Es esencial que, antes de implementar un PIMS, las organizaciones obtengan una imagen clara de cuáles son sus objetivos específicos de protección de la privacidad/PII, en todos los niveles de su operación de seguridad de la información.
La evaluación de riesgos debe ser un elemento clave de todos los protocolos de protección de la privacidad de toda la organización, incluida la comprensión de cómo evaluar y analizar los riesgos y el "tratamiento de riesgos": el proceso de modificación del riesgo a través de una serie de medidas técnicas.
ISO 27701 5.4 aborda los pasos que las organizaciones deben seguir al planificar un PIMS o una política de protección de la privacidad.
ISO 27701 5.4 se basa en la orientación de ISO 27001 6.1 (Acciones para abordar riesgos y oportunidades) y contiene orientación adicional en cuatro subcláusulas principales:
Dos subcláusulas (5.4.1.2 y 5.4.1.3) contienen orientación que se relaciona directamente con el Artículo 32 de RGPD, más concretamente, los apartados (1)(b), (2).
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
En términos generales, las organizaciones deben adoptar un enfoque específico de riesgo para planificar un PIMS que:
Al redactar un plan, las organizaciones deben:
La guía contenida en ISO 27701 5.4.1.1 está estrechamente vinculada a la capacidad de una organización para comprender sus requisitos y las expectativas del personal interno y externo y de los sujetos de PII cuyos datos posee la organización.
Las organizaciones deben trazar e implementar un proceso de evaluación de riesgos de protección de la privacidad que:
Las organizaciones deben centrar actividades de evaluación de riesgos que no solo aborden la seguridad de la información, sino que complementen la implementación de un PIMS y el procesamiento y almacenamiento de PII.
Las organizaciones deben tener en cuenta las consecuencias no solo para la propia empresa, sino también para los directores de PII, en caso de que se produzcan problemas.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Las organizaciones deben redactar e implementar un "proceso de tratamiento de riesgos" de protección de la privacidad/PII que:
Los objetivos de protección de la privacidad organizacional deberían:
A lo largo del proceso de planificación, las organizaciones deben establecer lo siguiente:
Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27001 | Artículos relacionados con el RGPD |
---|---|---|---|
5.4.1.1 | General | 6.1.1 – Aspectos generales en la planificación en torno al riesgo para ISO 27001 | Ninguna |
5.4.1.2 | Evaluación de riesgos de seguridad de la información | 6.1.2 – Evaluación de riesgos de seguridad de la información para ISO 27001 | Artículo (32) |
5.4.1.3 | Tratamiento de riesgos de seguridad de la información | 6.1.3 – Tratamiento de riesgos de seguridad de la información para ISO 27001 | Artículo (32) |
5.4.2 | Objetivos de seguridad de la información y planificación para alcanzarlos | 6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos para ISO 27001 | Ninguna |
Debe crear un Sistema de gestión de información de privacidad (PIMS) para cumplir con la norma ISO 27701. Con nuestro Sistema de gestión de información de privacidad (PIMS) prediseñado, puede organizar y manejar de manera rápida y eficiente la información de clientes, proveedores y empleados para satisfacer los requisitos de ISO 27701.
Las evaluaciones de privacidad se pueden configurar y ejecutar con facilidad, desde evaluaciones de impacto de la protección de datos hasta evaluaciones de preparación regulatorias o de cumplimiento.
Vea nuestra gama completa de funciones haciendo clic en reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración