ISO 27701 – Standarden for håndtering av personverninformasjon

Hva er ISO 27701?

I kjølvannet av EUs generelle databeskyttelsesforordning (GDPR), Sør-Afrikas POPIA, Brasils LGPD, Australia Privacy Principles, mange lignende personvernlover og -forskrifter blir utarbeidet rundt om i verden; det har vært et økende behov for en atferdskodeks, eller standard, for å demonstrere samsvar og sertifisering av personverndata. ISO 27701 søker å gi en virkelig internasjonal tilnærming til personvern som en del av informasjonssikkerhet.

ISO 27701 ble utviklet for å gi en standard for personvernkontroller, som, kombinert med et ISMS, lar en organisasjon demonstrere effektiv personverndatabehandling. Den etablerer parametrene for en PIMS når det gjelder personvern og behandling av personlig identifiserbar informasjon (PII).

ISO 27701 er en imponerende måte å demonstrere for forbrukere, eksterne organisasjoner og interne interessenter at mekanismer er på plass for å holde data trygge og for å overholde GDPR og andre personvernlover.

ISO 27701-standarden, en PIMS-standard (Privacy Information Management System), legger ut et detaljert sett med operasjonelle sjekklister som kan tilpasses en rekke regelverk, inkludert GDPR. Selskaper dokumenterer sine retningslinjer, prosedyrer, protokoller og aktiviteter i tråd med standardens operasjonelle sjekklister, med poster som deretter revideres av interne og tredjepartsrevisorer, noe som resulterer i detaljerte bevis på samsvar med standarden. ISO 27701 hjelper bedrifter med å opprettholde et effektivt personvern- og informasjonssikkerhetssystem og redusere personvernrisiko.

Hva er byggesteinene i standarden?

ISO 27701 er en utvidelse av ISO/IEC 27001, som er en av de mest brukte internasjonale standardene for informasjonssikkerhetsstyring. Hvis organisasjonen din allerede er kjent med ISO/IEC 27001, kan det være relativt enkelt å integrere de nye personvernkontrollene til PIMS. ISO 27701 er også basert på andre standarder, som ISO 27002 og ISO 29100. ISO 27701 legger til et databeskyttelseslag til tidligere informasjonssikkerhetsstandarder. Hvis du krysser av for andre standarder, kan det hende du allerede krysser av for noen av boksene for ISO 27701.

Viktige punkter å huske på om ISO 27001 og PIMS:

• PIMS gir nye kontroller- og prosessorspesifikke kontroller som hjelper organisasjoner med å overvinne utfordringene med personvern og sikkerhet ved å etablere et konvergenspunkt mellom det som kan være to forskjellige funksjoner.
• Sikkerhet er viktig for personvernet. ISO 22701 PIMS er avhengig av ISO 27001 for sikkerhetsstyring. IS0 27701-sertifisering er kun tilgjengelig som et tillegg til ISO 27001-sertifisering og kan ikke oppnås som et frittstående sertifikat.

ISO 27701 samsvarsutfordringer

I henhold til retningslinjene i GDPR, forventes organisasjoner å holde all personlig identifiserbar informasjon trygg mot tyveri, tap og skade.

Endringer i britisk lov siden mai 2018 betyr nå at organisasjoner må innføre en policy for håndtering av HR-data, med mulighet for å vise at ikke-relevante personopplysninger blir slettet på riktig måte. ISO 27701 hjelper organisasjoner med å takle disse tre viktige etterlevelsesutfordringene:

For mange regulatoriske krav til å sjonglere

Ved å bruke ISO 27701 som et enhetlig system for driftskontroll for personvern fjerner man behovet for å fokusere på flere forskrifter. Som en internasjonal standard er ISO 27701 designet for å oppfylle kravene til databeskyttelse og GDPR, og for å være fleksibel nok til å tilpasses spesifikke bransjekrav. Dette gjør det mulig for bedrifter å jobbe innenfor ett enkelt rammeverk for å møte flere regulatoriske krav.

For kostbart å revidere forskrift for forskrift

Interne og eksterne revisorer bruker ISO 27701 for å fastslå regeloverholdelse i én enkelt revisjonssyklus. Dette sparer organisasjonen penger sammenlignet med å følge en usammenhengende revisjonsprosess for forskrift.

Løfter om overholdelse uten bevis er potensielt risikabelt

Det er ikke nok for bedrifter å følge beste praksis datavernprosesser; de må også kunne bevise overholdelse av lover og regler. Det betyr å ha en robust, integrert prosess for dokumentasjon. Bedrifter med komplekse prosesser kan ha flere typer datakontroller og databehandler, skyleverandører og partnerleverandører. Manglende evne til å bevise overholdelse av lover eller forskrifter i noen del av forsyningskjeden kan utsette virksomheten for økonomisk risiko og omdømmerisiko.

Fordeler med ISO 27701

Demonstrer databeskyttelse på neste nivå med ISO 27701

ISO 27701-standarden er en av måtene å vise at du overholder alle relevante krav til databeskyttelse, konfidensialitet og personvernsikkerhet.

Bygg tillit når du administrerer personlig informasjon

Når det gjelder håndtering av personopplysninger, må du ha en måte å sikre at organisasjonen din gjør alt for å sikre at informasjonen håndteres riktig og i samsvar med loven. ISO 27701 gir deg standarden som er nødvendig for å bygge tillit når du administrerer data. Leverandører, forbrukere og partnere kan ha tillit til dine retningslinjer, prosedyrer og protokoller når du arbeider etter en internasjonal standard som ISO 27701.

Integrerer med de ledende informasjonssikkerhetsstandardene

ISO 27701 integreres med de ledende informasjonssikkerhetsstandardene. Dette muliggjør sømløs utvikling og oppdatering av retningslinjer og prosedyrer på tvers av ulike standarder, og sikker kunnskap om at du ikke vil kompromittere samsvar med andre standarder ved å ta i bruk ISO 27701-standarder.

Støtter overholdelse av andre personvernforskrifter

ISO 27701 er "bransjestandarden" for å overholde ny databeskyttelseslovgivning. Selv om ISO 27701 stemmer overens med prinsippene for GDPR, lar den også organisasjoner dokumentere overholdelse av andre personvernlover, forskrifter, standarder og krav.

Fleksibel nok til å imøtekomme jurisdiksjonsspesifikasjoner

ISO 27701-standarden ble utviklet for å gi standarder for arbeid med personlig identifiserbar informasjon, slik at du kan møte ulike personvernlover. Hvis bedriften din opererer utenfor EU og du ønsker å følge de tilsvarende territoriespesifikke retningslinjene som tilsvarer GDPR, kan du bringe disse jurisdiksjonsspesifikasjonene inn i ISO 27701.

Gir åpenhet mellom interessenter

ISO 27701 setter standarden for hvordan personverndata håndteres. Standarden gjør prosessene transparente for alle interessenter, og skaper tillit og gjensidig respekt.

Legger til rette for effektive forretningsavtaler

Når bedrifter er forpliktet til å jobbe etter de samme høye personverndatastandardene der, er det lettere å inngå avtaler og samarbeide. ISO 27701 skaper tillit og sikrer at alle interessenter er på samme side når de vurderer systemintegrasjon og delte forretningsprosesser.

ISO 27701 vs ISO 27001 – hva er forskjellene?

ISO 27701 og ISO 27001 er to standarder som ofte brukes om hverandre av ikke-informasjonssikkerhetsfagfolk når de refererer til informasjonssikkerhet.

Både ISO 27001 og ISO 27701 standarder er IT-sikkerhetsstyringsstandarder. Forskjellen mellom de to standardene er at ISO 27001 fokuserer på gapet mellom risikostyring og sikkerhetskontroller, mens ISO 27701 er en standard rettet mot å oppfylle personvernforskrifter og lover som GDPR og databeskyttelsesloven. ISO 27701 er fokusert på personverndatarisiko.

Hvordan integreres ISO 27001 og ISO 27701 med hverandre?

ISO 27701 er en utvidelse av ISO 27001. Det er en av risikostyringsstandardene, men den sikrer at virksomheten overholder GDPR og andre relevante PII-forskrifter. Før du kan dra nytte av ISO 27701s sikkerhetsfordeler, må du først implementere ISO 27001.

Hvordan forholder ISO 27701 seg til GDPR?

Organisasjoner må sikre og sikre integriteten til alle sensitive data de behandler i henhold til General Data Protection Regulation (GDPR) og UK Data Protection Act 2018 (DPA). Imidlertid gir verken GDPR eller DPA avklaringer om handlingene selskapene må ta for å sikre personvernet. Det er her ISO 27701 kommer inn. ISO 27701 gir kravene og retningslinjene for en prosess for beste praksis for å kjøre et styringssystem for personverninformasjon (PIMS) med effektive datasikkerhets- og personvernfunksjoner.

Hvordan integreres ISO 27001 og GDPR med hverandre?

ISO 27001 er den internasjonale standarden for beste praksis for et styringssystem for informasjonssikkerhet (ISMS) tatt i bruk av mange land rundt om i verden. Mer enn 35 land har meldt seg på for å implementere GDPR. ISO 27701 kan hjelpe med overholdelse av GDPR.

Komme i gang med ISO 27701

Hvis du eier en bedrift som behandler personopplysninger, må du forstå hvordan den nye ISO 27701-standarden gjelder for deg. Å forstå det grunnleggende i ISO 27701 kan være en utfordring. Dette gjelder spesielt hvis du er vant til å jobbe etter forskjellige standarder.

Implementerer ISO 27701

Som med de fleste offisielle standarder, kan ISO 27701 være litt vanskelig å få med seg. ISMS.online hjelper deg ved å tilby en skybasert løsning for å dokumentere samsvar med kravene i ISO 27701.
Implementering av ISO 27701 vil gi deg et solid rammeverk for overholdelse av lover og forskrifter, fra GDPR-regelverket til HIPAA-nivåbeskyttelse.

Demonstrere god praksis

Implementering av ISO 27701 handler om å demonstrere "god praksis" for personlig informasjonshåndtering. ISO 27701 har blitt en integrert del av rammeverket for dataadministrasjon for virksomheter i mange sektorer. Denne viktige standarden er et skifte fra ISO 27001 informasjonssikkerhet teknisk og aktiv vektlegging til et mer risikobasert forretningsfokus.

Planlegg, gjør, sjekk, handle

Plan, Do, Check, Act (PDCA) er en kontinuerlig forbedringssyklus som mange progressive selskaper bruker, og er et viktig element i implementeringen av ISO 27701. Andre kan bruke andre navn på fasene — men hovedideen er den samme: Planlegg hva som skal gjøres; gjøre den beste jobben du kan med implementering og utførelse av den oppgaven; sjekk resultatene mot planen din; og når de nødvendige planendringene virker for å forbedre ytelsen.

Krav til ISO 27701

Kravene for å oppnå samsvar med ISO/IEC 27701 inkluderer:

• Design, bygg og implementer et personlig informasjonssystem for din organisasjon.
• Følg ISO 27701-retningslinjene når du designer og implementerer PIMS.
• PIM-ene bør definere strenge systemer og taktiske kontroller for å administrere personlig identifiserbar informasjon, inkludert hvordan denne informasjonen innhentes, brukes, deles og slettes.
• Definer strenge brukerroller og sterke passord for alle interessenter som behandler og kontrollerer personverndata.

ISO 27701-sertifisering krever at du har ISO 27001-sertifisering. Ditt personlige informasjonsstyringssystem bygger på ditt informasjonssikkerhetsstyringssystem (ISMS). Du kan bli sertifisert til ISO 27701 samtidig som du gjør ISO 27001. Å gjøre begge deler samtidig er normalt enklere, mindre ressurskrevende og billigere enn å gjøre dem i serie.

Structure

ISO 27701 er delt inn i klausuler, akkurat som andre ISO-standarder, med klausuler 5–8 som beskriver tilleggskravene og oppdateringene som må legges til ISO 27001:

• Klausul 5 skisserer PIMS-kravene for samsvar med ISO/IEC 27001.
• Klausul 6 skisserer PIMS-veiledningen for ISO/IEC 27002.
• Klausul 7 skisserer PIMS-veiledning for PII-kontrollere.
• Klausul 8 i PIMS gir veiledning for PII-prosessorer.

Følgende vedlegg er også inkludert i standarden:

• PIMS-spesifikke referansekontrollmål og kontroller er nevnt i vedlegg A. (PII-kontrollere)
• PIMS-spesifikke referansestyringsmål og kontroller er nevnt i vedlegg B. (PII-prosessorer)
• Kartlegging av vedlegg C til ISO/IEC 29100
• Tilordning til General Data Protection Regulation (GDPR) i vedlegg D (GDPR).
• Vedlegg E til ISO/IEC 27018 og ISO/IEC 29151 kartlegging
• Vedlegg F Hva er forholdet mellom ISO/IEC 27701 og ISO/IEC 27001 og ISO/IEC 27002?

Det er imidlertid viktig at du lærer alle retningslinjene, prosedyrene og kontrollene på plass, og at de følges konsekvent i hele organisasjonen.

ISO 27701 Implementering

Implementering av ISO/IEC 27701 er en robust måte å starte et styringssystem for personverninformasjon i ethvert selskap. Mange selskaper velger å følge ISO 27701 sammen med ISO 27001. Dette kan redusere kostnadene og den totale tiden og innsatsen som er involvert i å oppnå begge standardene.

Her på ISMS.online tilbyr vi skybaserte løsninger som din organisasjon kan bruke for å dokumentere samsvar med ISO 27001 og deretter ISO 27701. Vi tar usikkerheten og gjettingen ut av prosessen ved å tilby et rammeverk for samsvar med ISO-standarder.

Hvem bør implementere ISO 27701?

ISO 27701 tilbyr en internasjonal standard for enhver organisasjon som håndterer personverndata. Ethvert selskap som har personlig identifiserbar informasjon, uavhengig av størrelse og type, kan dra nytte av ISO 27701-implementering. ISO 27701 bidrar til å redusere de økonomiske og regulatoriske risikoene forbundet med brudd på personvernet. ISO 27701 er for private, offentlige selskaper og til og med offentlige etater som må ta en risikobasert tilnærming til å holde og behandle personlig informasjon.

Hvilke roller er involvert i implementeringen av ISO 27701?

Gitt omfanget og omfanget av ISO 27701-standarden, kommer det ikke som noen overraskelse at ulike roller er involvert i implementeringen av standarden. Disse rollene inkluderer vanligvis:

• Hovedimplementer/prosjektleder
• Sjef for personvern / databeskyttelsesansvarlig
• Personvernansvarlig/databeskyttelsesansvarlig
• Internrevisor
• Ekstern revisor
• Personvernanalytiker - for å ta funksjonelle krav og konvertere til teknisk implementering
• Database- og programvarefagfolk

Samsvar kontra sertifisering

ISO 27701-samsvar og sertifisering kan være forvirrende, siden de til pålydende ser ut til å bety det samme.

ISO 27701-samsvar betyr at organisasjonen din har satt på plass kontrollene som trengs for å tilfredsstille kravene i ISO 27701; et sett med beste praksis for håndtering av personverninformasjon. Overholdelse av standarder er viktig.

Et ISO 27701-sertifikat er dokumentet som bekrefter at en bestemt organisasjon har gått gjennom prosessene og dokumentert alt som er nødvendig for å bli ISO 27701-kompatibel.

Sertifisering betyr at du har vist samsvar.

Er ISO 27701-sertifisering riktig for meg?

Hvis bedriften din arbeider med personlig identifiserbar informasjon, må du kanskje se nærmere på ISO 27701-sertifiseringen. ISO 27701-sertifisering vil få deg til å skille deg ut sammenlignet med selskaper som ikke er sertifisert.

I tillegg, i tilfelle et datainnbrudd, har Information Commissioner's Office (ICO) i Storbritannia uttalt at organisasjoner som implementerer sertifisering eller har et omfattende system på plass for å håndtere datasikkerheten, kan bli sett mer fordelaktig av regulatorer.

ISO 27701 sertifiseringsprosess

Prosessen med å implementere ISO 27701 er relativt enkel for organisasjoner som allerede har ISO 27001-sertifiseringer.

ISO 27701-sertifiseringen kan oppnås i tre trinn:

Du må først engasjere et kvalifisert sertifiseringsorgan som skal gjennomføre en revisjon av organisasjonen din.

Etter at du har blitt enige om et forslag, vil en assessor gi din organisasjon en detaljert revisjon. Assessoren må foreta et obligatorisk besøk under den første sertifiseringsrevisjonen. De vil se om du har fått på plass et fullstendig funksjonelt styringssystem for personlig informasjon.

Når assessoren har fullført revisjonen, vil sertifiseringsorganet avgjøre om din organisasjon har oppfylt kriteriene. Dersom utfallet er positivt, vil de gi deg et sertifikat som viser at din bedrift overholder standardens spesifikasjoner. Sertifiseringen er gyldig i de neste tre årene, eller til ISO 27001-sertifikatet ditt utløper, avhengig av hva som kommer først.

Hvis bedriften din ikke har ISO 27001-sertifisering ennå, må du ha den først, eller forfølge ISO 27001- og ISO 27701-sertifiseringer samtidig.

Opprettholde ISO 27701-sertifisering

Å opprettholde ISO 27701-sertifisering trenger ikke være et skremmende prospekt, så lenge den første ISO 27701-implementeringen ble fullført på riktig måte. For å holde din ISO 27701 gyldig, må du imidlertid utføre periodiske overvåkingsrevisjoner i kombinasjon med din ISO 27001-revisjon, og deretter en fullstendig revurdering før sertifiseringsfornyelse.

Den beste måten å opprettholde ISO 27701-sertifiseringen på er å administrere systemene dine på en slik måte at du kan fortsette å gjøre kontinuerlige forbedringer. Kontinuerlig forbedring er den pågående innsatsen din organisasjon tar for å forbedre hvordan den håndterer personlig identifiserbar informasjon, identifisere nye risikoer for overholdelse og iverksette systemiske handlinger for å avhjelpe dem.

Den enkleste måten til ISO 27701

ISMS.online gjør personlig informasjonsadministrasjon enkel gjennom en flott skybasert løsning for å støtte ISO 27701-samsvar i organisasjonen din. På toppen av dette har vi informasjonssikkerhetseksperter og ressurser tilgjengelig for å veilede deg gjennom ISO 27701-akkrediteringsprosessen.

Rammeverk for ISO 27701

Det kan være vanskelig å vite hvor du skal begynne med ISO 27701, spesielt hvis du aldri har vært nødt til å gjøre noe lignende før. Det er her ISMS.online kommer inn. Våre ISO 27701-løsninger gir rammeverk som lar organisasjonen din demonstrere samsvar med ISO 27701. Våre informasjonssikkerhetseksperter kan samarbeide med deg for å sikre at du utvikler en logisk implementeringsprosess som er i tråd med rammeverket for elektronisk dokumentasjon .

Verktøy for forsyningskjedestyring

Hos ISMS.online kan vi innlemme styring av informasjonssikkerhet i forsyningskjeden i ditt ISMS. Raske og praktiske ytelsesmålinger kan også brukes til å overvåke fremdriften til leverandørene dine og andre tredjepartspartnerskap. Bruk ISMS.online Clusters for å samle hele forsyningskjeden på ett sted for klarhet, innsikt og kontroll.

Svært effektiv prosjektovervåking og samarbeid

Våre ISMS.online-løsninger gjør det enkelt for organisasjoner å oppnå prosjekttilsyn, og sikrer at databehandleren og databehandlerens retningslinjer og prosedyrer er i tråd med ISO-standarden. Vårt nettbaserte system sikrer også at systemimplementere har ett enkelt sted for referanse og samarbeid. Vår Assured Results Method (ARM) gjør at du kan være trygg på at du krysser av for alle boksene du trenger for å overholde standarden.

Hjelp og støtte å engasjere folkene dine

ISO 27701 er ikke bare et rammeverk for organisasjoner å ta i bruk; det betyr å tilpasse måten folk forstår, kommuniserer med og samhandler med data. Hos ISMS.online har vi designet systemet vårt slik at du og dine ansatte kan dra nytte av vårt brukervennlige grensesnitt for å dokumentere din ISO-reise. Vi tilbyr også videoressurser og tilgang til informasjonssikkerhetseksperter for å hjelpe deg med å integrere standarder i bedriften din.