ISO 27701 es una extensión de ISO/IEC 27001 e ISO/IEC 27002 para la gestión de información privada. Vamos a explicar lo que eso significa.
ISO/IEC 27701 le ayudará a gestionar la información de identificación personal (PII) dentro de su organización. Es un nuevo estándar, diseñado para que lo utilice cualquier persona. responsable de la PII en cualquier tipo de organización.
El estándar le muestra cómo diseñar, configurar, administrar y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS). Le brinda mucha flexibilidad en la forma de crear y ejecutar su PIMS. La flexibilidad de ISO 27701 también le ayudará a seguir las normativas locales de PII pertinentes.
ISO 27701 se basa en ISO/IEC 27001. Eso significa que puede:
La norma ISO 27701 entró en vigor el 6 de agosto de 2019. Debido a que la norma es tan nueva, muy pocas organizaciones la han adoptado. Si elige optar por la certificación ISO 27701, se encontrará por delante del paquete de seguridad de la información.
ISO 27001 Es el estándar de seguridad más popular del mundo, pero tiene algunas lagunas. En particular, no te dice cómo configurar Información de identificación personal (PII) medidas de seguridad. El Reglamento General de Protección de Datos (GDPR) de la UE puso de relieve la falta de una guía clara de PII de la ISO 27001. GDPR solicita medidas de seguridad de PII, pero no brinda ninguna guía ni requisitos de implementación.
Entonces comenzó a trabajar en el estándar que se convertiría en ISO 27701. El nuevo estándar de gestión de PII se desarrolló por primera vez como ISO/IEC 27522. El trabajo técnico en ISO 27522 finalizó en 2019, lo que llevó a la publicación del nuevo estándar el 6 de agosto de 2019. Es un extensión de ISO/IEC 27001. Antes de su publicación, ISO/IEC 27522 se convirtió en ISO/IEC 27701. Esto se debe a que cualquier estándar que describa cómo crear un sistema de gestión debe terminar con 01.
La información de identificación personal (PII) es información que revela la identidad de alguien. La PII revela identidades por sí sola o en combinación con otros datos. Algunas categorías de PII son muy sensibles. Por ejemplo, sólo puedes mantener y procesar datos sobre condenas penales y delitos en circunstancias muy limitadas.
Casi todas las organizaciones poseen información de identificación personal (PII) detallada sobre personas individuales. Si la PII se filtra, puede ser muy perjudicial. Un sistema de gestión de información de privacidad (PIMS) compatible con ISO/IEC 27701 protegerá su PII.
Le ayudará a evitar los resultados negativos de las violaciones de PII, que pueden incluir:
Lograr la certificación ISO 22701 también puede tener muchos impactos positivos, entre ellos:
La mayoría de las organizaciones necesitan conservar y procesar información sobre algunos o todos sus:
Esas personas dependen de organizaciones que recopilan datos para mantener esa información privada. El riesgo y los posibles daños derivados de una violación de la información de privacidad o de la información de identificación personal (PII) están aumentando rápidamente. Los problemas pueden incluir:
Por eso, cada vez más organizaciones están creando sistemas de gestión de información de privacidad (o PIMS). Un PIMS eficaz, certificado o compatible con ISO 27701 tiene muchos beneficios potenciales. Puede:
Para aumentar la seguridad, puede seudonimizar o anonimizar su PII. Las definiciones del RGPD de esas dos formas de gestionar sus datos personales son:
Los datos seudonimizados aún pueden estar sujetos a PII regulaciones y requisitos. La mayoría de los regímenes regulatorios probablemente no se aplicarán a los datos anónimos.
La diferencia entre datos seudonimizados y anónimos puede ser bastante sutil y compleja. Puede variar en diferentes jurisdicciones. Deberá verificar cuidadosamente para asegurarse de que está aplicando todas las regulaciones relevantes a su PII.
Ah, y si tienes información sobre alguien que (muy tristemente) ha muerto, entonces probablemente no sea PII. La información sobre el fallecido generalmente no se clasifica como personal. Los datos de empresas, autoridades públicas u otras organizaciones probablemente tampoco sean PII.
ISMS.online le ahorrará tiempo y dinero para obtener la certificación ISO 27001 y facilitará su mantenimiento.
Gerente de Seguridad de la Información, Honeysuckle Health
Un PIMS es un sistema de gestión de información personal. Combina:
para proteger la información de identificación personal (PII) que su organización posee y utiliza. Un PIMS eficaz garantizará a su organización:
Su PIMS le ayudará a almacenar y compartir PII, tanto interna como externamente. El PIMS adecuado también facilitará que las personas actualicen y corrijan cualquier información que tenga sobre ellos.
Una sesión práctica adaptada a tus necesidades y objetivos.
Para implementar la norma ISO 27701, su organización necesita para:
1. Proceso y/o gestionar información de identificación personal (PII)
2. Tener una Sistema de gestión de seguridad de la información certificado ISO 27001 (SGSI)
No importa qué tipo o tamaño de organización sea. Los requisitos de ISO 27701 se adaptan para cubrir todos los tipos y tamaños de organizaciones. Eso incluye (pero no se limita a):
1. Empresas publicas y privadas
2. Entidades gubernamentales
3. Organizaciones sin fines de lucro
Conozca la norma ISO 27701. Le ayudará a definir su estrategia de gestión de privacidad y planificar su PIMS. Luego construya su PIMS, creando sus sistemas y controles tácticos. Luego implemente su PIMS, asegurándose de seguir todos los requisitos de ISO 27701.
Estará listo para su auditoría una vez que sea posible la certificación ISO 27701 completa. Por el momento, el estándar es tan nuevo que nadie está acreditado para certificarlo.
Ah, y para lograr la norma ISO 27001, deberá cumplir o estar certificado con la norma ISO 27001. Si no tiene ISO 27001, también deberá planificar cómo implementarla.
ISO/IEC 27701:2019 es tan nueva que no cuenta con ningún organismo de certificación acreditado. Entonces, al momento de escribir este artículo, no es posible obtener la certificación ISO 27701.<.p>
Recomendaciones lograr el cumplimiento de la norma ISO 27001, para que esté listo cuando la certificación sea posible. Parece que podrá obtener la certificación ISO 27701 a partir de mediados de 2021.
Para lograr el cumplimiento de ISO/IEC 27701:2019, necesita diseñar, construir e implementar un Sistema de gestión de información personal (PIMS) para su organización.
Su nuevo PIMS debería seguir:
1. La norma ISO 27701 en todos sus aspectos relevantes
2. Cualquier normativa nacional o internacional que se aplique a su organización.
ISO 27701 supone que ya ha logrado el cumplimiento o la certificación ISO 27001. Eso significa creación de un sistema de gestión de seguridad de la información (SGSI). Puede configurar su SGSI antes o junto con su implementación de ISO 27701.
Cuando opte por la certificación ISO 27701, sus auditores evaluarán su PIMS mediante:
1. Leer la documentación de su PIMS
2. Entrevistar a su gente para asegurarse de que lo comprendan y lo utilicen.
3. Realizar pruebas para ver qué tan bien funciona en la práctica.
Para mostrar buenas prácticas ISO 27701, necesitará:
1. Documentación PIMS completa
2. Personal bien entrenado
3. Políticas y procedimientos ampliamente comprendidos y seguidos.
ISO/IEC 27701:2019 es tan nueva que no cuenta con ningún organismo de certificación acreditado. Entonces, al momento de escribir este artículo, en realidad no es posible obtener la certificación ISO 27701. Cuando la certificación ISO 27701 sea posible, seguirá un proceso similar al de la certificación ISO 27001.
Primero deberá diseñar, construir e implementar su Sistema de gestión de información personal (PIMS). Asegúrese de seguir los requisitos establecidos en la norma ISO 27701. Luego regístrese con un organismo de certificación independiente reconocido, que auditará su PIMS.
Los auditores de su organismo de certificación evaluarán su documentación PIMS. Luego probarán su PIMS, generalmente mediante entrevistas y muestreos en el sitio. Si pasa su auditoría, está certificado. Luego tendrá dos auditorías de vigilancia anuales. Después de tres años, deberá volver a obtener la certificación.
ISO 27701 llena algunos vacíos de información de identificación personal en ISO 27001. Por lo tanto, puede implementarla junto con ISO 27001 o después.
Además de ISO 27001, ISO 27701 se aplica a:
Tenga en cuenta que también deberá seguir las regulaciones locales si asigna ISO 27701 a cualquier otro estándar.
ISO 27701 es independiente del RGPD. Pero si cumple o está certificado con la norma ISO 27701, su sistema de gestión de información personal cumplirá con el RGPD.
ISO 27701 se desarrolló por primera vez como ISO/IEC 27522. El nombre de la norma cambió a ISO 27701 antes de su lanzamiento en 2019. ISO 27522 se convirtió en ISO 27701 porque cualquier estándar que indique cómo configurar un sistema de gestión debe terminar en 01.
El sistema Familia de normas ISO 27000 se centra en la seguridad de la información. Cada estándar ISO 27000 tiene un énfasis y requisitos de seguridad de la información diferentes. Organizaciones de cualquier tamaño o tipo pueden utilizarlos.
Los miembros clave de la familia incluyen:
El Anexo D de la norma ISO 27701 le indica cómo asignar sus controles al Reglamento general de protección de datos (GDPR) de la UE.
El anexo F de la norma ISO 27701 explica cómo ampliar ISO IEC 27001 y ISO / IEC 27002 para proteger la información de identificación personal (PII).
Para simplificarte las cosas, ISMS.online ha creado una plataforma basada en la nube. Esta plataforma se adhiere a los criterios de las normas ISO y también satisface los requisitos de la norma ISO 27701. Esto le permite crear y demostrar el cumplimiento de la norma ISO 27701, simplificando así la certificación.
Nuestra plataforma basada en la nube le permite acceder a todos sus recursos SGSI en un solo lugar. Contamos con un equipo interno de expertos en seguridad de la información que pueden brindarle orientación y responder preguntas para ayudarlo en su camino hacia la implementación de ISO 27701 para que pueda demostrar su dedicación a las mejores prácticas de gobernanza de la seguridad de la información. Llame a ISMS.online al +44 (0)1273 041140 para obtener más información sobre cómo podemos ayudarle a obtener la certificación ISO 27701.
Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento
Más información
Aborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento
Más información
Tome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.
Más información
Simplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión
Más información
Ilumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.
Más información
Seleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad
Más información
Integraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento
Más información
Agregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más
Más información
Involucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento
Más información
Gestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.
Más información
Mapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente
Más información
Fuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas
Más informaciónEl 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez
