ISO 27701 – Cláusula 5.4 – Planificación

La cláusula 27701 de la norma ISO/IEC 5.4 describe los requisitos de planificación para un Sistema de Gestión de Información de Privacidad (PIMS), centrándose en la evaluación de riesgos de privacidad, el tratamiento de riesgos y el establecimiento de objetivos de privacidad mensurables alineados con los objetivos organizacionales y el cumplimiento del RGPD.

Solicite una demo
Autor
Max Edwards
Actualizado 21 de febrero de 2025
LinkedIn Twitter Twitter

Planificación para el cumplimiento de la privacidad: comprensión de la cláusula 27701 de la norma ISO 5.4

Es esencial que, antes de implementar un PIMS, las organizaciones obtengan una imagen clara de cuáles son sus objetivos específicos de protección de la privacidad/PII, en todos los niveles de su operación de seguridad de la información.

La evaluación de riesgos debe ser un elemento clave de todos los protocolos de protección de la privacidad de toda la organización, incluida la comprensión de cómo evaluar y analizar los riesgos y el "tratamiento de riesgos": el proceso de modificación del riesgo a través de una serie de medidas técnicas.

Qué se cubre en la cláusula 27701 de la norma ISO 5.4

ISO 27701 5.4 aborda los pasos que las organizaciones deben seguir al planificar un PIMS o una política de protección de la privacidad.

ISO 27701 5.4 se basa en la orientación de ISO 27001 6.1 (Acciones para abordar riesgos y oportunidades) y contiene orientación adicional en cuatro subcláusulas principales:

  • ISO 27701 Cláusula 5.4.1.1 (Referencias ISO 27001 Control 6.1.1)
  • ISO 27701 Cláusula 5.4.1.2 (Referencias ISO 27001 Control 6.1.2)
  • ISO 27701 Cláusula 5.4.1.3 (Referencias ISO 27001 Control 6.1.3)
  • ISO 27701 Cláusula 5.4.2 (Referencias ISO 27001 Control 6.2)

Dos subcláusulas (5.4.1.2 y 5.4.1.3) contienen orientación que se relaciona directamente con el Artículo 32 de GDPR, más concretamente, los apartados (1)(b), (2).

Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.



Gestione todo su cumplimiento en un solo lugar

ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.

Solicite una demo


ISO 27701 Cláusula 5.4.1.1 – Generalidades

Referencias ISO 27001 Control 6.1.1

En términos generales, las organizaciones deben adoptar un enfoque específico de riesgo para planificar un PIMS que:

  1. Trabaja para construir un PIMS que logre un conjunto de objetivos específicos de protección de la privacidad.
  2. Busca erradicar completamente o minimizar cualquier efecto adverso.
  3. Se esfuerza por el desarrollo continuo y la mejora incremental de la PII y las actividades relacionadas con la protección de la privacidad.

Al redactar un plan, las organizaciones deben:

  1. Tenga en cuenta las acciones específicas necesarias para abordar cualquier riesgo e impleméntelas en un PIMS.
  2. Evalúe constantemente su enfoque.

Controles ISO 27001 relevantes

La guía contenida en ISO 27701 5.4.1.1 está estrechamente vinculada a la capacidad de una organización para comprender sus requisitos y las expectativas del personal interno y externo y de los sujetos de PII cuyos datos posee la organización.

  • ISO 27001 4.1 – Comprensión de la organización y su contexto.
  • ISO 27001 4.2 – Comprender las necesidades y expectativas de las partes interesadas.

ISO 27701 Cláusula 5.4.1.2 – Evaluación de riesgos de seguridad de la información

Referencias ISO 27001 Control 6.1.2

Las organizaciones deben trazar e implementar un proceso de evaluación de riesgos de protección de la privacidad que:

  • Incluye criterios de aceptación de riesgos, a los efectos de realizar evaluaciones de protección de la privacidad.
  • Proporciona un marco para el análisis comparable de todas las evaluaciones de protección de la privacidad.
  • Identifica los riesgos de protección de la privacidad (y sus propietarios).
  • Considera los peligros y riesgos inherentes a la pérdida de "confidencialidad, disponibilidad e integridad" de la PII.
  • Analiza los riesgos de protección de la privacidad junto con tres factores:
    • Sus posibles consecuencias.
    • La probabilidad de que ocurran.
    • Su severidad.
  • Analiza y prioriza los riesgos identificados de acuerdo con su nivel de riesgo.

Orientación adicional sobre PIMS y PII

Las organizaciones deben centrar actividades de evaluación de riesgos que no solo aborden la seguridad de la información, sino que complementen la implementación de un PIMS y el procesamiento y almacenamiento de PII.

Las organizaciones deben tener en cuenta las consecuencias no solo para la propia empresa, sino también para los directores de PII, en caso de que se produzcan problemas.

Artículos aplicables del RGPD

  • Artículo 32 – Seguridad del tratamiento
    • Secciones aplicables – (1)(b), (2)


El cumplimiento no tiene por qué ser complicado.

Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.

Solicite una demo


ISO 27701 Cláusula 5.4.1.3 – Tratamiento de riesgos de seguridad de la información

Referencias ISO 27001 Control 6.1.3

Las organizaciones deben redactar e implementar un "proceso de tratamiento de riesgos" de protección de la privacidad/PII que:

  1. implementar un 'plan de tratamiento de riesgos' de protección de la privacidad.
  2. Identifica cómo un PIMS debe tratar los niveles de riesgo individuales, basándose en un conjunto de resultados de evaluación.
  3. destaca una serie de controles que se requieren para implementar el tratamiento de riesgos de protección de la privacidad.
  4. haga una referencia cruzada de cualquier control identificado con la lista completa proporcionada por ISO en Anexo A de la Norma ISO 27001.
  5. documentar y justificar el uso de cualquier control utilizado en una 'Declaración de Aplicabilidad' formal.
  6. buscar la aprobación de los propietarios de los riesgos antes de finalizar un plan de tratamiento de riesgos de protección de la privacidad que incluya cualquier protección de la privacidad "residual" y riesgos de PII.

Artículos aplicables del RGPD

  • Artículo 32 – Seguridad del tratamiento
    • Secciones aplicables – (1)(b), (2)

ISO 27701 Cláusula 5.4.2 – Objetivos de seguridad de la información y planificación para alcanzarlos

Referencias ISO 27001 Control 6.2

Los objetivos de protección de la privacidad organizacional deberían:

  • Estar alineado con otras políticas de seguridad de la información.
  • Ser cuantificable, a efectos de presentación de informes y evaluación.
  • Incorporar datos de evaluaciones de riesgos y tratamientos de riesgos.
  • Estar a disposición de todos los miembros del personal relevantes y de los interesados.
  • Ser mejorado y actualizado continuamente de acuerdo con los resultados operativos y los eventos del mundo real.
  • Estar documentado.

A lo largo del proceso de planificación, las organizaciones deben establecer lo siguiente:

  1. Cualquier recurso que sea necesario.
  2. A quién se le dará la propiedad de los objetivos, total o parcialmente.
  3. Cuándo se alcanzarán los objetivos declarados de una organización.
  4. Cómo se van a analizar los datos.

Controles de soporte de ISO 27001 y GDPR

Identificador de cláusula ISO 27701Nombre de la cláusula ISO 27701Requisito ISO 27001Artículos relacionados con el RGPD
5.4.1.1General
6.1.1 – Aspectos generales en la planificación en torno al riesgo para ISO 27001		n/a
5.4.1.2Evaluación de riesgos de seguridad de la información
6.1.2 – Evaluación de riesgos de seguridad de la información para ISO 27001		 Artículo (32)
5.4.1.3Tratamiento de riesgos de seguridad de la información
6.1.3 – Tratamiento de riesgos de seguridad de la información para ISO 27001		 Artículo (32)
5.4.2Objetivos de seguridad de la información y planificación para alcanzarlos
6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos para ISO 27001		n/a

Cómo ayuda ISMS.online

Debe crear un Sistema de gestión de información de privacidad (PIMS) para cumplir con la norma ISO 27701. Con nuestro Sistema de gestión de información de privacidad (PIMS) prediseñado, puede organizar y manejar de manera rápida y eficiente la información de clientes, proveedores y empleados para satisfacer los requisitos de ISO 27701.

Las evaluaciones de privacidad se pueden configurar y ejecutar con facilidad, desde evaluaciones de impacto de la protección de datos hasta evaluaciones de preparación regulatorias o de cumplimiento.

Vea nuestra gama completa de funciones haciendo clic en reservar una demostración.

Saltar al tema

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Visita guiada a la plataforma ISMS

¿Está interesado en un recorrido por la plataforma ISMS.online?

¡Comience ahora su demostración interactiva gratuita de 2 minutos y experimente la magia de ISMS.online en acción!

Pruebalo gratuitamente

Somos líderes en nuestro campo

Los usuarios nos aman
Líder de Red - Primavera de 2025
Líder del Impulso - Primavera 2025
Líder Regional - Primavera 2025 Reino Unido
Líder Regional - Primavera 2025 UE
Mejor est. ROI empresarial - Primavera de 2025
Los más recomendados para Enterprise - Primavera 2025

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

-Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

-Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

-Ben H.

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!