ISO 27701, Cláusula 5.4 – Planificación

Controles y cláusulas de ISO 27701 explicados

Reserve una demostración

siluetas,de,personas,sentadas,en,la,mesa.,un,equipo,de

Es esencial que, antes de implementar un PIMS, las organizaciones obtengan una imagen clara de cuáles son sus objetivos específicos de protección de la privacidad/PII, en todos los niveles de su operación de seguridad de la información.

La evaluación de riesgos debe ser un elemento clave de todos los protocolos de protección de la privacidad de toda la organización, incluida la comprensión de cómo evaluar y analizar los riesgos y el "tratamiento de riesgos": el proceso de modificación del riesgo a través de una serie de medidas técnicas.

Qué se cubre en la cláusula 27701 de la norma ISO 5.4

ISO 27701 5.4 aborda los pasos que las organizaciones deben seguir al planificar un PIMS o una política de protección de la privacidad.

ISO 27701 5.4 se basa en la orientación de ISO 27001 6.1 (Acciones para abordar riesgos y oportunidades) y contiene orientación adicional en cuatro subcláusulas principales:

  • ISO 27701 Cláusula 5.4.1.1 (Referencias ISO 27001 Control 6.1.1)

  • ISO 27701 Cláusula 5.4.1.2 (Referencias ISO 27001 Control 6.1.2)

  • ISO 27701 Cláusula 5.4.1.3 (Referencias ISO 27001 Control 6.1.3)

  • ISO 27701 Cláusula 5.4.2 (Referencias ISO 27001 Control 6.2)

Dos subcláusulas (5.4.1.2 y 5.4.1.3) contienen orientación que se relaciona directamente con el Artículo 32 de RGPD, más concretamente, los apartados (1)(b), (2).

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.

Saltar al tema
Logre el éxito ISO 27701

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISO 27701 Cláusula 5.4.1.1 – Generalidades

Referencias ISO 27001 Control 6.1.1

En términos generales, las organizaciones deben adoptar un enfoque específico de riesgo para planificar un PIMS que:

  1. Trabaja para construir un PIMS que logre un conjunto de objetivos específicos de protección de la privacidad.

  2. Busca erradicar completamente o minimizar cualquier efecto adverso.

  3. Se esfuerza por el desarrollo continuo y la mejora incremental de la PII y las actividades relacionadas con la protección de la privacidad.

Al redactar un plan, las organizaciones deben:

  1. Tenga en cuenta las acciones específicas necesarias para abordar cualquier riesgo e impleméntelas en un PIMS.

  2. Evalúe constantemente su enfoque.

Controles ISO 27001 relevantes

La guía contenida en ISO 27701 5.4.1.1 está estrechamente vinculada a la capacidad de una organización para comprender sus requisitos y las expectativas del personal interno y externo y de los sujetos de PII cuyos datos posee la organización.

  • ISO 27001 4.1 – Comprensión de la organización y su contexto.

  • ISO 27001 4.2 – Comprender las necesidades y expectativas de las partes interesadas.

ISO 27701 Cláusula 5.4.1.2 – Evaluación de riesgos de seguridad de la información

Referencias ISO 27001 Control 6.1.2

Las organizaciones deben trazar e implementar un proceso de evaluación de riesgos de protección de la privacidad que:

  • Incluye criterios de aceptación de riesgos, a los efectos de realizar evaluaciones de protección de la privacidad.

  • Proporciona un marco para el análisis comparable de todas las evaluaciones de protección de la privacidad.

  • Identifica los riesgos de protección de la privacidad (y sus propietarios).

  • Considera los peligros y riesgos inherentes a la pérdida de "confidencialidad, disponibilidad e integridad" de la PII.

  • Analiza los riesgos de protección de la privacidad junto con tres factores:

    • Sus posibles consecuencias.

    • La probabilidad de que ocurran.

    • Su severidad.

  • Analiza y prioriza los riesgos identificados de acuerdo con su nivel de riesgo.

Orientación adicional sobre PIMS y PII

Las organizaciones deben centrar actividades de evaluación de riesgos que no solo aborden la seguridad de la información, sino que complementen la implementación de un PIMS y el procesamiento y almacenamiento de PII.

Las organizaciones deben tener en cuenta las consecuencias no solo para la propia empresa, sino también para los directores de PII, en caso de que se produzcan problemas.

Artículos aplicables del RGPD

  • Artículo 32 – Seguridad del tratamiento

    • Secciones aplicables – (1)(b), (2)

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Somos rentables y rápidos

Descubra lo fácil que es ISO 27701 con ISMS.online
Obtenga su cotización

ISO 27701 Cláusula 5.4.1.3 – Tratamiento de riesgos de seguridad de la información

Referencias ISO 27001 Control 6.1.3

Las organizaciones deben redactar e implementar un "proceso de tratamiento de riesgos" de protección de la privacidad/PII que:

  1. implementar un 'plan de tratamiento de riesgos' de protección de la privacidad.

  2. Identifica cómo un PIMS debe tratar los niveles de riesgo individuales, basándose en un conjunto de resultados de evaluación.

  3. destaca una serie de controles que se requieren para implementar el tratamiento de riesgos de protección de la privacidad.

  4. haga una referencia cruzada de cualquier control identificado con la lista completa proporcionada por ISO en Anexo A de la Norma ISO 27001.

  5. documentar y justificar el uso de cualquier control utilizado en una 'Declaración de Aplicabilidad' formal.

  6. buscar la aprobación de los propietarios de los riesgos antes de finalizar un plan de tratamiento de riesgos de protección de la privacidad que incluya cualquier protección de la privacidad "residual" y riesgos de PII.

Artículos aplicables del RGPD

  • Artículo 32 – Seguridad del tratamiento

    • Secciones aplicables – (1)(b), (2)

ISO 27701 Cláusula 5.4.2 – Objetivos de seguridad de la información y planificación para alcanzarlos

Referencias ISO 27001 Control 6.2

Los objetivos de protección de la privacidad organizacional deberían:

  • Estar alineado con otras políticas de seguridad de la información.

  • Ser cuantificable, a efectos de presentación de informes y evaluación.

  • Incorporar datos de evaluaciones de riesgos y tratamientos de riesgos.

  • Estar a disposición de todos los miembros del personal relevantes y de los interesados.

  • Ser mejorado y actualizado continuamente de acuerdo con los resultados operativos y los eventos del mundo real.

  • Estar documentado.

A lo largo del proceso de planificación, las organizaciones deben establecer lo siguiente:

  1. Cualquier recurso que sea necesario.

  2. A quién se le dará la propiedad de los objetivos, total o parcialmente.

  3. Cuándo se alcanzarán los objetivos declarados de una organización.

  4. Cómo se van a analizar los datos.

Controles de soporte de ISO 27001 y GDPR

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Requisito ISO 27001Artículos relacionados con el RGPD
5.4.1.1General6.1.1 – Aspectos generales en la planificación en torno al riesgo para ISO 27001Ninguna
5.4.1.2Evaluación de riesgos de seguridad de la información6.1.2 – Evaluación de riesgos de seguridad de la información para ISO 27001Artículo (32)
5.4.1.3Tratamiento de riesgos de seguridad de la información6.1.3 – Tratamiento de riesgos de seguridad de la información para ISO 27001Artículo (32)
5.4.2Objetivos de seguridad de la información y planificación para alcanzarlos6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos para ISO 27001Ninguna

Cómo ayuda ISMS.online

Debe crear un Sistema de gestión de información de privacidad (PIMS) para cumplir con la norma ISO 27701. Con nuestro Sistema de gestión de información de privacidad (PIMS) prediseñado, puede organizar y manejar de manera rápida y eficiente la información de clientes, proveedores y empleados para satisfacer los requisitos de ISO 27701.

Las evaluaciones de privacidad se pueden configurar y ejecutar con facilidad, desde evaluaciones de impacto de la protección de datos hasta evaluaciones de preparación regulatorias o de cumplimiento.

Vea nuestra gama completa de funciones haciendo clic en reservar una demostración.

Vea nuestra plataforma
en acción

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más