ISO/IEC 27701

ISO/IEC 27701:2019 (tidigare känd som ISO/IEC 27552 under utarbetandeperioden) är en integritetstillägg till ISO/IEC 27001 . Designmålet är att förbättra det befintliga Information Security Management System (ISMS) med ytterligare krav för att etablera, implementera, underhålla och ständigt förbättra ett Privacy Information Management System (PIMS). Standarden beskriver ett ramverk för personuppgiftsansvariga (PII) och PII-behandlare för att hantera integritetskontroller för att minska risken för individers integritetsrättigheter.

ISO/IEC 27701 är avsedd att vara en certifieringsbar förlängning av ISO/IEC 27001- certifieringar. Med andra ord, organisationer som planerar att söka en ISO/IEC 27701-certifiering måste också ha en ISO/IEC 27001-certifiering.

Avsedd tillämpning av standarden

Den avsedda tillämpningen av ISO/IEC 27701 är att utöka det befintliga ISMS med integritetsspecifika kontroller och därmed skapa PIMS för att möjliggöra effektiv integritetshantering inom en organisation.

En robust PIMS har många potentiella fördelar för PII-kontroller och PII-processorer, med minst tre betydande fördelar:

För det första är det betungande att uppnå efterlevnad av integritetskrav (särskilt lagar och förordningar, plus avtal med tredje part, plus företags sekretesspolicyer etc.), särskilt om kraven inte är organiserade på det mest effektiva sättet för PII-kontrollanter och PII-processorer. Organisationer som omfattas av flera åtaganden om integritetsefterlevnad (t.ex. från flera jurisdiktioner där de är verksamma eller registrerade bor) står inför ytterligare bördor att förena, tillfredsställa och hålla koll på alla tillämpliga krav. Ett hanterat tillvägagångssätt underlättar efterlevnadsbördan, till exempel som visas av bilaga C till standarden kan en enda integritetskontroll uppfylla flera krav från General Data Protection Regulation (GDPR).

För det andra är att uppnå och upprätthålla efterlevnad av tillämpliga krav en fråga om styrning och säkerhet. Baserat på PIMS (och eventuellt dess certifiering) kan sekretess- eller dataskyddsombud tillhandahålla nödvändiga bevis för att försäkra intressenter som ledning, ägare och myndigheter att tillämpliga integritetskrav är uppfyllda.

För det tredje kan PIMS-certifiering vara värdefull för att kommunicera efterlevnad av sekretess till kunder och partners. PII-kontrollanter kräver i allmänhet bevis från PII-processorer att PII-processorernas integritetshanteringssystem följer tillämpliga integritetskrav. En enhetlig bevisram baserad på internationell standard kan avsevärt förenkla sådan kommunikation av efterlevnadstransparens, särskilt när bevisen valideras av en ackrediterad tredjepartsrevisor. Denna nödvändighet i kommunikationen av överensstämmelsetransparens är också avgörande för strategiska affärsbeslut som fusioner och förvärv och co-Controllers-scenarier som involverar avtal om datadelning. Slutligen kan PIMS-certifiering potentiellt tjäna till att signalera pålitlighet till allmänheten.

Normativa referenser

ISO/IEC 27701 refererar normativt till följande dokument:

Standardens struktur

Kraven i standarden är uppdelade i följande fyra grupper:

  1. PIMS-krav relaterade till ISO/IEC 27001 beskrivs i klausul 5.
  2. PIMS-krav relaterade till ISO/IEC 27002 beskrivs i klausul 6.
  3. PIMS-vägledning för PII-kontrollanter beskrivs i klausul 7.
  4. PIMS-vägledning för PII-processorer beskrivs i klausul 8.

Standarden innehåller vidare följande bilagor:

  1. Bilaga A PIMS-specifika referenskontrollmål och kontroller (PII-kontrollanter)
  2. Bilaga B PIMS-specifika referenskontrollmål och kontroller (PII-processorer)
  3. Bilaga C Mappning till ISO/IEC 29100
  4. Bilaga D Kartläggning till den allmänna dataskyddsförordningen (GDPR) .
  5. Bilaga E Mappning till ISO/IEC 27018 och ISO/IEC 29151
  6. Bilaga F Hur man tillämpar ISO/IEC 27701 till ISO/IEC 27001 och ISO/IEC 27002

Standardens historia

En ny arbetspunkt föreslogs till JTC 1/SC 27 av JTC 1/SC 27/WG 5 "Identity management and privacy technologys" i april 2016 baserat på ett initiativ från experter från det franska nationella organet för JTC 1/SC 27.

Projektet utvecklades sedan i JTC 1/SC 27/WG 5 under numret ISO/IEC 27552.

British Standards Institution (BSI) gjorde den första CD-skivan med ISO/IEC 27552 offentligt tillgänglig från sin webbbutik i februari 2018.

Den andra CD:n med ISO/IEC 27552 publicerades i augusti 2018.

DIS enligt ISO/IEC 27552 utfärdades i januari 2019 och godkändes i mars 2019. Eftersom inga tekniska ändringar behövdes, förbigicks FDIS-omröstningen.

ISO/IEC JTC 1/SC 27 avslutade det tekniska arbetet med ISO/IEC 27552 i april 2019.

Innan dess publicering omnumrerades ISO/IEC 27552 till ISO/IEC 27701 enligt resolution 39/2019 från ISO/Technical Management Board, som kräver att alla ledningssystem "typ A" (innehållande krav) ska ha ett nummer som slutar med " 01” som dess två sista siffror. Omnumreringen slutfördes i juli 2019.

Standarden publicerades den 6 augusti 2019.

Se även

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=ISO/IEC_27701&oldid=1133809893 "