Elementos clave de la cláusula 6.2: Marco de políticas para la protección de información personal identificable
Las políticas de protección de la privacidad proporcionan un marco operativo para que las organizaciones se comporten como controladores de datos responsables y eduquen al personal sobre sus obligaciones diarias en lo que respecta a la PII.
La documentación de políticas debe ser respaldada por la alta dirección y comunicada al personal para que todos en la organización trabajen con el mismo conjunto de principios rectores relacionados con la PII.
Qué se cubre en la cláusula 27701 de la norma ISO 6.2
ISO 27701 6.2 contiene dos subcláusulas que brindan orientación específica sobre protección de la privacidad:
- ISO 27701 6.2.1.1 – Políticas de seguridad de la información (Referencias ISO 27002 Control 5.1)
- ISO 27701 6.2.1.2 – Revisión de las políticas de seguridad de la información (Referencias ISO 27002 Control 5.1)
Al igual que con otras cláusulas de la norma, La cláusula 27701 de ISO 6.2 se refiere a ISO 27002. al describir cómo las organizaciones deben manejar la información relacionada con PII y PIMS.
La redacción de ISO 27701 6.2 contiene referencias a ISO 27002:2013, pero esta norma ahora ha sido reemplazada por una versión más actualizada: ISO 27002:2022. Cuando se hacen referencias a cláusulas dentro de ISO 27002:2013, hemos cruzado las citas con sus versiones actualizadas en ISO 27002:2022.
A este efecto, ISO 27701 6.2 está vinculada con dos normas de ISO 27002:2013 (5.1.1 y 5.1.2) que se han fusionado en una única norma dentro de ISO 27002:2022 (5.1).
Obtenga una ventaja inicial del 81%
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.2.1.1 – Políticas de Seguridad de la Información
Referencias ISO 27002 Control 5.1
ISO aboga por un enfoque dual para la protección de la privacidad organizacional que incluya:
- Una política general de protección de la privacidad.
- Políticas de protección de privacidad por temas específicos.
Ambos tipos de políticas pueden combinarse en un solo documento o separarse según lo considere conveniente la organización.
Las políticas deben difundirse a todos los miembros del personal relevantes (y al personal externo, si es necesario), para garantizar el cumplimiento continuo de los requisitos de protección de la privacidad internos y externos.
A cualquier persona que reciba una póliza se le debe pedir que confirme, preferiblemente por escrito, que entiende lo que se le pide y que está dispuesto a cumplirla.
Las políticas deben revisarse cuando se realicen cambios en:
- Estrategia de negocios.
- Prácticas operativas/entornos técnicos.
- Cualquier ley (incluido el RGPD), estipulaciones reglamentarias o directrices generales relacionadas con la PII que la organización tenga la responsabilidad de cumplir.
- Niveles de riesgo de protección de la privacidad y panorama de amenazas prevalecientes/proyectadas.
Políticas temáticas específicas
Un enfoque temático específico para la protección de la privacidad brinda a las organizaciones la libertad de abordar elementos individuales de su operación de procesamiento de datos/seguridad de la información tema por tema, con una política distinta para cada uno.
Las áreas temáticas específicas pueden incluir funciones de TIC como control de acceso, seguridad de red, planificación BUDR y procesos de cifrado.
Cada política temática específica debe crearse en consonancia con la política general de protección de la privacidad de la organización y ser redactada por personas del departamento (no necesariamente la alta dirección) que tengan el nivel relevante de experiencia y competencia en el área a considerar.
Políticas generales de protección de la privacidad
La alta dirección debe establecer una política de protección de la privacidad de alto nivel que describa claramente los procesos y los pasos prácticos que se tomarán para salvaguardar la PII. Las políticas de protección de la privacidad de la organización deben contener información y seguir siendo relevantes para:
- La estrategia empresarial general.
- Cualquier requisito normativo, legal o contractual vigente.
- Cualquier riesgo claro y presente de protección de la privacidad.
Las políticas de protección de la privacidad deben definir:
- Definición operativa de protección de la privacidad.
- Objetivos declarados de protección de la privacidad.
- Conjunto más amplio de principios rectores relacionados con la protección de la PII.
- Compromiso con el cumplimiento de sus objetivos relacionados con la PII y su mejora continua.
- Enfoque para delegar la responsabilidad de toda o parte de la política de protección de la privacidad a los tipos de roles relevantes.
- Enfoque para abordar las excepciones a la política.
- Planes para que la Alta Dirección revise y apruebe los cambios.
Orientación adicional específica de PII
Las organizaciones deben implementar políticas y procedimientos que aborden específicamente cualquier legislación, directrices regulatorias o acuerdos contractuales vigentes relacionados con la PII. Cuando estén involucradas organizaciones de terceros, las políticas deben describir claramente las responsabilidades de PII de ambas partes.
Artículos aplicables del RGPD
- Artículo 24 – (24)(2)
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.2.1.2 – Revisión de las Políticas de Seguridad de la Información
Referencias ISO 27002 Control 5.1
La cláusula 27701 de ISO 6.2.1.2 contiene exactamente la misma guía que la cláusula 27701 de ISO 6.2.1.1, sin ningún requisito adicional relacionado con la PII.
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.2.1.1 | Políticas de Seguridad de la Información |
5.1 – Políticas de Seguridad de la Información para ISO 27002 | Artículo (24) |
| 6.2.1.2 | Revisión de las Políticas de Seguridad de la Información |
5.1 – Políticas de Seguridad de la Información para ISO 27002 | Nona |
Cómo ayuda ISMS.online
Puede ser difícil saber por dónde empezar con ISO 27701, especialmente si nunca antes has tenido que hacer algo como esto. ¡Aquí es donde entra ISMS.online!
Nuestras soluciones ISO 27701 proporcionan marcos que permiten a su organización demostrar el cumplimiento de la norma ISO 27701.
Nuestros expertos en seguridad de la información pueden trabajar con usted para garantizar que desarrolle un proceso de implementación lógico que se alinee con el marco de documentación en línea.
Obtenga más información y obtenga una demostración práctica de reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
