia danych i możliwych konsekwencji
- Buduje zaufanie wśród obecnych i potencjalnych klientów
Norma ta zawiera wymagania dotyczące kompleksowej ochrony danych i informacji. Określone wymagania mają charakter ogólny i mają zastosowanie do wszystkich organizacji, niezależnie od rodzaju i wielkości, sektora czy formy prawnej.
Warunkiem pomyślnej certyfikacji zgodnie z ISO 27701 jest ważny certyfikat ISO 27001. Ze względu na podobieństwo treści do bezpieczeństwa informacji, nowe rozszerzenie ochrony prywatności może być zbudowane na istniejących systemach i strukturach. Dla wielu organizacji oznacza to tylko niewielki dodatkowy wysiłek. W szczególności w przypadku organizacji, które już przestrzegają RODO, można założyć, że większość wymagań i środków została już wdrożona, ponieważ ISO 27701 jest w dużej mierze zbudowane na przepisach RODO.
- ISO/IEC 27001 lub ISO/IEC 27002
- ISO/IEC 27018
- ISO/IEC 29100 i ISO/IEC 29151
- GDPR (RODO)
Jako uznana jednostka certyfikująca, CIS specjalizuje się w bezpieczeństwie informacji, prywatności danych, usługach IT, przetwarzaniu w chmurze, centrum danych, a także zarządzaniu ciągłością działania. Doskonała reputacja certyfikatów CIS w kraju i za granicą, a także wśród władz publicznych i klientów jest uważana za prawdziwą przewagę konkurencyjną i otwiera drzwi w sprawach biznesowych na całym świecie. Powodem tego jest wysoka jakość akredytacji CIS przyznawanej przez Federalne Ministerstwo Cyfryzacji i Gospodarki (BMDW) oraz sprawdzona procedura certyfikacji. Nie tylko certyfikat CIS zapewni organizacji niezależny przegląd systemu zarządzania procesami, ale auditorzy CIS również aktywnie przekażą swoją dogłębną wiedzę techniczną podczas przygotowań do certyfikacji, a także późniejszych auditów. Przegląd wstępny (Stage Review) i audity pierwszego etapu (Stage One Audits) są ważnymi narzędziami, podczas gdy ten ostatni jest obowiązkową „próbą końcową” przed auditem certyfikacyjnym. W ten sposób organizacje są optymalnie przygotowane do pozytywnego ukończenia certyfikacji przy pierwszej próbie.