ISO 27701 – Cláusula 6.15 – Cumplimiento

Cómo lograr el cumplimiento de la cláusula 27701 de la norma ISO 6.15: una descripción completa

El cumplimiento es una parte vital de cualquier operación de protección de la privacidad: las organizaciones deben poder demostrar que están cumpliendo con sus obligaciones con respecto a la PII y los sistemas que se utilizan para almacenar y procesar material relacionado con la privacidad.

Qué se cubre en la cláusula 27701 de la norma ISO 6.15

ISO 27701 6.15 aborda el cumplimiento en dos áreas principales: Cumplimiento de requisitos legales y contractuales. y revisiones de seguridad de la información (siendo este último el vehículo principal para descubrir casos de incumplimiento y resolver cualquier problema relacionado con la privacidad).

• ISO 27701 6.15.1.1 – Identificación de la legislación aplicable y requisitos contractuales (ISO 27002 Controlar 5.31)
• ISO 27701 6.15.1.2 – Derechos de propiedad intelectual (ISO 27002 Control 5.32)
• ISO 27701 6.15.1.3 – Protección de registros (ISO 27002 Control 5.33)
• ISO 27701 6.15.1.4 – Privacidad y protección de la información de identificación personal (ISO 27002 Control 5.34)
• ISO 27701 6.15.1.5 – Regulación de controles criptográficos (ISO 27002 Control 5.31)
• ISO 27701 6.15.2.2 – Cumplimiento de políticas y estándares de seguridad (ISO 27002 Control 5.36)
• ISO 27701 6.15.2.3 – Revisión de cumplimiento técnico (ISO 27002 Control 5.36)

Cuatro subcláusulas contienen información relevante para el Reino Unido. GDPR legislación: hemos proporcionado las referencias de los artículos debajo de cada subcláusula para su conveniencia:

• ISO 27701 6.15.1.1
• ISO 27701 6.15.1.3
• ISO 27701 6.15.2.1
• ISO 27701 6.15.2.3

ISO 27701 Cláusula 6.15.1.1 – Identificación de la legislación aplicable y requisitos contractuales

Referencias ISO 27002 Control 5.31

Las organizaciones deben cumplir con los requisitos legales, estatutarios, reglamentarios y contractuales cuando:

• Redacción y/o modificación de procedimientos de seguridad de la información privada.
• Categorizar la información.
• Embarcarse en evaluaciones de riesgos relacionadas con las actividades de seguridad de la información de privacidad.
• Forjar relaciones con proveedores, incluyendo cualquier obligación contractual a lo largo de la cadena de suministro.

Factores legislativos y regulatorios

Las organizaciones deben seguir procedimientos que les permitan Identifique, analizar y entiendes obligaciones legislativas y regulatorias, especialmente aquellas que se refieren a la protección de la privacidad y la PII, dondequiera que operen.

Las organizaciones deben ser continuamente conscientes de sus obligaciones de protección de la privacidad cada vez que celebren nuevos acuerdos con terceros, proveedores y contratistas.

Criptografía

Al implementar métodos de cifrado para reforzar la protección de la privacidad y salvaguardar la PII, las organizaciones deben:

• Observe las leyes que rigen la importación y exportación de hardware o software que tenga el potencial de cumplir una función criptográfica.
• Proporcionar acceso a información cifrada según las leyes de la jurisdicción en la que operan.
• Utilice tres elementos clave de cifrado:
• Firmas digitales.
• Focas.
• Certificados digitales.

Artículos aplicables del RGPD

• Artículo 5 – (1)(f)
• Artículo 28 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), ( 3)(g), (3)(h)
• Artículo 30 – (2)(d)
• Artículo 32 – (1)(b)

Controles ISO 27002 relevantes

• ISO 27002 5.20

ISO 27701 Cláusula 6.15.1.2 – Derechos de propiedad intelectual

Referencias ISO 27002 Control 5.32

Para salvaguardar cualquier dato, software o activo que pueda considerarse propiedad intelectual (PI), las organizaciones deben:

• Adherirse a una política “temática específica” que aborde los derechos de propiedad intelectual, que tenga en cuenta la propiedad intelectual caso por caso.
• Cumpla con los procedimientos que definen cómo se puede mantener la integridad de la propiedad intelectual mientras se utilizan software y productos organizacionales.
• Utilice únicamente fuentes acreditadas para adquirir software, al comprar, alquilar o arrendar software y suscripciones de software.
• Conserve la documentación que acredite la propiedad (electrónica o física).
• Respete los límites de uso del software.
• Realice revisiones periódicas de software para evitar el uso de aplicaciones no autorizadas o potencialmente dañinas.
• Asegúrese de que las licencias de software sean válidas y estén actualizadas, y que se cumplan las pautas de uso justo.
• Redactar procedimientos que garanticen la eliminación segura y conforme a las normas de los activos de software.
• (En lo que respecta a las grabaciones comerciales), asegúrese de que ninguna parte de la grabación se extraiga, copie o convierta por ningún medio no autorizado.
• Asegúrese de que los datos textuales se consideren junto con los medios digitales.

ISO 27701 Cláusula 6.15.1.3 – Protección de registros

Referencias ISO 27002 Control 5.33

Las organizaciones deben considerar la gestión de registros en 4 áreas clave:

• Autenticidad
• Fiabilidad
• Integridad
• usabilidad

Para mantener un sistema de registros funcional que proteja la PII y la información relacionada con la privacidad, las organizaciones deben:

• Publicar directrices que aborden:
• Almacenamiento.
• Manejo (cadena de custodia).
• Disposición.
• Previniendo la manipulación.
• Describa cuánto tiempo se debe conservar cada tipo de registro.
• Observe las leyes que se ocupan del mantenimiento de registros.
• Cumpla con las expectativas de los clientes sobre cómo las organizaciones deben manejar sus registros.
• Destruya los registros una vez que ya no sean necesarios.
• Clasifique los registros según su riesgo de seguridad, por ejemplo:
• Contabilidad.
• Transacciones de negocios.
• Registros de personal.
• Legal
• Asegúrese de que puedan recuperar registros dentro de un período de tiempo aceptable, si así lo solicita un tercero o una agencia policial.
• Siga siempre las pautas del fabricante al almacenar o manipular registros en fuentes de medios electrónicos.

Artículos aplicables del RGPD

• Artículo 5 – (2)
• Artículo 24 – (2)

ISO 27701 Cláusula 6.15.1.4 – Privacidad y protección de la información de identificación personal

Referencias ISO 27002 Control 5.34

Las organizaciones deben tratar la PII como una tema específico concepto que debe abordarse dentro del alcance de numerosas funciones comerciales distintas.

En primer lugar, las organizaciones deben implementar políticas que atiendan a tres aspectos principales del procesamiento y almacenamiento de la PII:

• Preservación
• Privacidad
• Protection

Las organizaciones deben asegurarse de que todos los empleados sean conscientes de sus obligaciones con respecto al manejo de la PII, no solo aquellos que la encuentran a diario como parte de su trabajo.

Oficiales de privacidad

Las organizaciones deben nombrar un Oficial de Privacidad, cuyo trabajo es brindar orientación a los empleados y organizaciones de terceros sobre el tema de la PII, además de ofrecer asesoramiento a la alta dirección sobre cómo mantener la integridad y disponibilidad de la información de privacidad.

ISO 27701 Cláusula 6.15.1.5 – Regulación de Controles Criptográficos

Referencias ISO 27002 Control 5.31

Ver ISO 27701 Cláusula 6.15.1.1

ISO 27701 Cláusula 6.15.2.1 – Revisión independiente de la seguridad de la información

Referencias ISO 27002 Control 5.35

Las organizaciones deben desarrollar procesos que atiendan revisiones independientes de sus prácticas de seguridad de la información de privacidad, incluidas tanto políticas específicas de temas como políticas generales.

Las revisiones deben ser realizadas por:

• Auditores internos.
• Responsables departamentales independientes.
• Organizaciones de terceros especializadas.

Las revisiones deben ser independientes y estar realizadas por personas con suficiente conocimiento de las directrices de protección de la privacidad y de los procedimientos propios de la organización.

Los revisores deben establecer si las prácticas de seguridad de la información privada cumplen con los “objetivos y requisitos documentados” de la organización.

Además de las revisiones periódicas estructuradas, las organizaciones pueden encontrarse con la necesidad de realizar revisiones ad hoc desencadenadas por ciertos eventos, que incluyen:

• Tras modificaciones de políticas, leyes, directrices y reglamentos internos que afecten a la protección de la privacidad.
• Después de incidentes importantes que han impactado la protección de la privacidad.
• Cada vez que se crea un nuevo negocio o se implementan cambios importantes en el negocio actual.
• Tras la adopción de un nuevo producto o servicio que se ocupe de la protección de la privacidad de alguna manera.

Artículos aplicables del RGPD

• Artículo 32 – (1)(d), (2)

ISO 27701 Cláusula 6.15.2.2 – Cumplimiento de políticas y estándares de seguridad

Referencias ISO 27002 Control 5.36

Las organizaciones deben asegurarse de que el personal pueda revisar las políticas de privacidad en todo el espectro de operaciones comerciales.

La dirección debería desarrollar métodos técnicos para informar sobre el cumplimiento de la privacidad (incluida la automatización y herramientas personalizadas). Los informes deben registrarse, almacenarse y analizarse para mejorar aún más los esfuerzos de protección de la privacidad y la seguridad de la PII.

Cuando se descubren problemas de cumplimiento, las organizaciones deben:

• Establecer la causa.
• Decidir un método de acción correctiva para tapar las brechas de cumplimiento.
• Vuelva a revisar el problema después de un período de tiempo apropiado para asegurarse de que se resuelva.

Es de vital importancia adoptar medidas correctivas lo antes posible. Si los problemas no están completamente resueltos para el momento de la próxima revisión, como mínimo, se deben proporcionar pruebas que demuestren que se están logrando avances.

ISO 27701 Cláusula 6.15.2.3 – Revisión de cumplimiento técnico

Referencias ISO 27002 Control 5.36

Ver ISO 27701 Cláusula 6.15.2.2

Artículos aplicables del RGPD

• Artículo 32 – (1)(d), (2)

Controles de soporte de ISO 27002 y GDPR

Cómo ayuda ISMS.online

ISO 27701 no es sólo un marco que deben adoptar las organizaciones; significa adaptar la forma en que las personas entienden, interactúan e interactúan con los datos.

En ISMS.online, hemos diseñado nuestro sistema para que usted y su personal puedan aprovechar nuestra interfaz fácil de usar para documentar su viaje ISO.

También proporcionamos recursos de video y acceso a profesionales de seguridad de la información para ayudarlo a integrar estándares en su empresa.

Descubre más por reservar una demostración práctica.