Cláusula 27701 de la norma ISO 6.5.2: La clave para una clasificación eficaz de la información
El mundo del comercio global está lleno de todo tipo de información, desde conjuntos de datos mundanos y disponibles públicamente hasta registros PII altamente confidenciales que contienen información financiera y copias de identificaciones gubernamentales.
Las organizaciones deben tener un conocimiento firme de las diferentes categorías de datos que almacenan, procesan y transfieren, y ajustar su operación para acomodar la información según su propósito y tipo de riesgo.
Una vez que la organización sea capaz de distinguir entre varios tipos de datos, especialmente en el caso de PII, debería poder etiquetar claramente dicha información de manera que distinga las diferentes categorías entre sí y tener en cuenta los distintos niveles de riesgo en cómo se protege la privacidad. Los activos relacionados son procesos y se manejan en toda la organización.
Qué se cubre en la cláusula 27701 de la norma ISO 6.5.2
La cláusula 27701 de ISO 6.5.2 contiene tres subcláusulas que contienen todo lo que una organización necesita saber sobre cómo clasificar, etiquetar y manejar la PII.
Las tres subcláusulas contienen información obtenida de ISO 27002, pero con un enfoque específico en PII y protección de la privacidad:
- ISO 27701 6.5.2.1 – Clasificación de la información (Referencias ISO 27002 Control 5.12)
- ISO 27701 6.5.2.2 – Etiquetado de información (Referencias ISO 27002 Control 5.13)
- ISO 27701 6.5.2.3 – Manejo de activos (Referencias ISO 27002 Control 5.10)
Las subcláusulas 6.5.2.1 y 6.5.2.2 contienen orientación relevante para la legislación GDPR del Reino Unido y los artículos relevantes se han enumerado para su conveniencia.
Tenga en cuenta que las citas del RGPD son sólo para fines indicativos. Las organizaciones deben examinar la legislación y emitir su propio juicio sobre qué partes de la ley se aplican a ellas.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.5.2.1 – Clasificación de la información
Referencias ISO 27002 Control 5.12
En lugar de poner toda la información en pie de igualdad, las organizaciones deberían clasificar la información según un tema específico.
Los propietarios de la información deben considerar cuatro factores clave al clasificar los datos (especialmente los relacionados con la PII), que deben revisarse periódicamente o cuando dichos factores cambien:
- El sistema confidencialidad de los datos.
- El sistema integridad de los datos.
- Data disponibilidad .
- la organizacion obligaciones legales hacia PII.
Para proporcionar un marco operativo claro, las categorías de información deben nombrarse de acuerdo con el nivel de riesgo inherente, en caso de que ocurra algún incidente que comprometa cualquiera de los factores anteriores.
Para garantizar la compatibilidad entre plataformas, las organizaciones deben poner sus categorías de información a disposición de cualquier personal externo con el que compartan información y garantizar que todas las partes relevantes comprendan ampliamente el propio esquema de clasificación de la organización.
Las organizaciones deben tener cuidado con la subclasificación o, por el contrario, la sobreclasificación de datos. Lo primero puede dar lugar a errores al agrupar la PII con tipos de datos menos sensibles, mientras que lo primero a menudo genera gastos adicionales, una mayor probabilidad de errores humanos y anomalías en el procesamiento.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f), (32)(2)
ISO 27701 Cláusula 6.5.2.2 – Etiquetado de información
Referencias ISO 27002 Control 5.13
Las etiquetas son una parte clave para garantizar que se cumpla la política de clasificación de PII de la organización (ver arriba) y que los datos puedan identificarse claramente de acuerdo con su sensibilidad (por ejemplo, que la PII se etiquete para distinguirla de tipos de datos menos confidenciales).
Los procedimientos de etiquetado de PII deben definir:
- Cualquier escenario en el que no se requiera etiquetado (datos disponibles públicamente).
- Instrucciones sobre cómo el personal debe etiquetar ambos digital y los libros físicos activos y lugares de almacenamiento.
- Planes de contingencia para cualquier escenario donde el etiquetado no sea físicamente posible.
ISO ofrece un amplio margen para que las organizaciones elijan sus propias técnicas de etiquetado, que incluyen:
- Físico etiquetado.
- Electronic etiquetas en encabezados y pies de página.
- La adición o modificación de metadatos, incluidos términos de búsqueda y funcionalidad interactiva con otras plataformas de gestión de información (por ejemplo, el PIMS de la organización).
- marcas de agua que proporciona una indicación clara de la clasificación de los datos documento por documento.
- Stamp marcas en copias físicas de información.
Artículos aplicables del RGPD
- Artículo 5 – (1)(f)
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.5.2.3 – Manejo de Activos
Referencias ISO 27002 Control 5.10
Las organizaciones deben desarrollar un banco de políticas de uso aceptable específicas para cada tema, que cubra el manejo de activos e información relacionados con la PII.
Cualquier grupo o individuo (ya sea interno o externo) que tenga la capacidad de manejar PII en nombre de la organización, o como parte de un acuerdo de intercambio de información, debe comprender sus responsabilidades y lo que se espera de ellos.
Las políticas temáticas específicas deben definir claramente:
- Comportamiento aceptable e inaceptable, en el contexto de la protección de la privacidad.
- Cómo y dónde se permite el uso de la PII.
- Los detalles de la operación de seguimiento de la PII de la organización.
Se deben implementar procesos y procedimientos que tengan en cuenta:
- Requisitos de RBAC (o cualquier forma de control de acceso digital y/o físico) que proteja el acceso a la PII.
- Un registro exhaustivo de quién tiene permiso para acceder a PII y a activos e información relacionados con la privacidad.
- Cómo proteger copias temporales y permanentes de información relacionada con la privacidad.
- Directrices de los fabricantes al almacenar activos relacionados con la privacidad (consulte ISO 27002 7.8).
- Cómo se marcan los medios de almacenamiento para la atención del destinatario (consulte ISO 27002 7.10).
- Cómo se deben eliminar o destruir permanentemente la PII y los activos relacionados con la privacidad (consulte ISO 27002 8.10).
Controles ISO 27002 relevantes
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.5.2.1 | Clasificación de la información |
5.12 – Clasificación de la Información para ISO 27002 | Artículos (5), (32) |
| 6.5.2.2 | Etiquetado de información |
5.13 – Etiquetado de Información para ISO 27002 | Artículo (5) |
| 6.5.2.3 | Manejo de Activos |
5.10 – Uso aceptable de la información y otros activos asociados para ISO 27002 | Nona |
Cómo ayuda ISMS.online
La plataforma ISMS.online tiene orientación integrada en cada etapa, además de nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', para ayudarlo a lograr ISO 27701 con menos esfuerzo.
Además, se beneficiará de una variedad de funciones que le permitirán ahorrar tiempo.
Descubre más por reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
