Cómo la norma ISO 27701 garantiza la privacidad durante el empleo: una guía para la cláusula 6.4.2
Las organizaciones tienen una obligación hacia su personal, que se extiende a informarles sobre lo que se espera de ellas dentro del contexto de la protección de la privacidad y la PII, tanto a nivel general como a nivel de tema específico.
En su calidad de controladores de PII, las organizaciones deben proporcionar programas continuos de capacitación y concientización, y adherirse a una política disciplinaria sólida que establezca expectativas claras en ambas partes, en caso de una violación de datos.
Qué se cubre en la cláusula 27701 de la norma ISO 6.4.2
ISO 27701 6.4.2 contiene tres subcláusulas principales que tratan varios aspectos de temas de protección de la privacidad específicos del empleo.
Cada tema contiene Orientación de una serie de controles ISO 27002., presentado en el contexto de la gestión de la información de privacidad organizacional y la protección de la PII:
- ISO 27701 Cláusula 6.4.2.1 – Responsabilidades de la gestión (Referencias ISO 27002 Control 5.4)
- ISO 27701 Cláusula 6.4.2.2 – Concientización, educación y capacitación sobre seguridad de la información (Referencias ISO 27002 Control 6.3)
- ISO 27701 Cláusula 6.4.2.3 – Procedimientos disciplinarios (Referencias ISO 27002 Control 6.4)
Puede encontrar orientación adicional específica de PIMS relacionada con el procesamiento de PII en la cláusula 6.4.2.1, que también está vinculada a la legislación GDPR del Reino Unido.
Tenga en cuenta que las comparaciones del RGPD son para fines indicativos únicamente. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.4.2.1 – Responsabilidades de la gestión
Referencias ISO 27002 Control 5.4
La gerencia desempeña un papel clave en el mantenimiento de los estándares de protección de la privacidad, tanto desde una perspectiva administrativa como también para garantizar que el personal comprenda lo que se espera de ellos y se comporte en consecuencia.
La alta dirección debe garantizar que todo el personal:
- Reconocer sus responsabilidades individuales hacia la gestión de la información de privacidad y la protección de la privacidad, tanto en general como desde una perspectiva de tema específico, antes de que se les permita interactuar con PII y activos relacionados (consulte ISO 27002 6.3).
- Se les proporciona un conjunto claro de pautas y procedimientos que rigen la protección de la privacidad en el contexto de su función.
- Reciben los recursos y los niveles adecuados de autoridad para planificar proyectos/cambios y cumplir con las políticas de protección de privacidad generales y específicas de cada tema de la organización.
- Comprender los términos y condiciones de su empleo, en relación con la protección de la privacidad, y lo que significan en la práctica.
- Se les brinda la oportunidad de desarrollar su comprensión de la protección de la privacidad como concepto y como consideración operativa continua.
- Comprender cómo comunicar de forma anónima las infracciones de las políticas de protección de la privacidad en toda la organización y contar con los medios para ello (también conocido como “denuncia de irregularidades”).
Controles relevantes
- ISO 27002 6.3
ISO 27701 Cláusula 6.4.2.2 – Concientización, educación y capacitación sobre seguridad de la información
Referencias ISO 27002 Control 6.3
Cursos
La capacitación continua en el lugar de trabajo garantiza que el personal se mantenga actualizado con las políticas de protección de la privacidad de la organización (generales y específicas de cada tema), los cambios dentro de la legislación de PII y las pautas regulatorias específicas del sector.
Como enfoque general, las organizaciones deben implementar programas periódicos de capacitación del personal (incluso durante la fase de incorporación) que se alineen específicamente con sus propias políticas de protección de la privacidad generales y específicas de cada tema, y con los requisitos relacionados con PIMS.
Los formatos de capacitación pueden incluir:
- aprendizaje electrónico.
- Consultoría uno a uno.
- Los miembros del personal se siguen unos a otros.
- Seminarios de capacitación dedicados realizados por especialistas en protección de la privacidad generalizada o específica de un tema.
- Mentoría en el lugar de trabajo.
El personal que desempeña un papel especializado en la protección de la privacidad (por ejemplo, el personal de mantenimiento de las TIC) debería beneficiarse de planes de formación especializados que tengan en cuenta el papel integral que desempeñan en la protección de la PII.
Los planes/sesiones de capacitación deben concluir con una evaluación que proporcione a la organización una visión de arriba hacia abajo de los niveles de competencia empleado por empleado.
Programas de concientización
Para complementar la capacitación en el lugar de trabajo, las organizaciones también deberían implementar programas de concientización sobre la protección de la privacidad que proporcionen al personal una variedad de materiales que actúen como puntos de información sobre el tema de la PII y la protección de la privacidad organizacional.
Los programas de concientización pueden incluir:
- folletos.
- folletos
- carteles de oficina.
- sitios web dedicados.
- sesiones informativas del equipo.
Los esfuerzos de concientización deben centrarse en:
- Cómo planea la gerencia mantener el cumplimiento de la protección de la privacidad en toda la organización y quiénes son los principales puntos de contacto para asuntos relacionados con la PII.
- Cuáles son los requisitos de cumplimiento de la organización, teniendo en cuenta leyes, estipulaciones reglamentarias, obligaciones contractuales y acuerdos con proveedores.
- Enfatizar la necesidad de responsabilidad personal cuando se trata de proteger la PII y cuáles son las consecuencias en caso de violaciones procesales accidentales o intencionadas.
- Principios fundamentales de seguridad de las TIC, como la seguridad de las contraseñas y la notificación de incidentes.
- Cómo puede el personal informarse sobre los aspectos más finos de la protección de la privacidad (lecturas adicionales, listas de recursos, etc.).
Orientación adicional específica de PIMS
La PII debe tratarse como un tema independiente dentro de los programas de capacitación en protección de la privacidad.
Es necesario concienciar al personal de las consecuencias legales, comerciales, reputacionales y disciplinarias específicas que resultan de la apropiación indebida y/o el mal manejo de la PII.
Orientación del RGPD
- Artículo 39 – (1)(b)
Libérate de una montaña de hojas de cálculo
Integre, amplíe y escale su cumplimiento normativo, sin complicaciones. IO le brinda la resiliencia y la confianza para crecer con seguridad.
ISO 27701 Cláusula 6.4.2.3 – Procedimientos disciplinarios
Referencias ISO 27002 Control 6.4
Las organizaciones deben desarrollar procedimientos disciplinarios que atiendan a las personas que hayan violado políticas de protección de privacidad generales o específicas de un tema.
Antes de tomar cualquier acción disciplinaria, es importante que la organización confirme que efectivamente se ha producido una infracción de la política (consulte ISO 27002 5.28).
Los procedimientos disciplinarios deben tener en cuenta:
- La naturaleza subyacente de la violación de datos y cuáles son las diversas consecuencias.
- Los motivos del individuo en cuestión y si la infracción fue intencionada o no.
- Cuántas veces el individuo ha violado la política de protección de privacidad.
- Si el individuo ha recibido suficiente formación sobre los aspectos relevantes de la protección de la privacidad.
- Cualquier derecho individual al anonimato, durante todo el proceso disciplinario.
Las acciones disciplinarias en caso de un incumplimiento confirmado deben usarse como disuasivo para actividades similares y deben tener en cuenta las obligaciones de la organización como controlador y procesador de PII, junto con todas las leyes, directrices regulatorias y obligaciones contractuales pertinentes.
Controles relevantes
- ISO 27002 5.28
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.4.2.1 | Responsabilidades de gestión |
5.4 – Responsabilidades de la Dirección para ISO 27002 |
Ninguna |
| 6.4.2.2 | Concientización, educación y capacitación sobre seguridad de la información |
6.3 – Concientización, educación y capacitación sobre seguridad de la información para ISO 27002 |
Artículo (39) |
| 6.4.2.3 | Procedimientos disciplinarios |
6.4 – Proceso Disciplinario para ISO 27002 |
Ninguna |
Cómo ayuda ISMS.online
Te tenemos cubierto.
Si por alguna razón experimenta falta de confianza, capacidad o impulso para tomar medidas durante su camino hacia la norma ISO 27701, podemos poner a disposición nuestro equipo de expertos internos o recomendarle a uno de nuestros socios de confianza para impulsar sus esfuerzos.
Aquí para ayudarte cuando lo necesites.
Descubre más por reservar una demostración.
