Lograr el cumplimiento normativo de la norma ISO 27701

Creación de un PIMS basado en ISO 27701 para lograr el cumplimiento de la normativa de privacidad

Nuestra solución ISO 27701 es un PIMS preconfigurado. Se asegurará de que su trabajo de privacidad se alinee y satisfaga las necesidades de cada sección del estándar. Y debido a que es independiente de las regulaciones, puede asignarlo a cualquier regulación o regulaciones que necesite.

Su PIMS seguirá la norma ISO 27701 y le ayudará a lograr el cumplimiento del RGPD de la siguiente manera:

Respondiendo al panorama general

Comenzará el proceso de desarrollo de PIMS entendiendo el contexto en el que funcionará su PIMS. Defina si su organización es un controlador de PII., procesador PII o ambos. Y tu asegúrate de estar consciente de:

• Factores legales, como legislación de privacidad, regulaciones o decisiones judiciales.
• Factores organizacionales, como su contexto, gobernanza, políticas y procedimientos.
• Los factores prácticos, como cualquier decisión administrativa y requisitos contractuales

Entonces te asegurarás de comprender y tener en cuenta las necesidades y expectativas de cualquier persona interesada en cómo procesa la PII. Puede ser una lista larga, que incluye a todos, desde sus clientes y proveedores hasta reguladores y organismos comerciales.

Una vez que haya analizado todo eso, podrá analizar su PIMS. Si está ampliando su ISMS existente para abordar también los requisitos de PIMS, es posible que deba Reconsidere el alcance de su SGSI también. Y si implementa ambos al mismo tiempo, se asegurará de que funcionen juntos.

Involucrar a su liderazgo

Toda su organización necesita comprender y cumplir con su PIMS. Para lograrlo, necesitará contar con la plena participación de sus altos directivos. ISO 27701 le remite a ISO 27001 como orientación. Si ya ha creado un SGSI ISO 27001, será un proceso familiar.

• Deberá asegurarse de que su alta dirección muestre liderazgo y compromiso con su PIMS: Estableciendo objetivos de privacidad claros, asegurándose de que su PIMS los alcance, asignando recursos para crearlo y mantenerlo, integrándolo con procesos organizacionales más amplios y ayudándolo continuamente. mejorar

También establecerán sus políticas de privacidad más amplias. Ellos deberían:

• Apoye y contribuya a la estrategia y el propósito más amplios de su organización, establezca objetivos de privacidad claros o describa cómo crearlos e incluya el compromiso de satisfacer sus necesidades de privacidad y mejorar continuamente su PIMS.

Y, por supuesto, deberá documentarlos y asegurarse de que cualquiera que necesite comprenderlos pueda acceder a ellos rápida y fácilmente.

Finalmente, sus altos directivos deberán designar a las personas que serán responsables y estarán a cargo de su PIMS. Lo mantendrán en línea con el estándar e informarán sobre su estado, progreso y logros cuando sea necesario.

Ser cuidadosamente planificado

Una vez que haya comprendido el contexto en el que está trabajando y tenga la alta dirección completamente detrás de usted, puede comenzar a planificar su PIMS. Aquí también, ISO 27701 lo remite a ISO 27001 como guía, pero agrega algunas mejoras propias específicas de privacidad.

Necesitarás:

• Evaluar los riesgos enfrenta su PII, establezca políticas y controles claros para abordar algunos o todos esos riesgos y justifique por qué ha decidido ignorar alguno de ellos
• Documente sus políticas, controles y cualquier decisión sobre ellos en un fácil acceso, lea la manera y asegúrese de que las actualizaciones sean precisas y oportunas

Nuevamente, si ya ha creado un SGSI basado en ISO 27001 Será un proceso muy familiar. Y si está desarrollando un PIMS y un ISMS juntos, probablemente podrá fusionar sus flujos de trabajo.

Tener todo el apoyo que necesita

También en este caso ISO 27001 e ISO 27701 están estrechamente relacionados. ISO 27701 le pide que siga la guía de soporte de ISO 27001.

• Debe asegurarse de tener todos los recursos que necesita para configurar, implementar, mantener y evolucionar continuamente su PIMS, disponibles cuando los necesite.
• Las personas que trabajan en su PIMS deben tener todos los competencias que sus roles exigen – si no lo hacen, usted debe organizar capacitación o educación para ellos
• Deberá asegurarse de que todos los afectados por su PIMS comprendan por qué es tan importante, qué protege y cómo cumplirlo.
• Tendrá que documentar completamente su PIMS (lo que eso significa exactamente depende del tamaño y tipo de su organización) y planificar cómo actualizará su documentación.

En evaluación periódica

No vale la pena tener un PIMS sin examinar. Deberá tener claro cómo monitoreará, medirá, analizará y evaluará su PIMS para asegurarse de que esté logrando todo lo que debería. La norma le remite a la norma ISO 27001 para obtener orientación sobre cómo hacerlo.

Especifica que se deben realizar auditorías internas y revisiones de gestión periódicas. Ambas cosas deben ocurrir a intervalos planificados y seguir procesos rigurosamente documentados. También necesitará un plan claro para responder a no conformidades y tomar acciones correctivas.

Evaluará su PIMS basado en ISO 27701 y su ISMS basado en ISO 27001 de maneras muy similares. Como siempre, si ya tiene un SGSI ISO 27001, todo el proceso le resultará muy familiar.

En constante evolución y mejora.

Seguirá los procesos basados ​​en ISO 27001 para evolucionar y mejorar su PIMS. Eso significa que reaccionará rápida y eficazmente ante cualquier no conformidad. Y documentará tanto las no conformidades como las acciones que tomó para solucionarlas.

También buscará mejorar continuamente su PIMS. Ése es un punto muy importante para recordar. Un PIMS no es un conjunto de documentos que se pueden tirar y olvidar y que, una vez creados, se pueden dejar pudriéndose en algún lugar del disco duro.

Es un sistema de protección dinámico que evolucionará con cualquier cambio en su organización y el entorno en el que trabaja. Por lo tanto, deberá asegurarse de tomar medidas continuas para mejorar la idoneidad, adecuación y eficacia de su PIMS.