Какво представлява стандартът ISO 27701?
Спечелете увереност, че вашият бизнес може да докаже съответствие с правилата за поверителност със сертифицирана система за управление на поверителността на информацията – Privacy Information Management system (PIMS).
Организациите все повече трябва да доказват на потенциални клиенти, бизнес партньори и регулатори, че могат да пазят личната информация – Personal information (PI) защитена и могат да спазват законите (напр. CCPA, GDPR), които определят как PI се съхранява, обработва и управлява.
ISO/IEC 27701:2019 е разширение на услугата към ISO/IEC 27001. Стандартът ISO 27701 е първият глобален стандарт за управление на поверителността на информацията, който съдържа изисквания, цели и контрол на сигурността, свързани с ефективното прилагане на Системата за управление на поверителността на информацията (PIMS). Това включва също така как организациите трябва ефективно да управляват личната информация и да им помагат да постигнат съответствие с различни други международни разпоредби за поверителност.
Управление и мониторинг на PIMS
Добре дефинираният и проектиран PIMS е предимство за всяка организация, от гледна точка на нейна информационна сигурност. Нашата консултантска услуга ефективно управлява вашия PIMS с непрекъснато подобрение и препоръки за оптимални нива на поверителност. Ние насочваме вниманието си към вашия PIMS чрез строг контрол и политики за наблюдение като част от критичното изискване за поддържане на правилната позиция за поверителност.
Справяне с поверителността и информационната сигурност едновременно
Информационната сигурност и поверителността са взаимосвързани. Докато поверителността е свързана с правата, които управляват използването на лична информация, информационната сигурност се концентрира върху защитата на личните данни. Стабилното внедряване на системата трябва да отговаря на сигурността, като същевременно отговаря на изискванията за поверителност.
ISO/IEC 27701 (PIMS), разширението на ISO/IEC 27001 (ISMS), преодолява празнината между поверителността и сигурността на информацията. Интеграцията може да създаде ефективна система за управление на сигурността на информацията и поверителността (ISPMS), способна да изпълни най-високите изисквания за сигурност.
ISO/IEC 27701 и GDPR се допълват взаимно, тъй като повечето изисквания на GDPR се придържат към същите правила. Докато съответствието с GDPR определя принципите и политиките за сигурност за ефективно боравене с данни, ISO 27701 гарантира поверителността и целостта на данните. И двете помагат на организациите за ефективно управление и намаляване на рисковете около личната информация.
Организациите, които търсят сертификат по ISO/IEC 27701 в съответствие с GDPR, трябва първоначално да придобият сертификат по ISO/IEC 27001, тъй като ISO 27701 е разширение на последния. Ако организациите не са предварително сертифицирани по стандарта ISO 27001, ясно се препоръчва прилагането на ISO 27001 и ISO 27701 заедно.
Голяма стъпка напред в поверителността на информацията е спазването на ISO/IEC 27701. ИС Консулт Сървис е водещ и надежден консултант по ISO 27701, който помага на клиентите си да изградят и сертифицират стабилна система за управление на поверителността на информацията (PIMS).
Как да внедря този стандарт?
Сертифицирането за съответствие с ISO 27701 може да бъде постигнато най-много косвено. Например, възможно е да се спомене ISO 27701 в контекста на сертификата ISO 27001, след подходяща проверка, с препратка в Декларацията за приложимост. ISO 27701 разширява изискванията на ISO 27001, за да вземе предвид защитата на поверителността на личните данни.
Стандартът е изцяло базиран на ISO 27001. Това означава, че преди всичко, за съответствие с ISO 27701, трябва да бъдат изпълнени всички точки на ISO 27001. Повечето от изискванията на ISO 27001 се отнасят и за ISO 27701.
Сертификация
Щастливи сме да извършим одитите за вас, които са необходими за получаване на сертификат ISO 27701. Тъй като всяка организация е уникална, ние се радваме да поговорим с вас за началната ви позиция и да определим кои стъпки (може би) все още трябва да бъдат предприети, за да сте готови за сертифициране. След това правим персонализирано предложение за сертифициране за вас. Разходите за сертифициране по ISO 27701 зависят от няколко фактора, например размера и сложността на вашата организация.
Моля обърнете внимание! Сертификация по ISO 27701 може да бъде получена само в комбинация с акредитирана сертификация по ISO 27001.
Имате ли вече акредитирана сертификация по ISO 27001 от друг сертифициращ орган? Обадете ни се, за да поговорим за възможностите.
Консултантските услуги на ИС Консулт Сървис по ISO 27701 се извършват от експерти по киберсигурност, които имат дългогодишен опит в провеждането на одити на сигурността и прилагането на контролни мерки в областта на поверителността и защитата на данните. Ние можем да ви помогнем да постигнете съответствие по ISO.
Нашият подход към съответствие с ISO/IEC 27701
Избор на PIMS стратегия
Първоначалната стъпка на услугите за сертифициране по ISO 27701 е да се избере правилният подход при разработването на система за управление на поверителността на информацията (PIMS), която корелира с бизнес целите, нуждите от съответствие и други нужди за поверителност. Процесът на разработване на PIMS разчита до голяма степен на дефинираните стратегически цели и неговите контроли за поверителност.
Анализ на обхвата на PIMS
Обхватът определя изискванията към PIMS, което помага да се създаде идеална рамка за внедряване, поддържане и подобряване на съответствието със стандарта за защита на данните. Определянето на обхвата на PIMS е основният елемент за здравословна практика на прилагане на ISO 27701. Външни/вътрешни проблеми, специфични нужди, организационни цели, нива на приемане на риска и регулаторни задължения попадат в обхвата.
PIMS Gaps & Оценки на риска
Фазата включва извършване на оценки на въздействието върху поверителността и оценки на риска за сигурността, за да се изследват отклоненията или пропуските във вашата текуща рамка за сигурност въз основа на насоките за съответствие с ISO 27701. Идентифицираните уязвимости и пропуски са предмет на планове и действия за коригиране. Фазата обединява най-добрите инструменти за оценка на сигурността, тестове, методологии и възможности за експертни ресурси.
Планове за третиране на риска
Планът за третиране на риска е пътна карта, изградена върху резултатите от подробни оценки и тестове. Това включва разработването на насоки за коригиране и препоръки за контрол на сигурността за смекчаване на рисковете и сближаване на идентифицираните отклонения. Всъщност това е приоритетна пътна карта, която включва уязвимостите и плановете за действие въз основа на тежестта или въздействието на рисковете.