ISO 27701  چیست؟

  • الزامات و راهنمایی برای ایجاد، پیاده سازی، نگهداری و بهبود مستمر سیستم مدیریت اطلاعات حریم خصوصی( PIMS) را مشخص می کند.
  • بر اساس الزامات، اهداف کنترلی و کنترل های ISO 27001 شامل مجموعه ای از الزامات، کنترل ها و اهداف کنترلی خاص حریم خصوصی است.

چرا ISO 27701 توسعه یافت؟

برای اطمینان از حفظ حریم خصوصی داده های شخصی که پردازش میشود.

ISO 27001 و ISO 27701 چگونه با یکدیگر ادغام می شوند؟

ISO 27001 الزامات یک ISMS (سیستم مدیریت امنیت اطلاعات) را تعیین می کند، یک رویکرد مبتنی بر ریسک که افراد، فرآیندها و فناوری را در بر می گیرد. گواهینامه ISO 27001 به ذینفعان این اطمینان را می دهد که داده ها ایمن هستند.

سازمان‌هایی که ISO 27001 را پیاده‌سازی کرده‌اند، می‌توانند از ISO 27701 برای گسترش تلاش‌های امنیتی خود برای پوشش مدیریت حریم خصوصی از جمله پردازش داده‌های شخصی/PII (اطلاعات قابل شناسایی شخصی) – استفاده کنند که می‌تواند به آنها کمک کند تا  نشان دهند با قوانین حفاظت از داده ها مانند  GDPRاقدامات معقولی برای رعایت آنها انجام داده اند.

سازمان هایی که  ISMS را نداردند می توانند ISO 27001 و ISO 27701 را با هم به عنوان یک پروژه واحد پیاده سازی کنند.

چه کسی باید ISO 27701 را پیاده سازی کند؟

ISO 27701  به گونه ای طراحی شده است که همه کنترل کننده ها و پردازشگرهای داده از آن استفاده کنند. مانند ISO 27001، از یک رویکرد مبتنی بر ریسک حمایت می کند تا هر سازمان مطابق با خطرات خاصی که با آن مواجه است، ریسک های داده های شخصی و حریم خصوصی را مورد توجه قرار دهد.

تفاوت بین سیستم مدیریت اطلاعات حریم خصوصی و سیستم مدیریت اطلاعات شخصی چیست؟

در حالی که ISO 27701 الزامات یک سیستم مدیریت اطلاعات حریم خصوصی را تعیین می کند، BS 10012 استاندارد بریتانیایی برای سیستم مدیریت اطلاعات شخصی است.

تفاوت کمی بین این دو عبارت وجود دارد – هر دو سیستم های مدیریتی هستند که برای ایمن سازی اطلاعات شخصی طراحی شده اند  و به خاطر فعالیت های روزمره می توانید نام اختصاری “PIMS” را برای اشاره به هر یک فرض کنید. با این حال، تفاوت های قابل توجهی بین این دو رویکرد وجود دارد که در زیر مورد بررسی قرار می گیرد.

GDPR

ISO 27701
داده های شخصی اطلاعات قابل شناسایی شخصی
کنترل کننده داده اطلاعات قابل شناسایی شخصی کنترل کننده
پردازشگر داده اطلاعات قابل شناسایی شخصی پردازشگر
داده محور قواعد اطلاعات قابل شناسایی شخصی
حفاظت از داده ها با طراحی حریم خصوصی با طراحی
حفاظت از داده ها به صورت پیش فرض حریم خصوصی به طور پیش فرض

طرح های کنترلی ISO 27701

ISO 27701 علاوه بر ارائه الزامات، کنترل‌ها و اهداف کنترلی خاص حریم خصوصی برای کنترل‌کننده‌ها و پردازنده‌ها، شامل ضمیمه‌هایی است که دربرگیرنده موارد ذیل است:

ISO 29100 فناوری اطلاعات – تکنیک های امنیتی – چارچوب حریم خصوصی

ISO 29151  فناوری اطلاعات – تکنیک های امنیتی – آیین نامه حفاظت از اطلاعات شخصی قابل شناسایی

ISO 27018 فناوری اطلاعات – تکنیک های امنیتی – آیین نامه حفاظت از اطلاعات شخصی قابل شناسایی (PII) در فضاهای ذخیره سازی  ابری عمومی که به عنوان پردازنده های PII عمل می کنند.

همچنین شامل ضمیمه‌ای است که الزامات و کنترل‌های آن را با الزامات GDPR بیان می‌کند، بنابراین ISO 27701 می‌تواند به عنوان راهنمای انطباق GDPR توسط کنترل‌کننده‌ها و پردازشگرهای داده استفاده شود.

به عنوان مثال، تعهدات کنترل‌کننده‌های داده برای رعایت حقوق  داده ها  تحت GDPR تحت کنترل‌های ISO 27701 است که تعهدات مدیران به PII   را پوشش می‌دهد.

راهنمایی برای اجرای هر کنترل ارائه شده است.

انطباق GDPR با ISO 27701 و ISO 27001 را نشان دهید

اجرای ISO 27701 و ISO 27001 شما را قادر می سازد تا الزامات حفظ حریم خصوصی و امنیت اطلاعات GDPR و سایر رژیم های حفاظت از داده ها را برآورده کنید و نشان دهید که ترتیبات مدیریتی برای “اقدامات فنی و سازمانی مناسب” برای محافظت از داده های شخصی که پردازش می کنید دارید. و مطابق با اصل پاسخگویی مقررات (ماده ۵ (۲)) از حقوق افراد با محوریت  داده حمایت می کند.

ماده ۴۲ GDPR مکانیسم های صدور گواهینامه حفاظت از داده ها، مهر و موم و نشان های حفاظت از داده ها را مورد بحث قرار می دهد. هنوز چنین مکانیسم هایی وجود ندارد. با این حال، امکان دستیابی به گواهینامه معتبر مستقل به ISO 27001 – و با گسترش ISO 27701 در صورت اجرای کنترل‌های آن – وجود دارد که به ذینفعان و تنظیم‌کننده‌ها نشان می‌دهد که سازمان شما بهترین شیوه بین‌المللی را در مورد امنیت داده‌های شخصی/PII دنبال می‌کند.

ISO 27001 ISO 31000