Rozšírime váš systém riadenia informačnej bezpečnosti o riadenie ochrany súkromia (PIMS). Prepojíme požiadavky GDPR s funkčným systémom, ktorý obstojí pri audite aj pri kontrole úradu - v rozsahu primeranom veľkosti vašej firmy.
ISO/IEC 27701 je medzinárodné rozšírenie noriem ISO/IEC 27001 a 27002 o systémové riadenie ochrany súkromia. Zavádza tzv. PIMS (Privacy Information Management System) - rámec, ktorý prepája bezpečnosť informácií s ochranou osobných údajov a definuje konkrétne povinnosti pre rolu prevádzkovateľa aj sprostredkovateľa. Pre firmy, ktoré spracúvajú osobné údaje, je to spôsob, ako z GDPR urobiť riadený systém s preukázateľnými dôkazmi - nie súbor jednorazových dokumentov. Certifikát 27701 je dôveryhodný dôkaz pre zákazníkov, partnerov aj dozorný úrad, že ochranu súkromia riadite systémovo.
Spája technickú bezpečnosť informácií s právnymi požiadavkami na ochranu osobných údajov do jedného systému.
Princíp zodpovednosti (accountability) podľa GDPR podložený systémovými dôkazmi, nie len smernicami v šuplíku.
Certifikát signalizuje, že osobné údaje vo vašej správe sú riadené podľa medzinárodného štandardu.
Norma rozlišuje povinnosti podľa toho, či účely spracúvania určujete vy, alebo údaje spracúvate pre niekoho iného.
Systém s dôkazmi zvláda zákaznícke audity, kontroly úradu aj požiadavky dodávateľských reťazcov.
Stále viac obstarávaní a korporátnych dodávateľských zmlúv vyžaduje preukázateľné riadenie ochrany súkromia.
Posúdenie, kde firma stojí oproti ISO/IEC 27701 a požiadavkám GDPR - voči existujúcemu ISMS aj samostatne.
Definícia hraníc systému a určenie, v ktorých činnostiach vystupujete ako prevádzkovateľ a v ktorých ako sprostredkovateľ.
Prepojenie záznamov o spracovateľských činnostiach s riadením rizík ochrany súkromia.
Výber a zavedenie kontrol pre prevádzkovateľa a sprostredkovateľa nad rámec ISO 27001.
Riadená dokumentácia ochrany súkromia, použiteľná v praxi a previazaná s GDPR agendou.
Dôkazy, nápravy a sprevádzanie až po certifikačný audit.
| Kapitola | Výstup v praxi |
|---|---|
| Rozšírenie ISMS | Požiadavky 27001 sa rozširujú o kontext ochrany súkromia a o spracúvanie osobných údajov (PII). |
| Rola prevádzkovateľa | Dodatočné kontroly pre firmy, ktoré určujú účely a prostriedky spracúvania - súhlas, práva dotknutých osôb, transparentnosť. |
| Rola sprostredkovateľa | Dodatočné kontroly pre firmy, ktoré spracúvajú údaje v mene zákazníka - pokyny prevádzkovateľa, subdodávatelia, zmluvné záväzky. |
| Riadenie rizík súkromia | Posudzovanie vplyvov na súkromie a prepojenie na DPIA podľa GDPR. |
| Väzba na GDPR | Mapovanie kontrol normy na konkrétne články GDPR - systém sa stáva nástrojom na preukázanie súladu. |
ISO/IEC 27701 nie je samostatná certifikácia - vždy nadväzuje na funkčný ISMS podľa ISO/IEC 27001. Možno ho zaviesť súčasne s 27001, alebo ako rozšírenie už zavedeného systému.
Systémové riadenie súkromia znižuje riziko pokút a otvára zákazky, kde je ochrana údajov podmienkou.
GDPR povinnosti, ktoré aj tak musíte plniť, dostanú formu riadeného a auditovateľného systému.
Ak už máte 27001, rozšírenie na PIMS je výrazne rýchlejšie ako budovanie od nuly.
Získate odbornosť na priesečníku bezpečnosti a práva bez nákladov na interného špecialistu.
Rozšírené kontroly pre roly prevádzkovateľa a sprostredkovateľa nad rámec Prílohy A normy 27001.
Záznamy o spracovateľských činnostiach, posúdenia vplyvov, riadenie súhlasov a práv dotknutých osôb.
Mapovanie spracúvania, určenie rolí (prevádzkovateľ/sprostredkovateľ) a väzba na existujúce riadenie rizík ISMS.
GAP analýza voči 27701 a GDPR - zistíme, či staviame nad existujúce 27001, alebo budujeme PIMS súčasne.
Určenie rozsahu PIMS, rolí a kontrol; mapovanie na GDPR a na vašu spracovateľskú agendu.
Zavedenie rozšírených kontrol, dokumentácie a dôkazov do bežnej prevádzky.
Interný audit, nápravy a sprevádzanie počas certifikačného auditu (spolu alebo nadväzne na 27001).
Chcete k zavedenému ISMS doplniť systémové riadenie ochrany súkromia a preukázať súlad s GDPR.
Spracúvate osobné údaje v mene zákazníkov a potrebujete preukázať dôveryhodnosť a zmluvný súlad.
Idete do certifikácie informačnej bezpečnosti a chcete rovno pokryť aj ochranu súkromia.
Systémové riadenie ochrany osobných údajov previazané s bezpečnosťou informácií
Preukázateľný súlad s GDPR podložený dôkazmi, nie len dokumentmi
Jasné rozdelenie povinností medzi rolu prevádzkovateľa a sprostredkovateľa
Dôveryhodnosť pri zákazníckych auditoch, tendroch a dodávateľských zmluvách
Pripravenosť na kontroly dozorného úradu a na požiadavky partnerov
27701 je rozšírenie noriem ISO/IEC 27001 a 27002 o riadenie ochrany súkromia (PIMS). Nie je to samostatná norma - stavia na funkčnom systéme riadenia informačnej bezpečnosti a pridáva kontroly pre spracúvanie osobných údajov.
27701 vždy nadväzuje na ISMS podľa 27001. Ak 27001 už máte, robíme rozšírenie. Ak ho nemáte, vieme zaviesť 27001 a 27701 súčasne v jednom projekte - bežne to tak robíme.
Prevádzkovateľ určuje účely a prostriedky spracúvania osobných údajov. Sprostredkovateľ ich spracúva v mene niekoho iného. 27701 definuje pre každú rolu vlastnú sadu kontrol - v projekte určíme, ktoré sa vás týkajú.
Nie - GDPR je právna povinnosť, 27701 je nástroj, ako ju riadiť systémovo a preukázateľne. Certifikát nie je GDPR razítko, ale dôkaz, že ochranu súkromia riadite podľa medzinárodného štandardu.
27701 dáva GDPR agende systémovú formu - prepája záznamy o spracovateľských činnostiach, posúdenia vplyvov a riadenie práv dotknutých osôb do auditovateľného celku. Ak už riešite GDPR alebo máte DPO, 27701 ich prácu zhodnotí a sprehľadní.
Ak staviate nad existujúce 27001, rozšírenie je výrazne rýchlejšie ako budovanie systému od nuly. Reálny rozsah povieme po GAP analýze - závisí od veľkosti firmy a šírky spracúvania osobných údajov.
Certifikácia 27701 prebieha spolu s certifikáciou alebo dozorným auditom 27001, u akreditovaného certifikačného orgánu. Pripravíme vás na obe časti a počas auditu sme s vami.
Pôsobíme na priesečníku informačnej bezpečnosti a ochrany údajov - robíme ISO 27001, GDPR aj výkon DPO. 27701 je presne tá oblasť, kde sa tieto svety stretávajú, takže ho vieme zaviesť ako prepojený celok, nie ako izolovanú normu.
Áno. Existujúcu GDPR agendu nezahodíme - zmapujeme ju na požiadavky 27701 a doplníme, čo chýba do systémovej a auditovateľnej podoby.
Na úvodnej konzultácii posúdime, či staviate nad existujúce ISO 27001 alebo budujete PIMS od základu, a čo to pre vašu firmu reálne znamená - bez záväzku.
Napíšte nám, čo riešite - ozveme sa s návrhom ďalšieho kroku.
