Explicación de la cláusula 27701 de la norma ISO 5.6: requisitos operativos clave
La Cláusula 27701 de ISO 5.6 trata sobre la práctica de controlar los procesos, controles y procedimientos que son necesarios para operar con un plan sólido de protección de la privacidad y un sistema de gestión de la información de privacidad.
La planificación operativa cubre una amplia gama de temas, desde actividades estructuradas de gestión de cambios hasta evaluaciones de riesgos de protección de la privacidad y planes de tratamiento de riesgos que mejorar la seguridad de la PII dentro de los límites de la red de la organización.
Qué se cubre en la cláusula 27701 de la norma ISO 5.6
La cláusula 27701 de ISO 5.6 presenta tres subcláusulas que confiar en la guía adjunta dentro de ISO 27001:
- ISO 27701 5.6.1 – Planificación y control operativo (Referencias ISO 27001 Control 8.1)
- ISO 27701 5.6.2 – Evaluación de riesgos de seguridad de la información (Referencias ISO 27001 Control 8.2)
- ISO 27701 5.6.3 – Tratamiento de riesgos de seguridad de la información (Referencias ISO 27001 Control 8.3)
ISO 27701 5.6 no contiene otros puntos de orientación que aborden específicamente la implementación de un PIMS (en lugar de eso, centra su atención más ampliamente en la protección de la privacidad organizacional) ni incluye ningún punto adjunto. GDPR artículos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 5.6.1 – Planificación y control operativo
Referencias ISO 27001 Control 8.1
ISO 27701 Control 5.6.1 describe el enfoque más amplio de ISO para la planificación de la protección de la privacidad. Las organizaciones deben "planificar, implementar y controlar" procedimientos o procesos internos que sean relevantes para la protección de la privacidad y el almacenamiento y procesamiento de PII (ver ISO 27001 6.1 y 6.2).
ISO también pide a las organizaciones que conserven información documentada que demuestre el cumplimiento y el cambio en los controles de protección de la privacidad de la organización, incluida cualquier actividad subcontratada.
La planificación también se extiende a la gestión del cambio. ISO requiere que las organizaciones gestionen cualquier cambio interno para minimizar el riesgo para la PII y evaluar cualquier consecuencia no deseada que surja de cambios intencionados o involuntarios.
Controles ISO 27001 relevantes
- 6.1 – Acciones para abordar riesgos y oportunidades
- 6.1.2 – Evaluación de riesgos de seguridad de la información
- 6.2 – Objetivos de seguridad de la información y planificación para alcanzarlos
ISO 27701 Cláusula 5.6.2 – Evaluación de riesgos de seguridad de la información
Referencias ISO 27001 Control 8.2
Las organizaciones deben llevar a cabo evaluaciones periódicas de los riesgos de protección de la privacidad en etapas clave de la operación, como un cambio importante o inmediatamente después de un incidente de seguridad.
Al igual que con todas las actividades relacionadas con la PII, las organizaciones deben documentar minuciosamente cualquier evaluación de riesgos para mejorar su operación general de seguridad de la información y poder proporcionar evidencia suficiente a las autoridades legales y regulatorias en caso de que surja la necesidad.
Controles ISO 27001 relevantes
- 6.1.2 – Evaluación de riesgos de seguridad de la información
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 5.6.3 – Tratamiento de riesgos de seguridad de la información
Referencias ISO 27001 Control 8.3
Además de las evaluaciones periódicas de riesgos, las organizaciones también deben implementar un 'plan de tratamiento de riesgos' de protección de la privacidad, que debe contener recomendaciones que reduzcan la probabilidad y/o el impacto de cualquier riesgo inherente al almacenamiento y procesamiento de PII.
Controles de soporte de ISO 27001 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27001 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 5.6.1 | Planificación y Control Operativo |
8.1 – Planificación y Control Operativo para ISO 27001 |
Ninguna |
| 5.6.2 | Evaluación de riesgos de seguridad de la información |
8.2 – Evaluación de riesgos de seguridad de la información para ISO 27001 |
Ninguna |
| 5.6.3 | Tratamiento de riesgos de seguridad de la información |
8.3 – Tratamiento de riesgos de seguridad de la información para ISO 27001 |
Ninguna |
Cómo ayuda ISMS.online
Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27001 e ISO 27701 con solo hacer clic en un botón.
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27001 y 27701 combinada utilizando ISMS.online.
Véalo en vivo con ISMS.online por reservar una demostración.
