ISO/IEC 27701 - Mezinárodní standard pro řízení ochrany osobních údajů

Ochrana soukromí je ve stále více propojeném světě společenskou potřebou. Vlády zavádějí nové předpisy o ochraně soukromí, jako je například obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), a vyžadují, aby na ně společnosti reagovaly. Normy ISO, jako je například ISO/IEC 27701, pomohou vaší firmě splnit požadavky a řídit rizika ochrany soukromí související s osobními údaji (PII).

Zákazníci, spotřebitelé i další zúčastněné strany stále více potřebují důvěru a odpovědnost za osobní údaje.  Riziko je však širší než jen dodržování předpisů. Společnosti musí mít k dispozici správné kompetence, procesy a systémy. S rostoucím počtem stížností a pokut souvisejících s ochranou soukromí a údajů se zdá, že roste potřeba poradenství.

Norma ISO/IEC 27001 vychází z požadavků normy ISO/IEC 27001 a poskytuje společnostem požadované informace a pomáhá jim řídit rizika související s ochranou osobních údajů (PII). Může také pomoci společnostem dodržovat nařízení GDPR i další předpisy o ochraně osobních údajů. Obě normy lze certifikovat v kombinaci.  

Co je norma ISO/IEC 27701?

Norma ISO/IEC 27701 specifikuje požadavky a poskytuje návod pro vytvoření, zavedení, udržování a neustálé zlepšování systému správy informací o soukromí (PIMS). Vychází z požadavků normy ISO/IEC 27001, systému řízení bezpečnosti informací (ISMS), a z kodexu postupů pro kontroly bezpečnosti informací v normě ISO/IEC 27002.

Norma ISO/IEC 27701 poskytuje rámec systému řízení pro ochranu informací umožňujících osobní identifikaci (PII).  Zahrnuje způsob, jakým by organizace měly spravovat osobní údaje, a pomáhá při prokazování souladu s předpisy o ochraně osobních údajů, které se na ně mohou vztahovat.

Pokud jste zavedli normu ISO/IEC 27001, norma ISO/IEC 27701 rozšiřuje vaše úsilí v oblasti zabezpečení o řízení ochrany osobních údajů. To zahrnuje zpracování osobních údajů, aby bylo možné prokázat soulad s předpisy o ochraně osobních údajů, jako je GDPR.

Pro organizace, které nemají stávající systém řízení bezpečnosti informací v souladu s normou ISO/IEC 27001, je možné zavést obě normy (ISO/IEC 27001 a ISO/IEC 27701) v rámci jednoho projektu. 

Kdo by měl implementovat normu ISO/IEC 27701?

Norma ISO/IEC 27701 poskytuje pokyny pro všechny organizace odpovědné za zpracování PII (osobně identifikovatelných informací) v rámci systému řízení bezpečnosti informací.  Využít ji mohou organizace všech velikostí a typů, včetně veřejných a soukromých společností, stejně jako vládních subjektů a dalších typů organizací. Poskytuje přístup založený na rizicích a pomáhá organizacím řešit konkrétní rizika, kterým čelí, i rizika ohrožení osobních údajů a soukromí. 

Proč je norma ISO/IEC 27701 dobrá pro mou firmu? 

Systémy správy informací o soukromí (PIMS) přinášejí několik výhod:

  • Buduje důvěru ve schopnost vaší společnosti spravovat osobní údaje, a to jak u zákazníků, tak u zaměstnanců.
  • Podporuje dodržování nařízení GDPR a dalších platných předpisů o ochraně osobních údajů.
  • Vyjasňuje role a odpovědnosti ve vaší organizaci.
  • Zlepšuje interní kompetence a procesy, aby se předešlo porušením předpisů.
  • Zajišťuje transparentnost zavedených kontrolních mechanismů pro řízení ochrany osobních údajů.
  • Usnadňuje uzavírání dohod s obchodními partnery v případech, kdy je zpracování osobních údajů oboustranně relevantní.
  • Snadno se integruje s hlavní normou bezpečnosti informací ISO/IEC 27001.

Jak lze normu ISO/IEC 27701 použít k dosažení souladu s nařízením GDPR?

Zavedení systému řízení v souladu s normami ISO/IEC 27701 a ISO/IEC 27001 umožní vaší společnosti splnit požadavky na ochranu soukromí a zabezpečení informací stanovené v nařízení GDPR i v dalších předpisech o ochraně údajů.  GDPR vyžaduje, aby organizace přijaly vhodná technická a organizační opatření (včetně zásad, postupů a procesů) k ochraně osobních údajů, které zpracovávají (Podle čl. 5 odst. 2).

ISO/IEC 27001, mezinárodní norma pro systém řízení bezpečnosti informací (ISMS), poskytuje vynikající výchozí bod pro dosažení technických a provozních požadavků nezbytných pro snížení rizika narušení.

ISO/IEC 27701 stanoví požadavky - a poskytuje návod pro vytvoření, zavedení, udržování a neustálé zlepšování - systému PIMS (systém řízení ochrany informací), který vychází z požadavků, kontrolních cílů a kontrolních mechanismů uvedených v normě ISO 27001 a je rozšířen o soubor požadavků, kontrolních cílů a kontrolních mechanismů specifických pro ochranu soukromí. Příloha obsahuje křížové odkazy na GDPR a ISO/IEC 27701. Norma nicméně není specifikována pro GDPR.

Obě normy pomáhají vyhovujícím společnostem splnit a prokázat soulad s požadavky GDPR na ochranu soukromí a zabezpečení informací. 

Ačkoli norma ISO/IEC 27701 v současné době neřeší certifikační mechanismus nastíněný GDPR v článku 42, můžete získat akreditovanou certifikaci podle normy ISO/IEC 27701 v kombinaci s normou ISO/IEC 27001 od nezávislé třetí strany, jako je například DNV.

Jak se mohu na certifikaci připravit?

Ať už chcete zavést normu ISO/IEC 27701 jako rozšíření svého stávajícího systému řízení bezpečnosti informací, který je v souladu s normou ISO/IEC 27001, nebo teprve začínáte, můžeme vám poskytnout podporu v následujících oblastech:

  • GAP-analýzou, která prověří vaši připravenost na certifikaci
  • Školení pro ISO/IEC 27001
  • Certifikace vašeho systému řízení podle ISO/IEC 27001 a ISO/IEC 27701

Kromě toho můžeme podpořit vaše potřeby v oblasti školení souvisejících s normami a GDPR (obecné nařízení Evropské unie o ochraně osobních údajů).

Abyste získali certifikaci, musíte nejprve zavést účinný systém řízení, který splňuje požadavky norem. Je důležité, abyste se vy i vaše společnost zavázali a stanovili si jasné cíle pro implementaci a hodnocení. Před certifikací se doporučuje, aby vaše společnost provedla interní audity, které odhalí případné nedostatky. Jednou z nejdůležitějších věcí, kterou je třeba mít na paměti, je, že vývoj, zavádění a certifikace systému řízení je nepřetržitá cesta, přičemž certifikační audit představuje jeden z prvků procesu neustálého zlepšování.

Podívejte se, jak můžete začít cestu k certifikaci.

More information

Training

Training

Relevant insight in an active learning environment.