Comprensión de la cláusula 27701 de la norma ISO 5.2: Contexto de la organización
La protección de la privacidad es un tema legislativo complicado que incorpora orientación judicial y no judicial de una amplia gama de fuentes.
A lo largo de toda su serie de controles, ISO hace referencia constante a las necesidades comerciales, logísticas y de privacidad únicas de cualquier organización que se ocupa de PII.
ISO 27701 5.2 cubre lo que en términos generales puede describirse como una serie de ejercicios de mapeo para organizaciones que buscan comprender sus obligaciones con los empleados internos y externos, y cómo interactúan con organizaciones de terceros desde un punto de vista perspectiva de cumplimiento y PII.
Qué se cubre en la cláusula 27701 de la norma ISO 5.2
ISO 27701 5.2 contiene cuatro subcláusulas que se relacionan con la protección de la privacidad y el procesamiento/control de la PII, cada uno de los cuales corresponde a una cláusula vinculada dentro de ISO 27001 (que actúa como documento guía maestro).
Además, ISO 27701 contiene puntos de orientación adicionales para las organizaciones que buscan implementar un PIMS, con sugerencias sobre cómo aplicar las directrices ISO 27701 e ISO 27001 a este tema específico.
Las organizaciones deben ver e implementar ISO 27701 junto con los artículos contenidos en los documentos gubernamentales. GDPR pautas. Cuando corresponde, hemos resaltado los artículos relevantes del RGPD junto con sus subcláusulas adjuntas.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 5.2.1 – Comprensión de la organización y su contexto
Referencias ISO 27001 Control 4.1
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Orientación adicional sobre PIMS y PII
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
- Revisar las leyes, regulaciones o "decisiones judiciales" de privacidad vigentes;
- Teniendo en cuenta el conjunto único de requisitos de la organización relacionados con el tipo de productos y servicios que vende, y los documentos, políticas y procedimientos de gobierno específicos de la empresa;
- Cualquier factor administrativo, incluido el funcionamiento diario de la empresa;
- Acuerdos de terceros o contratos de servicios que tienen el potencial de afectar la PII y la protección de la privacidad.
Artículos aplicables del RGPD
- Artículo 24 – Responsabilidad del responsable del tratamiento
- Sección aplicable – (3)
- Artículo 25 – Protección de datos por diseño y por defecto
- Sección aplicable – (3)
- Artículo 28 – Procesador
- Secciones aplicables – (5), (6), (10)
- Artículo 32 – Seguridad del tratamiento
- Sección aplicable – (2)
- Artículo 40 – Códigos de conducta
- Secciones aplicables: (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artículo 41 – Seguimiento de los códigos de conducta aprobados
- Secciones aplicables – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artículo 42 – Certificación
- Secciones aplicables: (1), (2), (3), (4), (5), (6), (7), (8)
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 5.2.2 – Comprensión de las necesidades y expectativas de las partes interesadas
Referencias ISO 27001 Control 4.2
La PII y la protección de la privacidad tienen el potencial de afectar a una gran cantidad de empleados, usuarios y clientes, tanto interna como externamente.
Las organizaciones necesitan obtener una comprensión firme de las necesidades de cualquier personal afectado y de lo que ISO considera "partes interesadas".
Necesidad de la organización de establecer y documentar:
- Cualquier "parte interesada" que sea relevante para el tema más amplio de la protección de la privacidad;
- Cuáles son los requisitos únicos de dichas personas dentro del alcance de un PIMS;
Las organizaciones también deben tener en cuenta cualquier obligación legal, reglamentaria o contractual, junto con los requisitos prácticos y operativos.
Orientación adicional sobre PIMS y PII
Al implementar un PIMS, las organizaciones deben trazar una lista de partes interesadas que se ven afectadas por un PIMS o que tienen un papel que desempeñar en el procesamiento de la PII.
En lo que respecta a la PII, una parte interesada podría ser una de las siguientes (pero no limitada a):
- Un empleado;
- Un cliente;
- Autoridades reguladoras, judiciales o de supervisión;
- Otros controladores y procesadores de PII.
Es importante tener en cuenta que los requisitos de PII (en relación con un PIMS) a menudo emanan de una amplia gama de fuentes, que incluyen:
- Procesos y objetivos internos;
- Organismos gubernamentales y/o reguladores;
- Obligaciones contractuales con terceras organizaciones.
A menudo puede resultar difícil para las organizaciones gubernamentales y reguladoras confirmar el cumplimiento de los estándares de protección de la privacidad publicados por parte de una organización, en su función como procesador y controlador de PII.
Como tal, las organizaciones deben esperar que dichos organismos soliciten revisiones independientes de cualquier Sistema de Gestión relevante, para satisfacer sus propios requisitos de auditoría.
Artículos aplicables del RGPD
- Artículo 31 – Cooperación con la autoridad de control
- Artículo 35 – Evaluación de impacto de la protección de datos
- Sección aplicable – (9)
- Artículo 36 – Consulta previa
- Secciones aplicables: (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 5.2.3 - Determinación del alcance del sistema de gestión de seguridad de la información
Referencias ISO 27001 Control 4.3
ISO recomienda un ejercicio exhaustivo de evaluación del alcance, para que las organizaciones puedan producir un PIMS que, en primer lugar, cumpla con sus requisitos de protección de la privacidad y, en segundo lugar, no se introduzca en áreas del negocio que no necesitan atención.
Las organizaciones deben establecer y documentar:
- Cualquier problema externo o interno, como se describe en ISO 27001 4.1;
- Requisitos de terceros como se describe en ISO 27001 4.2;
- Cómo interactúa la organización tanto consigo misma como con organismos externos (por ejemplo, puntos de contacto con el cliente, interfaces TIC).
Orientación adicional sobre PIMS y PII
Todos los ejercicios de alcance que planifiquen la implementación de PIMS deben incluir una evaluación exhaustiva de las actividades de procesamiento y almacenamiento de PII.
Artículos aplicables del RGPD
- Artículo 32 – Seguridad del tratamiento
- Sección aplicable – (2)
ISO 27701 Cláusula 5.2.4 – Sistema de gestión de seguridad de la información
Referencias ISO 27001 Control 4.4
Las organizaciones deben intentar implementar, gestionar y optimizar un PIMS, en línea con las normas ISO publicadas.
Artículos aplicables del RGPD
- Artículo 32 – Seguridad del tratamiento
- Sección aplicable – (2)
Controles de soporte de ISO 27001 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27001 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 5.2.1 | Comprender la organización y su contexto |
4.1 – Comprensión de la organización y su contexto para ISO 27001 | Artículo (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Comprender las necesidades y expectativas de las partes interesadas |
4.2 – Comprender las necesidades y expectativas de las partes interesadas en ISO 27001 | Artículo (31), (35), (36) |
| 5.2.3 | Determinación del alcance del sistema de gestión de seguridad de la información |
4.3 – Determinación del alcance del SGSI para ISO 27001 | Artículo (32) |
| 5.2.4 | Sistema de gestión de seguridad de la información |
4.4 – Sistema de Gestión de Seguridad de la Información (SGSI) para ISO 27001 | Artículo (32) |
Cómo lograr el cumplimiento de la norma ISO 27701 a través de ISMS.online
La plataforma ISMS.online ofrece una instalación PIMS personalizable que monitorea, informa y audita según ISO 27001 e ISO 27701 con solo hacer clic en un botón.
Nuestra solución cuenta con una herramienta dinámica de Registros de actividad de procesamiento que elimina los dolores de cabeza relacionados con el mapeo, el registro y la auditoría de datos, con un banco de riesgos incorporado que ofrece asistencia práctica durante todo el proceso de evaluación y gestión.
ISO 27701 5.2 presenta una variedad de puntos de orientación sobre estándares de privacidad de terceros y la relación entre un controlador de PII y un interesado, a través de una Solicitud de derechos de los interesados (DRR) obligatoria. Nuestro sistema de gestión de RRD ofrece un centro de administración centralizado que se ocupa de todo, desde solicitudes hasta informes y análisis.
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27001 y 27701 combinada utilizando ISMS.online reservando una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
