ISO 27701 er en utvidelse til ISO/IEC 27001 og ISO/IEC 27002 for håndtering av personverninformasjon. Vi skal forklare hva det betyr.
ISO/IEC 27701 vil hjelpe deg med å administrere personlig identifiserbar informasjon (PII) i din organisasjon. Det er en ny standard, designet for bruk av alle ansvarlig for PII i enhver form for organisasjon.
Standarden viser deg hvordan du designer, setter opp, administrerer og kontinuerlig forbedrer et Privacy Information Management System (PIMS). Det gir deg mye fleksibilitet i hvordan du lager og driver din PIMS. ISO 27701s fleksibilitet vil hjelpe deg å følge alle relevante lokale PII-forskrifter også.
ISO 27701 bygger på ISO/IEC 27001. Det betyr at du kan enten:
ISO 27701 ble til 6. august 2019. Fordi standarden er så ny, har svært få organisasjoner tatt den i bruk. Hvis du velger å gå for ISO 27701-sertifisering, vil du finne deg selv foran infosec-pakken.
ISO 27001 er den mest populære sikkerhetsstandarden i verden, men den har noen hull. Spesielt forteller den deg ikke hvordan du konfigurerer Personlig identifiserbar informasjon (PII) sikkerhetstiltak. EUs generelle databeskyttelsesforordning (GDPR) satte ISO 27001s mangel på tydelig PII-veiledning i fokus. GDPR ber om PII-sikkerhetstiltak, men det gir ingen implementeringsveiledning eller krav.
Så arbeidet begynte med standarden som skulle bli ISO 27701. Den nye PII-styringsstandarden ble først utviklet som ISO/IEC 27522. Teknisk arbeid med ISO 27522 ble avsluttet i 2019, og førte til publisering av den nye standarden 6. august 2019. Det er en utvidelse til ISO/IEC 27001. Før publisering ble ISO/IEC 27522 ISO/IEC 27701. Det er fordi enhver standard som beskriver hvordan man oppretter et styringssystem, skal ende med 01.
Personlig identifiserbar informasjon (PII) er informasjon som gir bort noens identitet. PII avslører identiteter enten alene eller i kombinasjon med andre data. Noen kategorier av PII er svært sensitive. For eksempel kan du bare holde og behandle data om straffedommer og lovbrudd i svært begrensede omstendigheter.
Nesten hver organisasjon har detaljert personlig identifiserbar informasjon (PII) om enkeltpersoner. Hvis PII lekker, kan det være svært skadelig. Et ISO/IEC 27701-kompatibelt Privacy Information Management System (PIMS) vil beskytte din IIP.
Det vil hjelpe deg å unngå de negative resultatene av PII-brudd, som kan omfatte:
Å oppnå ISO 22701-sertifisering kan også ha mange positive effekter, inkludert:
De fleste organisasjoner trenger å holde og behandle informasjon om noen av eller alle sine:
Disse menneskene er avhengige av datainnsamlingsorganisasjoner for å holde denne informasjonen privat. Risikoen for og potensiell skade fra en personverninformasjon, eller personlig identifiserbar informasjon (PII), brudd øker raskt. Problemer kan omfatte:
Så flere og flere organisasjoner lager systemer for personverninformasjon (eller PIMS). En effektiv, ISO 27701-kompatibel eller sertifisert PIMS har mange potensielle fordeler. Det kan:
For å øke sikkerheten kan du pseudonymisere eller anonymisere din PII. GDPR-definisjonene av disse to måtene å administrere dine personopplysninger på er:
Pseudonymiserte data kan fortsatt være underlagt IIP forskrifter og krav. De fleste reguleringsregimer vil sannsynligvis ikke gjelde for anonymiserte data.
Forskjellen mellom pseudonymiserte og anonymiserte data kan være ganske subtil og kompleks. Det kan variere i forskjellige jurisdiksjoner. Du må sjekke nøye for å sikre at du bruker alle relevante forskrifter på PII.
Å, og hvis du har informasjon om noen som (veldig trist) har dødd, så vil det sannsynligvis ikke være PII. Informasjon om den avdøde er vanligvis ikke klassifisert som personlig. Detaljer om selskaper, offentlige myndigheter eller andre organisasjoner er sannsynligvis heller ikke PII.
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
En PIMS er et styringssystem for personlig informasjon. Den kombinerer:
for å beskytte personlig identifiserbar informasjon (PII) din organisasjon har og bruker. Et effektivt PIMS vil forsikre din organisasjons:
Din PIMS vil hjelpe deg med å lagre og dele PII, både internt og eksternt. Riktig PIMS vil også gjøre det enkelt for folk å oppdatere og korrigere data du har på dem.
En skreddersydd praktisk økt basert på dine behov og mål
For å implementere ISO 27701, organisasjonens behov til:
1. Prosess og/eller administrere personlig identifiserbar informasjon (PII)
2. Ha en ISO 27001-sertifisert styringssystem for informasjonssikkerhet (ISMS)
Det spiller ingen rolle hvilken type eller størrelse organisasjon du er. ISO 27701s krav fleks til å dekke alle typer og størrelser av organisasjoner. Dette inkluderer (men er ikke begrenset til):
1. Offentlige og private selskaper
2. Statlige enheter
3. Ikke-for-profit organisasjoner
Bli kjent med ISO 27701-standarden. Det vil hjelpe deg med å definere strategien for personvernadministrasjon og planlegge PIMS. Bygg deretter PIMS-en din, lag dens systemer og taktiske kontroller. Deretter implementerer du PIMS, og pass på at du følger alle ISO 27701-kravene.
Du vil være klar for revisjonen din når full ISO 27701-sertifisering blir mulig. For øyeblikket er standarden så ny at ingen er akkreditert til å sertifisere deg for den.
Å, og for å oppnå ISO 27001 må du enten være ISO 27001-kompatibel eller sertifisert. Hvis du ikke har ISO 27001, må du planlegge hvordan du implementerer det også.
ISO/IEC 27701:2019 er så ny at den ikke har noen akkrediterte sertifiseringsorganer. Så i skrivende stund kan du faktisk ikke få ISO 27701-sertifisert.<.p>
Vi anbefaler oppnå ISO 27001-samsvar, så du er klar når sertifisering blir mulig. Det ser ut til at du vil kunne få ISO 27701-sertifisert fra midten av 2021 og utover.
For å oppnå samsvar med ISO/IEC 27701:2019, må du designe, bygge og implementere et personlig informasjonsstyringssystem (PIMS) for organisasjonen din.
Din nye PIMS bør følge:
1. ISO 27701-standarden på alle relevante måter
2. Alle nasjonale eller internasjonale forskrifter som gjelder for din organisasjon
ISO 27701 forutsetter at du allerede har oppnådd ISO 27001-samsvar eller sertifisering. Det betyr lage et styringssystem for informasjonssikkerhet (ISMS). Du kan sette opp ISMS-en din før eller ved siden av ISO 27701-implementeringen.
Når du går for ISO 27701-sertifisering, vil revisorene dine vurdere PIMS-en din ved å:
1. Leser gjennom PIMS-dokumentasjonen
2. Intervjuer folket ditt for å sikre at de forstår det og bruker det
3. Gjennomføre tester for å se hvor godt det fungerer i praksis
For å vise god ISO 27701-praksis, trenger du:
1. Omfattende PIMS-dokumentasjon
2. Godt utdannet personale
3. Allment forstått og fulgt retningslinjer og prosedyrer
ISO/IEC 27701:2019 er så ny at den ikke har noen akkrediterte sertifiseringsorganer. Så i skrivende stund kan du faktisk ikke få ISO 27701-sertifisert. Når ISO 27701-sertifisering blir mulig, vil den følge en lignende prosess som ISO 27001-sertifisering.
Først må du designe, bygge og implementere ditt Personal Information Management System (PIMS). Sørg for at du følger kravene gitt i ISO 27701-standarden. Registrer deg deretter hos et anerkjent uavhengig sertifiseringsorgan, som vil revidere PIMS-ene dine.
Sertifiseringsorganets revisorer vil vurdere PIMS-dokumentasjonen din. Deretter vil de teste PIMS-ene dine, vanligvis gjennom intervjuer og prøvetaking på stedet. Hvis du består tilsynet, er du sertifisert. Du vil da ha to årlige overvåkingsrevisjoner. Etter tre år må du bli re-sertifisert.
ISO 27701 fyller ut noen personlig identifiserbar informasjonshull i ISO 27001. Så du kan implementere den enten sammen med eller etter ISO 27001.
I tillegg til ISO 27001, ISO 27701 kartlegges på:
Husk at du også må følge lokale forskrifter hvis du tilordner ISO 27701 til en annen standard.
ISO 27701 er atskilt fra GDPR. Men hvis du er ISO 27701-kompatibel eller sertifisert, vil administrasjonssystemet for personopplysninger være GDPR-kompatibelt.
ISO 27701 ble først utviklet som ISO/IEC 27522. Standardens navn ble endret til ISO 27701 før lanseringen i 2019. ISO 27522 ble ISO 27701 fordi enhver standard som forteller deg hvordan du setter opp et styringssystem må ende med 01.
De ISO 27000 familie av standarder fokuserer på informasjonssikkerhet. Hver ISO 27000-standard har forskjellige infosec-vekter og krav. Organisasjoner av enhver størrelse eller type kan bruke dem.
Viktige familiemedlemmer inkluderer:
Vedlegg D til ISO 27701-standarden forteller deg hvordan du kan kartlegge kontrollene til EUs generelle databeskyttelsesforordning (GDPR).
Vedlegg F til ISO 27701-standarden forklarer hvordan man kan utvide ISO IEC 27001 og ISO / IEC 27002 for å beskytte personlig identifiserbar informasjon (PII).
For å gjøre ting enkelt for deg, ISMS.online har bygget en skybasert plattform. Denne plattformen overholder ISO-standardenes kriterier og tilfredsstiller også kravene i ISO 27701. Dette gjør at du kan opprette og demonstrere samsvar med ISO 27701-standarden, og dermed forenkle sertifiseringen.
Vår skybaserte plattform lar deg få tilgang til alle ISMS-ressursene dine på ett sted. Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei til ISO 27701-implementering, slik at du kan demonstrere din dedikasjon til beste praksis for informasjonssikkerhetsstyring. Ring ISMS.online på + 44 (0) 1273 041140 for å finne ut mer om hvordan vi kan hjelpe deg med å bli sertifisert etter ISO 27701.
Samarbeid, lag og vis at du er på toppen av dokumentasjonen til enhver tid
Finn ut merHåndter trusler og muligheter uanstrengt og rapporter dynamisk om ytelse
Finn ut merTa bedre beslutninger og vis at du har kontroll med dashboards, KPIer og relatert rapportering
Finn ut merGjør lett arbeid med korrigerende handlinger, forbedringer, revisjoner og ledelsesgjennomganger
Finn ut merSkyn et lys på kritiske relasjoner og koble elegant sammen områder som eiendeler, risiko, kontroller og leverandører
Finn ut merVelg eiendeler fra Asset Bank og lag din Asset Inventory med letthet
Finn ut merUt av esken integrasjoner med dine andre viktige forretningssystemer for å forenkle overholdelse
Finn ut merLegg til andre områder av samsvar som påvirker organisasjonen din for å oppnå enda mer
Finn ut merEngasjer ansatte, leverandører og andre med dynamisk ende-til-ende-overholdelse til enhver tid
Finn ut merAdministrer due diligence, kontrakter, kontakter og relasjoner over deres livssyklus
Finn ut merKartlegg og administrer interesserte parter visuelt for å sikre at deres behov blir klart adressert
Finn ut merSterkt design av personvern og sikkerhetskontroller for å matche dine behov og forventninger
Finn ut mer100 % av brukerne våre oppnår ISO 27001-sertifisering første gang