Međunarodna organizacija za standardizaciju objavila je standard za opšti sistem upravljanja zaštitom podataka (DSMS) 2019. ISO/IEC 27701 opisuje DSMS zasnovan na sistemu upravljanja sigurnošću informacija u skladu sa ISO 27001. Ovaj poseban oblik DSMS-a se naziva sistem upravljanja ličnim informacijama (PIMS). Osnove za ovaj PIMS su opisane u nastavku. U tom procesu se razrađuje pet glavnih prednosti koje PIMS nudi kompanijama. Besplatni bilteni pružaju daljnje smjernice o praktičnoj implementaciji.
Loading...
Zaštita podataka i sigurnost informacija
Čak i u kontekstu informacione sigurnosti, zaštita podataka nije jednokratni projekat koji se pokreće, provodi i završava. Slučaj je upravo suprotan. Operativna zaštita podataka je niz procesa zaštite podataka koji moraju biti trajno dostupni i primjenjivi u organizacijama ili mogu biti pokrenuti okidačem. Važni primjeri za to su dva procesa zaštite podataka "osigurati prava subjekta podataka" i "reagovati na incidente zaštite podataka".
U svijetu zaštite podataka, korištenje sistema upravljanja zaštitom podataka (DSMS) smatra se velikom stvari za rješavanje problema zaštite podataka organizacija. Zašto je to tako? Odgovor je relativno jednostavan:
Sistem upravljanja zaštitom podataka je okvir i pokretač operativne zaštite podataka kojeg se organizacije moraju stalno pridržavati.
Od 25. maja 2018. godine, Evropska opća uredba o zaštiti podataka (GDPR) jednostavno daje pravila za DSMS. Formuliše stroge zakonske zahtjeve u pogledu toga šta je dozvoljeno ili zabranjeno (Poslovna pravila). Njemačke kazne DS-GVO (njemački osnovni zakon o zaštiti podataka) proizlaze iz ovoga. Međutim, ne daje nikakvu izjavu o tome kako implementirati zakonske zahtjeve zaštite podataka.
Zaštita podataka i sigurnost informacija - šta je uopšte sistem upravljanja?
Definicija sistema upravljanja je apstraktna i ne može se ad hoc operacionalizovati. Standard ISO/IEC 27000:2020 definiše sistem upravljanja kao...
"Skup međusobno povezanih i međusobno djelujućih elemenata organizacije (3.50) za uspostavljanje politika (3.53), ciljeva (3.49) i procesa (3.54) za postizanje tih ciljeva."
Tek kada su elementi sistema upravljanja detaljnije definisani, može se dati izjava o tome da li su strogi pravni i operativni zahtjevi zaštite podataka iz GDPR-a ispunjeni sa posebno uspostavljenim sistemom upravljanja. Izjava da funkcioniše sistem upravljanja zaštitom podataka ne daje nikakve naznake o kvalitetu DSMS-a ili statusu implementacije.
Loading...
ISO 27701 - Upravljanje zaštitom podataka
Zaštita podataka u kontekstu informacione sigurnosti - uzbudljiva tema? Više stručnog znanja o standardu ISO 27701 u našem besplatnom Bijelom papiru.
Struktura visokog nivoa kao šema za sistem upravljanja
Međunarodna organizacija za standardizaciju (ISO) kreirala je nacrt za sisteme upravljanja pod nazivom Struktura visokog nivoa (HLS). Ova osnovna struktura sadrži sve elemente koje ISO smatra relevantnim za sistem upravljanja (Dodatak 2 Anex-u SL ISO/IEC direktiva, dio 1). Iz tog razloga su osnovni mehanizmi standarda sistema upravljanja veoma slični.
Specifični DSMS ISO-a, Sistem upravljanja ličnim informacijama (PIMS), stoga ima identičnu osnovu kao sistem upravljanja kvalitetom prema ISO 9001, sistem upravljanja okolinom prema ISO 14001 ili sistem upravljanja sigurnošću informacija prema ISO 27001.
Zaštita podataka i sigurnost informacija - integracija GDPR u sistem upravljanja
PIMS u skladu sa međunarodnim standardom ISO/IEC 27701 je univerzalan, a ne samo prilagođen Evropskoj općoj uredbi o zaštiti podataka. Standard opisuje sistem upravljanja zaštitom podataka zasnovan na sistemu upravljanja sigurnošću informacija u skladu sa ISO 27001, čineći ISO 27701 pogodnim za implementaciju bilo koje operativne zaštite ličnih podataka, uključujući kalifornijski ili japanski zakon o zaštiti podataka.
ISO/IEC 27701:2021-07- Sigurnosne tehnike - Proširenje na ISO/IEC 27001 i ISO/IEC 27002 za upravljanje informacijama o privatnosti - Zahtjevi i smjernice (ISO/IEC 27701:2019).
Standard je dostupan na ISO web stranici
ALI: Onima koji su razvili i implementirali PIMS u skladu sa standardom zaštite podataka – drugim riječima, onima koji sistematski štite i upravljaju svojim ličnim podacima – lako je osigurati i pokazati usklađenost sa zakonskim zahtjevima zaštite podataka. To se radi kroz mehanizam sistema upravljanja za upravljanje zahtjevima. Upravljanje zahtjevima je proces identifikacije i procjene internih i eksternih zahtjeva i implementacije mjera za adresiranje rizika.
Koja je razlika između zaštite podataka i sigurnosti informacija?
Osnovna razlika između ove dvije teme je jednostavna: informaciona sigurnost obuhvata svu korporativnu imovinu koju treba sačuvati i služi za zaštitu povjerljivih poslovnih informacija od zloupotrebe od strane trećih strana. Ovo uključuje mnogo više od samo IT sistema. Kada je u pitanju zaštita podataka, mjere su usmjerene na zaštitu ličnih podataka. Od maja 2018. godine Opća uredba EU o zaštiti podataka morala je da se primjenjuje na obavezujućoj osnovi u cijeloj Evropi - od strane svih kompanija i javnih tijela koja obrađuju lične podatke.
Pet prednosti upravljanja zaštitom podataka
U interakciji između sigurnosti informacija i zaštite podataka, standard uvijek treba shvatiti kao najbolju praksu. Konkretnu implementaciju zahtjeva i mjera za sigurnost podataka mora izvršiti korisnik.
Opšta prednost PIMS-a je svjetska standardizacija kroz standard zaštite podataka i obimnu literaturu o implementaciji standarda. Doduše, na jezik standarda "treba se naviknuti".
Prednost #1: Dodjeljivanje odgovornosti
Skoro da se čini da je korporativna kultura među malim i srednjim preduzećima (MSP) da nejasno ili uopšte ne dodjeljuju odgovornosti. Može se primjetiti da u mnogim korporativnim politikama odgovornost za određene aktivnosti ili sredstva nije jasno definisana i adresirana. Ovo je veliki nedostatak i dovodi do praznina i grešaka u radu.
ALI: Zaštita podataka je "timski sport". Samo ako su svi zadaci identificirani i dodijeljeni odgovornim stranama, te samo ako i ti pojedinci ispunjavaju svoje zadatke, vaša kompanija može raditi na način koji je usklađen sa zaštitom podataka.
Zaštita podataka je "timski sport": Podjela odgovornosti je dobra. Bolje je preuzeti odgovornost.
Uvođenjem PIMS-a, princip vlasništva mora biti uveden u organizaciju za opseg standarda. Međutim, pojam vlasnika ovdje ne treba shvatiti u njegovom građanskopravnom značenju. Umjesto toga, na njemačkom jeziku standarda, vlasnik se odnosi na odgovornost osobe za imovinu ili implementaciju zahtjeva ili mjere.
Na primjer: Održavanje "Imenika aktivnosti obrade (VVT)" često se delegira službeniku za zaštitu podataka (DPO). Naravno, ovo je potpuna glupost i ne može funkcionisati jer DPO često uopće nije uključen u mnoge aktivnosti obrade. U upravljanju kvalitetom, vlasnici procesa obavljaju procesnu dokumentaciju. Najviše rukovodstvo bi trebalo to delegirati u skladu sa tim i u zaštiti podataka.
Certifikat u skladu sa ISO 27701
Prednost #2: Operativna zaštita podataka je orijentisana na rizika
U njemačkom DS-GVO, evropski zakonodavac zahtijeva implementaciju sigurnosti podataka usmjerenu na rizik, na primjer u članu 32 (1) DS-GVO. Ova orijentacija na rizik često ne funkcioniše u kompanijama u kojima nije zvanično implementiran sistem upravljanja. Primjena standarda zaštite podataka ISO 27701 neizbježno uvodi orijentaciju na rizik. Ovdje nije propisana metoda za procjenu rizika po sigurnost podataka i može je - u granicama - odrediti korisnik.
Prednost #3: Upravljanje promjenama kao komponenta uspjeha
Procesi sigurnosti podataka mogu biti pokrenuti promjenom u organizaciji. Na primjer, implementacija ili prilagođavanje poslovnog procesa, usluge ili proizvoda. Kompanije bez upravljanja promjenama imaju velike probleme u ispunjavanju zahtjeva za zaštitu podataka, jer se promjene redovno obrađuju na nasumičan i nekontrolisan način. Ovo rezultira takozvanim regulatornim jazom.
Kompanije i organizacije se stalno mijenjaju. Upravljanje promjenama također igra važnu ulogu u zaštiti podataka i sigurnosti informacija.
PIMS bilježi i kontroliše ove promjene uz pomoć upravljanja promjenama i implementira ih. Na primjer, promjena poslovnog procesa zahtijeva provjeru dopuštenosti (zakonitost, ekonomičnost podataka, prava subjekta podataka, dokumentacija u VVT-u, itd.).
Na primjer: Zahtjev za ranim uključivanjem službenika za zaštitu podataka u osmišljavanje izmjena može se postići vrlo jednostavnim imenovanjem u tim za promjene.
Prednost #4: Optimizacija kroz proces kontinuiranog poboljšanja
Kompanije se stalno mijenjaju. Sistem upravljanja ličnim informacijama se u početku planira, implementira i upravlja. Vrlo je vjerovatno da će prvi pokušaj uvođenja, implementacije i rada sistema biti neoptimalan zbog nedostatka iskustva. Čak i ako se tokom implementacije konsultuje iskusan konsultant, za očekivati je kamen spoticanja.
Premisa: Učinite sigurnost informacija i zaštitu podataka sistematičnom i održivom.
Iako svi PIMS imaju u principu identične mehanizme, oni su drugačije dizajnirani. Na implementaciju mehanizama može utjecati veličina organizacije, organizacijska kultura ili čak fokus industrije.
Dobar podmehanizam za trajno prilagođavanje PIMS-a promjenjivim potrebama organizacije i zainteresiranih strana je proces kontinuiranog poboljšanja (CIP).
Na primjer: Opća uredba o zaštiti podataka zahtijeva informativni list koji obavještava kupce ili, na primjer, građane u trenutku prikupljanja podataka o prirodi i obimu obrade ličnih podataka i srodnim pravima. Ovi informacioni listovi u skladu sa članom 13. i 14. DS-GVO se objavljuju u skladu sa zakonom, međutim, postoji mnogo zahtjeva za ovim informacijama od subjekata podataka. Uključujući ove prijedloge za poboljšanje, kompanija prepoznaje da može uštedjeti resurse i povećati zadovoljstvo kupaca optimiziranjem objavljivanja informacija.
Prednost #5: Detaljan katalog mjera
Kao što je ranije opisano, ISO 27701 nije prilagođen GDPR-u. Korisnik standarda je odgovoran za dodavanje specifičnih zahtjeva GDPR-a u PIMS.
Međutim, međunarodni standard donosi tri opsežna kataloga mjera za opštu implementaciju operativne zaštite podataka:
- Tehničke i organizacione mjere,
- Organizacija za zaštitu podataka kod kontrolora, i
- Organizacija zaštite podataka kod obrađivača.
Dobra vijest za evropskog korisnika je da su se autori novog standarda snažno fokusirali na Opću uredbu o zaštiti podataka prilikom kreiranja kataloga mjera. To znači da primjena generičkih kataloga mjera već mapira mnoge zahtjeve GDPR-a. Zahtjevi koji nedostaju se zatim prate upravljanjem zahtjevima.
Mjere su najbolje prakse za implementaciju i napisane su u stilu priručnika. Za razliku od GDPR-a (Poslovna pravila), mjere objašnjavaju korisniku standarda kako se implementacija mora odvijati. Sa stanovišta autora, ovo je velika prednost.
Zaključak: Zaštita podataka i sigurnost informacija
Svako ko je razvio i implementirao sistem upravljanja zaštitom podataka (DSMS) u skladu sa standardom ISO 27701 – drugim riječima, svako ko sistematski štiti i upravlja svojim ličnim podacima – lako će osigurati i dokazati usklađenost sa zakonskim zahtjevima. Ako se pravilno primjenjuje, standard može spriječiti mnoge greške u uvođenju i radu DSMS-a.
S obzirom na zaštitu podataka i sigurnost informacija, ISO 27701 je dugo očekivani priručnik za implementaciju GDPR-a.
Međutim, certifikacija PIMS-a će biti moguća samo ako kompanija takođe upravlja certificiranim sistemom upravljanja sigurnošću informacija prema ISO 27001.
DQS: Simply leveraging Quality.
Standardi sistema upravljanja pružaju sistematski i strukturirani okvir za uzimanje u obzir zakonskih obaveza i njihovu integraciju u poslovne procese. Kompanije koje žele da igraju na sigurno mogu imati status svoje informacione sigurnosti ili implementacije usklađene sa DS-GVO-om koju auditira nezavisno tijelo kao što je DQS.
Naše osnovne kompetencije leže u obavljanju certifikacijskih audita i ocjenjivanja. To nas čini jednim od vodećih dobavljača širom svijeta s tvrdnjom da postavljamo nove standarde u pouzdanosti, kvaliteti i orijentaciji na kupca u svakom trenutku. Istovremeno, certificirani sistem upravljanja za sigurnost informacija i zaštitu podataka dokaz je marljivosti i predviđanja vaše kompanije u slučaju eksternih napada na podatke.
Povjerenje i ekspertiza
Naše tekstove i brošure pišu isključivo naši experti za standarde ili dugogodišnji auditori. Ako imate bilo kakva pitanja o sadržaju ili našim uslugama našem autoru, kontaktirajte nas. Radujemo se razgovoru s vama.
DQS Bilten
Budite informisani i prijavite se na naš bilten!
Autor
Stephan Rehfeld
Direktor upravljanja "scope & focus Service-Gesellschaft mbH". Eksterni službenik za zaštitu podataka i dugogodišnji auditor zaštite podataka DQS-a. Član sa punim pravom glasa radne grupe „Upravljanje identitetom i tehnologije zaštite podataka“ njemačkog DIN-a, zamjenik šefa kruga razmjene iskustava Njemačkog udruženja za zaštitu podataka i sigurnost podataka (GDD) u Hanoveru.
Loading...