ISO 27701 چیست؟
- الزامات و راهنمایی برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت اطلاعات حریم خصوصی( PIMS) را مشخص می کند.
- بر اساس الزامات، اهداف کنترلی و کنترل های ISO 27001 شامل مجموعه ای از الزامات، کنترل ها و اهداف کنترلی خاص حریم خصوصی است.
چرا ISO 27701 توسعه یافت؟
برای اطمینان از حفظ حریم خصوصی داده های شخصی که پردازش میشود.
ISO 27001 و ISO 27701 چگونه با یکدیگر ادغام می شوند؟
ISO 27001 الزامات یک ISMS (سیستم مدیریت امنیت اطلاعات) را تعیین می کند، یک رویکرد مبتنی بر ریسک که افراد، فرآیندها و فناوری را در بر می گیرد. گواهینامه ISO 27001 به ذینفعان این اطمینان را می دهد که داده ها ایمن هستند.
سازمانهایی که ISO 27001 را پیادهسازی کردهاند، میتوانند از ISO 27701 برای گسترش تلاشهای امنیتی خود برای پوشش مدیریت حریم خصوصی از جمله پردازش دادههای شخصی/PII (اطلاعات قابل شناسایی شخصی) – استفاده کنند که میتواند به آنها کمک کند تا نشان دهند با قوانین حفاظت از داده ها مانند GDPRاقدامات معقولی برای رعایت آنها انجام داده اند.
سازمان هایی که ISMS را نداردند می توانند ISO 27001 و ISO 27701 را با هم به عنوان یک پروژه واحد پیاده سازی کنند.
چه کسی باید ISO 27701 را پیاده سازی کند؟
ISO 27701 به گونه ای طراحی شده است که همه کنترل کننده ها و پردازشگرهای داده از آن استفاده کنند. مانند ISO 27001، از یک رویکرد مبتنی بر ریسک حمایت می کند تا هر سازمان مطابق با خطرات خاصی که با آن مواجه است، ریسک های داده های شخصی و حریم خصوصی را مورد توجه قرار دهد.
تفاوت بین سیستم مدیریت اطلاعات حریم خصوصی و سیستم مدیریت اطلاعات شخصی چیست؟
در حالی که ISO 27701 الزامات یک سیستم مدیریت اطلاعات حریم خصوصی را تعیین می کند، BS 10012 استاندارد بریتانیایی برای سیستم مدیریت اطلاعات شخصی است.
تفاوت کمی بین این دو عبارت وجود دارد – هر دو سیستم های مدیریتی هستند که برای ایمن سازی اطلاعات شخصی طراحی شده اند و به خاطر فعالیت های روزمره می توانید نام اختصاری “PIMS” را برای اشاره به هر یک فرض کنید. با این حال، تفاوت های قابل توجهی بین این دو رویکرد وجود دارد که در زیر مورد بررسی قرار می گیرد.
GDPR |
ISO 27701 |
داده های شخصی | اطلاعات قابل شناسایی شخصی |
کنترل کننده داده | اطلاعات قابل شناسایی شخصی کنترل کننده |
پردازشگر داده | اطلاعات قابل شناسایی شخصی پردازشگر |
داده محور | قواعد اطلاعات قابل شناسایی شخصی |
حفاظت از داده ها با طراحی | حریم خصوصی با طراحی |
حفاظت از داده ها به صورت پیش فرض | حریم خصوصی به طور پیش فرض |
طرح های کنترلی ISO 27701
ISO 27701 علاوه بر ارائه الزامات، کنترلها و اهداف کنترلی خاص حریم خصوصی برای کنترلکنندهها و پردازندهها، شامل ضمیمههایی است که دربرگیرنده موارد ذیل است:
ISO 29100 فناوری اطلاعات – تکنیک های امنیتی – چارچوب حریم خصوصی
ISO 29151 فناوری اطلاعات – تکنیک های امنیتی – آیین نامه حفاظت از اطلاعات شخصی قابل شناسایی
ISO 27018 فناوری اطلاعات – تکنیک های امنیتی – آیین نامه حفاظت از اطلاعات شخصی قابل شناسایی (PII) در فضاهای ذخیره سازی ابری عمومی که به عنوان پردازنده های PII عمل می کنند.
همچنین شامل ضمیمهای است که الزامات و کنترلهای آن را با الزامات GDPR بیان میکند، بنابراین ISO 27701 میتواند به عنوان راهنمای انطباق GDPR توسط کنترلکنندهها و پردازشگرهای داده استفاده شود.
به عنوان مثال، تعهدات کنترلکنندههای داده برای رعایت حقوق داده ها تحت GDPR تحت کنترلهای ISO 27701 است که تعهدات مدیران به PII را پوشش میدهد.
راهنمایی برای اجرای هر کنترل ارائه شده است.
انطباق GDPR با ISO 27701 و ISO 27001 را نشان دهید
اجرای ISO 27701 و ISO 27001 شما را قادر می سازد تا الزامات حفظ حریم خصوصی و امنیت اطلاعات GDPR و سایر رژیم های حفاظت از داده ها را برآورده کنید و نشان دهید که ترتیبات مدیریتی برای “اقدامات فنی و سازمانی مناسب” برای محافظت از داده های شخصی که پردازش می کنید دارید. و مطابق با اصل پاسخگویی مقررات (ماده ۵ (۲)) از حقوق افراد با محوریت داده حمایت می کند.
ماده ۴۲ GDPR مکانیسم های صدور گواهینامه حفاظت از داده ها، مهر و موم و نشان های حفاظت از داده ها را مورد بحث قرار می دهد. هنوز چنین مکانیسم هایی وجود ندارد. با این حال، امکان دستیابی به گواهینامه معتبر مستقل به ISO 27001 – و با گسترش ISO 27701 در صورت اجرای کنترلهای آن – وجود دارد که به ذینفعان و تنظیمکنندهها نشان میدهد که سازمان شما بهترین شیوه بینالمللی را در مورد امنیت دادههای شخصی/PII دنبال میکند.