Cláusula de comprensión 6.3: Organización eficaz de la seguridad de la información
La protección de la privacidad debe administrarse como un concepto, así como una realidad operativa.
Las organizaciones deben considerar la protección de la privacidad no solo en términos de los sistemas que utilizan para proteger los datos, sino también en la forma en que administran a las personas que acceden a la PII y cómo se trata la protección de la privacidad junto con otras funciones comerciales, como la gestión de proyectos.
ISO 27701 6.3 describe cómo las organizaciones pueden gestionar la protección de la privacidad como un proceso de un extremo a otro, que abarca los factores anteriores.
Qué se cubre en la cláusula 27701 de la norma ISO 6.3
ISO 27701 6.3 contiene tres subcláusulas que incluyen orientación específica sobre protección de la privacidad, adaptada de tres cláusulas de apoyo en ISO 27002:
- ISO 27701 6.3.1.1 – Roles y responsabilidades de seguridad de la información (Referencias ISO 27002 control 5.2)
- ISO 27701 6.3.1.2 – Segregación de funciones (Referencias ISO 27002 control 5.3)
- ISO 27701 6.3.1.5 – Seguridad de la información en la gestión de proyectos (Referencias ISO 27002 control 5.8)
Puede encontrar orientación adicional específica de PIMS relacionada con el procesamiento de PII en la cláusula 6.3.1.1, que también está vinculada a los artículos contenidos en la legislación GDPR.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.3.1.1 – Funciones y responsabilidades de seguridad de la información
Referencias ISO 27002 Control 5.2
Las organizaciones deben definir roles y responsabilidades que sean específicas de las funciones individuales contenidas en su política de protección de la privacidad, tanto su política general como sus políticas temáticas específicas.
Las personas con responsabilidades específicas deben tener las habilidades suficientes para llevar a cabo tareas relacionadas con la privacidad y se les debe ofrecer apoyo continuo que mantenga un nivel aceptable de competencia.
Las áreas de responsabilidad deben incluir:
- La protección de la PII y cualquier activo relacionado con la privacidad.
- Ejecutar procedimientos de protección de la privacidad.
- Actividades de gestión de riesgos relacionados con la PII, incluidas acciones correctivas.
- Cualquiera que utilice la información y los datos de la organización, incluido el uso de activos TIC.
- Personas con responsabilidad de alto nivel en materia de protección de la privacidad que delegan tareas a otros.
ISO reconoce que cada organización es única en la forma en que procesa la información. Las áreas de responsabilidad anteriores deben ir acompañadas de pautas específicas del sitio y de la instalación que tengan en cuenta los factores del mundo real que afectan la operación de procesamiento de PII de una organización.
Todas las responsabilidades y áreas de seguridad anteriores deben documentarse claramente y ponerse a disposición de todos los miembros del personal relevantes.
Orientación adicional específica de PIMS
Las organizaciones deben designar a una persona que los clientes (y las autoridades externas) puedan utilizar como punto de contacto exclusivo para todos los asuntos relacionados con la PII (consulte ISO 27701 7.3.2).
Además, las organizaciones deben delegar la responsabilidad a una o más personas para crear un programa de gobernanza de la privacidad organizacional que refuerce el cumplimiento de las leyes y regulaciones de PII localizadas y nacionales.
Artículos aplicables del RGPD
- Artículo 27 – (1), (2)(a), (2)(b), (3), (4), (5)
- Artículo 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artículo 38 – (1), (2), (3), (4), (5), (6)
- Artículo 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Cláusulas de apoyo
- ISO 27701 Cláusula 7.3.2
ISO 27701 Cláusula 6.3.1.2 – Segregación de funciones
Referencias ISO 27002 Control 5.3
En una organización con muchas funciones diferentes relacionadas con la privacidad, las responsabilidades y deberes a menudo pueden entrar en conflicto entre sí.
Los individuos a menudo pueden desempeñar funciones que tienen el potencial de comprometer la PII, en virtud de que son la única autoridad o carecen de supervisión gerencial.
Las responsabilidades deben segregarse para garantizar una operación de protección de la privacidad más sólida. Ejemplos de roles que pueden contener conflictos incluyen:
- Solicitar, aprobar o implementar un cambio en el PIMS.
- Realizar modificaciones a los derechos de acceso, incluido el RBAC.
- Escribir o modificar código, o realizar cualquier tipo de desarrollo de aplicaciones.
- Utilizar aplicaciones o bases de datos que se ocupen del procesamiento y/o almacenamiento de PII.
- Redactar, aprobar y/o revisar controles de protección de la privacidad.
Los controles de segregación deben desarrollarse teniendo en cuenta varios factores:
- Prevenir la colusión.
- Identificar conflictos.
- Actividades de seguimiento.
- Creación de pistas de auditoría.
- Automatizar el proceso de identificación de conflictos.
ISO reconoce que a las organizaciones más pequeñas puede resultarles difícil segregar funciones, dados sus recursos limitados, pero, no obstante, se debe aplicar todo el concepto de segregación en la medida en que sea comercial y operativamente posible.
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.3.1.5 – Seguridad de la información en la gestión de proyectos
Referencias ISO 27002 Control 5.8
Además de la generación de ingresos recurrentes del día a día, la protección de la privacidad también debería extenderse a las actividades de implementación y gestión de proyectos.
Los proyectos a menudo incluyen la migración, creación y alteración de grandes cantidades de PII y, como tal, se les debe dar la consideración adecuada para que las organizaciones mantengan el cumplimiento de las leyes y pautas regulatorias localizadas y nacionales relacionadas con la privacidad.
Un "proyecto" puede ser cualquier actividad que altere una forma estándar de trabajo o introduzca nuevos procesos y/o equipos y aplicaciones en una organización.
Las actividades de gestión de proyectos deben garantizar que:
- Los riesgos y requisitos de protección de la privacidad se consideran desde el principio del proyecto y se mantienen durante todo el ciclo de vida del proyecto (ver ISO 27002, cláusulas 5.32 y 8.26).
- La protección de la privacidad se supervisa y se actúa continuamente, mediante evaluaciones formales realizadas por personas u órganos de gobierno adecuados y pruebas estructuradas.
- Todas las funciones relacionadas con la protección de la privacidad específica del proyecto están claramente definidas.
- Cualquier producto o servicio que se entregue como parte del proyecto debe crearse de acuerdo con los estándares de privacidad publicados por la organización.
- La protección de la privacidad se refuerza mediante métodos como el modelado de amenazas, revisiones de incidentes, umbrales de vulnerabilidad y planificación de contingencias.
Los esfuerzos de protección de la privacidad no deben limitarse a los proyectos de TIC. Las organizaciones deben considerar una variedad de factores al determinar los requisitos específicos relacionados con la PII, que incluyen:
- Las variables de información únicas, incluidos los datos específicos que involucran, sus necesidades de seguridad y las consecuencias de una violación o uso indebido.
- Las garantías que es necesario buscar en términos de confidencialidad, integridad y disponibilidad.
- El suministro de derechos de acceso y protocolos de autorización para personal interno y externo (incluidos los clientes).
- Establecer expectativas claras que informen a los usuarios de sus obligaciones.
- Los requisitos de otros controles internos de seguridad.
- Cualquier acción relacionada con el sistema que sea necesaria debido a actividades operativas (por ejemplo, registro de transacciones).
- Mantener el cumplimiento de los requisitos legales, reglamentarios y contractuales.
- Obligaciones contractuales de terceros que estén alineadas con los estándares de privacidad propios de la organización.
Controles ISO 27002 relevantes
- ISO 27002 5.32
- ISO 27002 8.26
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.3.1.1 | Funciones y responsabilidades de seguridad de la información |
5.2 – Funciones y responsabilidades de seguridad de la información para ISO 27002 |
Artículos (27), (37), (38), (39) |
| 6.3.1.2 | Segregación de deberes |
5.3 – Segregación de Funciones para ISO 27002 |
Ninguna |
| 6.3.1.5 | Seguridad de la información en la gestión de proyectos |
5.8 – Seguridad de la Información en la Gestión de Proyectos para ISO 27002 |
Ninguna |
Cómo ayuda ISMS.online
Nuestras soluciones ISMS.online facilitan a las organizaciones lograr la supervisión de proyectos, garantizando que las políticas y procedimientos del controlador y procesador de datos estén en línea con el estándar ISO.
Nuestro sistema en línea también garantiza que los implementadores del sistema tengan un lugar único de referencia y colaboración.
Nuestro Método de Resultados Asegurados (ARM) le permite estar seguro de que está cumpliendo todos los requisitos necesarios para cumplir con el estándar.
Obtenga más información y obtenga una demostración práctica de reservar una demostración.
