datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Upravljanje zaštitom podataka sa certifikatom

Holger Schmeken

DQS expert za sigurnost informacija
feb 09 , 2022
# Sigurnost informacija i zaštita podataka

Mnoge kompanije traže certifikat kako bi demonstrirali pažljive i efikasne mjere predostrožnosti za zaštitu podataka. Opšta uredba EU o zaštiti podataka također predviđa certifikaciju zaštite podataka. Sa ISO 27701, novi standard za dokazivanje primjene propisa o zaštiti podataka objavljen je u avgustu 2019. Ovaj novi međunarodni standard sada se također može certificirati.

CONTENT

Zaštita podataka kao dodatak sistemu upravljanja

U idealnom slučaju, upravljanje zaštitom podataka je dizajnirano uz pomoć međunarodnog standarda, u tandemu sa ISO 27001. Dobro poznati standard ISO/IEC 27001 bavi se zahtjevima za sistem upravljanja sigurnosti informacija (ISMS) i također može biti certificiran za ovu oblast primjene. Novi ISO/IEC 27701 standard za upravljanje zaštitom podataka nadovezuje se na ISO 27001 i dodaje mu kriterije zaštite podataka. Ovo proširenje integriše zahtjeve za sistem upravljanja informacijama o zaštiti podataka (DSMS ili Privacy Information Management System, PIMS) u ISMS.

Puni naziv međunarodnog standarda zaštite podataka je:

ISO/IEC 27701:2019 - Sigurnosne tehnike - Proširenje na ISO/IEC 27001 i ISO/IEC 27002 za upravljanje informacijama o privatnosti - Zahtjevi i smjernice.

Standard je dostupan na ISO web stranici. 

Kao i ISO 27001, ISO 27701 također uzima u obzir pristup sistemu upravljanja i odnosi se na osnovnu strukturu standarda modernog sistema upravljanja, Struktura visokog nivoa (HLS).

"Iskustvo je pokazalo da svako ko je implementirao ili certificirao nekoliko ISO standarda može vrlo lako integrisati ISO 27701 zbog strukture visokog nivoa. Uobičajeni scenarij ovdje je, naravno, da se ISO 27701 ugradi u ISO 27001."

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Novi međunarodni standard dio je ISO 29100, koji sadrži sve principe zaštite podataka. Prvobitno je trebao biti nazvan ISO 27552, ali je potom preimenovan u ISO 27701. Pozadina ovoga je odluka Međunarodne organizacije za standardizaciju (ISO) da se svi glavni standardi koji se mogu certificirati završavaju na 01.

Upravljanje zaštitom podataka: Šta se nalazi u ISO 27701?

Umjesto "informacione sigurnosti", novi standard zaštite podataka govori o "informacionoj sigurnosti i zaštiti podataka". Štaviše, tu su i dodaci sadržaju. Na primjer, kada se razmatra kontekst organizacije, potrebno je uključivanje relevantnih zakona o zaštiti podataka i sudskih odluka. Isto tako, u procjeni rizika moraju se uzeti u obzir kriteriji za obradu ličnih podataka – uvijek imajući na umu zaštitu pogođenih osoba i moguću procjenu uticaja.

Osim toga, ISO 27701 uključuje dopune ISO 27002, smjernice za implementaciju mjera iz Anex A ISO 27001.

ISO standard također pruža sljedeće smjernice o upravljanju zaštitom podataka:

  • Proširenje smjernica i politika kako bi se uključili aspekti zaštite podataka.
  • Imenovanje odgovorne osobe (službenika za zaštitu podataka) u kompaniji za sistem upravljanja informacijama o privatnosti
  • Obuka o zaštiti podataka za zaposlene
  • Evidentiranje pristupa i promjena
  • Šifriranje, na primjer posebnih kategorija ličnih podataka kao što su zdravstveni podaci
  • Razmatranje principa "Privacy by Design".
  • Pregled sigurnosnih incidenata zbog kršenja privatnosti podataka

Upravljanje zaštitom podataka sa ISO 27701

Zaštita podataka u kontekstu informacione sigurnosti - zanimljiva tema? Više stručnog znanja o ISO 27701 standardu u našem besplatnom Bijelom papiru.

Preuzmite Bijeli papir o ISO 27701 i saznajte više

Anex ISO 27701 sadrži detaljnu tabelu alokacije mjera prema zahtjevima GDPR. Ovdje postaje jasno kakav utjecaj ima Opšta uredba EU o zaštiti podataka na ovaj međunarodni standard za zaštitu podataka.

ISMS i PIMS: Sličnosti i razlike

Sistemi za upravljanje sigurnosti informacija (ISMS) i sistemi za upravljanje informacijama o privatnosti (PIMS) su usko isprepleteni.

Privatnost i sigurnost podataka odnose se na lične podatke. Serija standarda ISO 27000 prvenstveno se odnosi na zaštitu informacija, pri čemu su lični podaci podskup. Dakle, perspektiva određuje da li je nešto kršenje podataka ili incident sigurnosti informacija, ili čak oboje?

"Prednost ISO 27701? Izoštrava fokus na aspekte zaštite podataka u sistemu upravljanja sigurnosti informacija!"

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Kada se u ISO 27001 ili ISO 27002 koristi izraz "informacijska sigurnost", u ISO 27701 se naziva "informacijska sigurnost i zaštita podataka". Ovaj dodatak čini zaštitu podataka dijelom sistema upravljanja sigurnosti informacija.

Međutim, postoje i odstupanja gdje PIMS funkcioniše drugačije od ISMS-a. Jedan primjer: različito razumijevanje konteksta organizacije. U ISO 27701, u klauzuli 4.1, postoji dodatni zahtjev za ISO 27001 da „organizacija treba definisati svoju ulogu kao odgovorne strane ili zajedničkog kontrolora za zajedničke odgovornosti i/ili kao obrađivača ugovora“.

Ovaj zahtjev nije prisutan u sistemu upravljanja sigurnosti informacija jer ISMS ne prepoznaje razliku između "kontrolora" i "procesora". Shodno tome, ISO 27701 sadrži dva dodatna aneksa s mjerama specifičnim za zaštitu podataka za "kontrolore" i "procesore".

 

Ciljevi zaštite podataka i ciljevi sigurnosti informacija: Sličnosti i razlike

ISO 29100 definiše principe zaštite podataka koje sopstveni sistem upravljanja kompanije treba da ispuni. Član 5. Opšte uredbe o zaštiti podataka (GDPR) pokazuje koji se ciljevi zaštite podataka trebaju postići operativnim članovima GDPR-a. Principi i ciljevi su uglavnom podudarni. To je zato što je OECD definisao ciljeve zaštite podataka 1980. Oni su poslužili kao osnova za ISO 29100 i GDPR.

U Sistemu upravljanja sigurnosti informacija (ISMS) nalaze se ciljevi sigurnosti informacija poverljivost, integritet, dostupnost. Ovo se takođe nalazi u članu 5 i članu 32 DS-GVO. Glavna razlika je, međutim, definicija "zainteresovanih strana" u ISMS-u. Ovo uključuje, na primjer, vlastite zaposlenike kompanije, kupce, dobavljače, investitore ili vlasti. U zaštiti podataka, s druge strane, zainteresirana strana je samo subjekt podataka.

Stoga se upravljanje rizikom zaštite podataka razlikuje od upravljanja rizikom sigurnosti informacija. Kao rezultat toga, ISMS se ne može koristiti jedan na jedan kao PIMS sa svojim procesima specifičnim za zaštitu podataka. Ipak, postoje mogućnosti za integraciju tako da se, na primjer, može obaviti zajednički interni audit.

Upravljanje zaštitom podataka: ISO 27701 certifikacija

Što se tiče certifikacije, novi standard ISO 27701 će u budućnosti dopuniti ISO 27001 – i to će biti prvi standard koji potvrđuje zaštitu podataka certifikatom. U tu svrhu, DQS je trenutno u procesu akreditacije kod njemačkog tijela za akreditaciju (DAkkS) i očekuje da će uskoro dobiti odobrenje. Budući da je ISO 27701 dizajniran kao proširenje ISO 27001, sistem upravljanja zaštitom podataka prema ISO 27701 ne može se certificirati bez sistema upravljanja sigurnosti informacija prema ISO 27001.

ISO 27701: Veliki korak prema zaštiti podataka

Svako ko je razvio i implementirao sistem upravljanja zaštitom podataka (PIMS) u skladu sa standardom ISO 27701 – drugim riječima, svako ko sistematski štiti i upravlja svojim ličnim podacima – lako će osigurati i pokazati usklađenost sa zakonskim zahtjevima. Kompanije mogu koristiti novi standard za uspostavljanje sigurnosti informacija u velikoj mjeri usklađene sa zaštitom podataka i odgovarajućom zaštitom podataka.

Kreiranje jasnih odgovornosti ISO 27701

Prilikom implementacije novog ISO standarda, kompanije ne mogu izbjeći definisanje jasnih odgovornosti u oblasti zaštite podataka. Ovu prednost ne treba potcijeniti. U većini kompanija bez sistematskog upravljanja zaštitom podataka, odgovornosti se prečesto formulišu na blag način iz pogrešno shvaćene ljubaznosti („Možete li ovo preuzeti u budućnosti?“). Ili se odgovornosti dijele, pod motom "Zajedno ćemo!" I jedno i drugo neminovno dovodi do toga da na kraju niko ne preuzme odgovornost. Uz dobro strukturiran sistem upravljanja zaštitom podataka, postoje jasne smjernice, a to je neprocjenjivo.

"Suština je da svaka kompanija zaista ima koristi od sistematizacije svoje zaštite podataka - u svim industrijama i veličinama kompanija."

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Novi ISO standard se ni u kom slučaju ne zasniva samo na principima Opšte uredbe o zaštiti podataka, već je namijenjen i podršci kompanijama u usklađivanju sa globalnim standardima zaštite podataka. Cilj je uspostaviti, implementirati, održavati i kontinuirano poboljšavati PIMS.

Još jedna prednost: Orjentacija ka riziku

Postoji još jedan plus u korist integracije ISO 27701 sa ISO 27001. Uvođenjem ISO 27701 kompanije su praktično „prinuđene“ da zauzmu pristup orijentisan na rizik u zaštiti ličnih podataka. Ovo uključuje, na primjer, potpuno definisanje i procjenu rizika i procjenu vjerovatnoće s kojom će se oni pojaviti.

Ova procjena rizika tada predstavlja polaznu tačku za smanjenje konkretnog potencijala štete na prihvatljiv nivo. Uzgred, nalazimo i ovaj divno pragmatičan pristup u sličnoj formi sa GDPR-om, tako da je krug zatvoren i u smislu praktične relevantnosti.

Na prvi pogled: Prednosti ISO 27701

 

  • ISO 27701 formuliše zahtjeve za sistem upravljanja informacijama o privatnosti.
  • Sa ISO 27701 možete identifikovati, procijeniti i minimizirati sigurnosne rizike u zaštiti podataka u cjelokupnom kontekstu vašeg upravljanja sigurnosti informacija.
  • Uz ISO 27001, ISO 27701 je prvi međunarodni standard koji se može certificirati i koji potvrđuje zaštitu podataka certifikatom (uskoro: DAkkS-akreditirani certifikat od DQS-a).
  • ISO 27701 je važan razvoj za zaštitu podataka u Evropi i na međunarodnom nivou.

 

Zaključak: Sistematski i struktuirani pristup zaštiti podataka

Ako želite sigurno da se krećete kroz gomilu nacionalnih i međunarodnih propisa o zaštiti podataka, ne možete izbjeći pristup temi na strukturisan i sistematičan način. U tom kontekstu, ISO 27701 nudi visoku dodanu vrijednost.

Zaštitu podataka i sigurnost podataka stoga mogu savladati i srednja preduzeća i pruža odličan nacrt za zaštitu podataka u skladu sa propisima. Ovo uključuje sveobuhvatnu kolekciju najboljih praksi koje kompanije mogu koristiti da sa sigurnošću dokumentuju da provode dužnu pažnju prilikom rukovanja kritičnim podacima.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Rado ćemo odgovoriti na vaša pitanja

Koji su zahtjevi za ISO 27701 certifikat i koji su troškovi? Saznajte. Besplatno i bez obaveza.

Radujemo se vašem upitu

DQS: Simply leveraging Quality.

U interakciji dinamike i stabilnosti, certificirani sistemi upravljanja postaju sve važniji - razvoj koji DQS osjeća na pozitivan način. To je zato što uspješne kompanije i organizacije koriste nalaze naših audita kako bi kontinuirano poboljšavale svoje rezultate. Također koriste naše globalno priznate certifikate kao objektivan dokaz svoje sposobnosti kvaliteta. Ovo stvara povjerenje - kako interno tako i eksterno prema vašoj kompaniji.

Ekspertiza i povjerenje

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o tekstualnom sadržaju ili našim uslugama našem autoru, kontaktirajte nas.

Autor
Holger Schmeken

Proizvodni menadžer za TISAX® i VCS, auditor za ISO/IEC 27001, ekspert za softversko inženjerstvo sa više od 30 godina iskustva i zamjenik službenika za sigurnost informacija. Holger Schmeken je magistrirao poslovnu informatiku i ima proširenu nadležnost audita za kritične infrastrukture u Njemačkoj (KRITIS).

Pitanja?

Mi smo tu za vas.
Kontaktirajte nas