.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Ochrana dat a zabezpečení informací - s ISO 27001 a ISO 27701

Stephan Rehfeld

Auditor DQS a odborník na ochranu dat
led 25 , 2022
# Zabezpečení informací a ochrana údajů

Mezinárodní organizace pro standardizaci zveřejnila v roce 2019 normu pro obecný systém řízení ochrany údajů (DSMS). Norma ISO/IEC 27701 popisuje systém DSMS založený na systému řízení bezpečnosti informací v souladu s normou ISO 27001. Tato zvláštní forma DSMS se nazývá systém řízení osobních informací (PIMS). Základy pro tento PIMS jsou popsány níže. Přitom je rozpracováno, kterých pět hlavních výhod PIMS společnostem nabízí. Bezplatné bílé knihy poskytují další návod k praktické implementaci.

OBSAH

Ochrana dat a bezpečnost informací

Ani v kontextu bezpečnosti informací není ochrana dat jednorázovým projektem, který se zahájí, projede a dokončí. Je tomu přesně naopak. Provozní ochrana dat je řada procesů ochrany dat, které musí být v organizacích trvale k dispozici a realizovatelné, případně spustitelné spouštěčem. Důležitými příklady jsou dva procesy ochrany údajů "zajištění práv subjektů údajů" a "reakce na incidenty v oblasti ochrany údajů".

Ve světě ochrany údajů je používání systému správy ochrany údajů (DSMS) považováno za velkou věc pro řešení problémů organizací s ochranou údajů. Proč tomu tak je? Odpověď je poměrně jednoduchá:

Systém řízení ochrany dat je rámcem a hybnou silou provozní ochrany dat, kterou musí organizace trvale dodržovat.

Stephan Rehfeld Odborník na GDPR a auditor ve společnosti DQS

Od 25. května 2018 evropské obecné nařízení o ochraně osobních údajů (GDPR) jednoduše stanovilo pravidla pro DSMS. Formuluje přísné právní požadavky, co je dovoleno nebo zakázáno (Business Rules). Od toho se odvíjejí německé sankce DS-GVO (německý základní zákon o ochraně osobních údajů). Nevyjadřuje se však k tomu, jak zákonné požadavky na ochranu údajů provádět.

Ochrana údajů a bezpečnost informací - co je to vlastně systém řízení?

Definice systému řízení je abstraktní a nelze ji operacionalizovat ad hoc. Norma ISO/IEC 27000:2020 definuje systém řízení jako systém, který je určen k ochraně osobních údajů a který je ...

"Soubor vzájemně propojených a vzájemně působících prvků organizace (3.50) pro stanovení politik (3.53), cílů (3.49) a procesů (3.54) pro dosažení těchto cílů."

Teprve po podrobnějším vymezení prvků systému řízení lze konstatovat, zda jsou s konkrétně zavedeným systémem řízení splněny přísné právní a provozní požadavky na ochranu údajů podle GDPR. Prohlášení, že systém řízení ochrany údajů je provozován, nevypovídá o kvalitě systému řízení ochrany údajů ani o stavu jeho zavedení.

ISO 27701 - Řízení ochrany dat

Ochrana dat v kontextu bezpečnosti informací - vzrušující téma? Více odborných znalostí o normě ISO 27701 najdete v naší bezplatné bílé knize.

Stáhněte si bílou knihu o normě ISO 27701 a dozvíte se více.

Struktura na vysoké úrovni jako plán pro systémy řízení

Mezinárodní organizace pro normalizaci (ISO) vytvořila plán pro systémy řízení nazvaný Struktura vysoké úrovně (HLS). Tato základní struktura obsahuje všechny prvky, které ISO považuje za důležité pro systém managementu (dodatek 2 k příloze SL směrnic ISO/IEC, část 1). Z tohoto důvodu jsou základní mechanismy norem pro systémy managementu velmi podobné.

Specifický DSMS ISO, systém řízení osobních informací(PIMS), má proto totožný základ jako systém řízení kvality podle ISO 9001, systém environmentálního řízení podle ISO 14001 nebo systém řízení bezpečnosti informací podle ISO 27001.

 

Ochrana údajů a bezpečnost informací - začlenění GDPR do systému řízení

Systém řízení ochrany osobních údajů podle mezinárodní normy ISO/IEC 27701 je univerzální a není přizpůsoben pouze evropskému obecnému nařízení o ochraně osobních údajů. Norma popisuje systém řízení ochrany údajů založený na systému řízení bezpečnosti informací v souladu s normou ISO 27001, díky čemuž je norma ISO 27701 vhodná pro implementaci jakékoli provozní ochrany osobních údajů, včetně kalifornského nebo japonského zákona o ochraně osobních údajů.

ISO/IEC 27701:2021-07- Bezpečnostní techniky - Rozšíření norem ISO/IEC 27001 a ISO/IEC 27002 pro správu informací o soukromí - Požadavky a pokyny (ISO/IEC 27701:2019).
Norma je k dispozici na adrese Webové stránky ISO.

ALE: Pro ty, kteří vytvořili a zavedli PIMS v souladu s normou na ochranu osobních údajů - jinými slovy pro ty, kteří systematicky chrání a spravují své osobní údaje - je snadné zajistit a prokázat soulad s právními požadavky na ochranu osobních údajů. Děje se tak prostřednictvím mechanismu řízení systému řízení požadavků. Řízení požadavků je proces identifikace a posuzování interních a externích požadavků a zavádění opatření k řešení rizik.

 

Jaký je rozdíl mezi ochranou údajů a bezpečností informací?

Základní rozdíl mezi těmito dvěma tématy je jednoduchý: bezpečnost informací zahrnuje všechna firemní aktiva, která je třeba chránit, a slouží k ochraně důvěrných obchodních informací před zneužitím třetími stranami. To zahrnuje mnohem více než jen IT systémy. Pokud jde o ochranu údajů, jsou opatření zaměřena na ochranu osobních údajů. Od května 2018 musí být v celé Evropě závazně implementováno obecné nařízení EU o ochraně osobních údajů - všemi společnostmi a veřejnými orgány, které zpracovávají osobní údaje.

Pět výhod správy ochrany osobních údajů

Ve vzájemném vztahu mezi bezpečností informací a ochranou údajů je třeba standard vždy chápat jako osvědčený postup. Konkrétní implementaci požadavků a opatření pro bezpečnost dat musí provést uživatel.

Obecnou výhodou PIMS je celosvětová standardizace prostřednictvím normy na ochranu údajů a rozsáhlá literatura o implementaci normy. Je třeba přiznat, že na jazyk norem je třeba si "zvyknout".

Výhoda č. 1: Rozdělení odpovědností

Zdá se, že firemní kulturou malých a středních podniků (MSP) je téměř nejasné nebo žádné přidělování odpovědností. Lze pozorovat, že v mnoha podnikových politikách není odpovědnost za určité činnosti nebo aktiva jasně definována a řešena. To je velký nedostatek, který vede k mezerám a chybám v činnosti.

ALE: Ochrana dat je "týmový sport". Pouze pokud jsou všechny úkoly určeny a přiděleny odpovědným osobám a pouze pokud tyto osoby své úkoly také plní, může vaše společnost fungovat v souladu s ochranou dat.

Ochrana dat je "týmový sport": Rozdělení odpovědnosti je dobré. Přebírání odpovědnosti je lepší."

Zavedením systému PIMS musí být v organizaci zaveden princip vlastnictví pro rozsah normy. Pojem vlastník zde však nelze chápat v jeho občanskoprávním významu. V německém jazyce normy se vlastník spíše vztahuje k odpovědnosti osoby za aktivum nebo za realizaci požadavku či opatření.

Např: Vedením "Adresáře činností zpracování (VVT)" je často pověřen pověřenec pro ochranu osobních údajů (DPO). To je samozřejmě naprostý nesmysl a nemůže to fungovat, protože DPO se často na mnoha činnostech zpracování vůbec nepodílí. V rámci řízení kvality provádějí dokumentaci procesů vlastníci procesů. Vrcholový management by měl tuto činnost odpovídajícím způsobem delegovat i v oblasti ochrany údajů.

Certifikát podle normy ISO 27701

Z hlediska certifikace norma ISO 27701 doplňuje známou normu ISO 27001 - bude to první norma, která bude potvrzovat ochranu údajů certifikátem. Společnost DQS je v současné době v akreditačním procesu u německého akreditačního orgánu (DAkkS).

Kontaktujte nás a zjistěte více

Výhoda č. 2: Provozní ochrana dat je orientována na rizika

V německém DS-GVO evropský zákonodárce požaduje, aby byla ochrana údajů orientována na rizika, například v článku 32 odst. 1 DS-GVO. Tato orientace na rizika často nefunguje ve společnostech, kde není oficiálně zaveden žádný systém řízení. Aplikace normy ISO 27701 pro ochranu údajů nevyhnutelně zavádí orientaci na riziko. Zde není způsob hodnocení rizik pro bezpečnost údajů předepsán a může si jej - v rámci možností - určit uživatel.

 

Výhoda č. 3: Řízení změn jako součást úspěchu

Procesy zabezpečení dat mohou být vyvolány změnou v organizaci. Například zavedením nebo úpravou obchodního procesu, služby nebo produktu. Společnosti bez řízení změn mají velké problémy s dodržováním požadavků na ochranu dat, protože změny jsou pravidelně zpracovávány nahodile a nekontrolovaně. To má za následek tzv. regulační mezeru.

Společnosti a organizace se neustále mění. Řízení změn hraje důležitou roli i v oblasti ochrany dat a bezpečnosti informací.

Systém PIMS tyto změny zaznamenává a řídí pomocí řízení změn a implementuje je. Například změna podnikového procesu vyžaduje kontrolu přípustnosti (zákonnost, hospodárnost údajů, práva subjektu údajů, dokumentace ve VVT atd.)

Příklad: V případě, že se jedná o proces, který je v rozporu se zákonem, je nutné, aby se v rámci tohoto procesu prováděla např: Požadavku na včasné zapojení pověřence pro ochranu osobních údajů do návrhu změn lze dosáhnout zcela jednoduše tím, že jej jmenujete do týmu pro změny.

Výhoda č. 4: Optimalizace prostřednictvím procesu neustálého zlepšování

Společnosti se neustále mění. Systém správy osobních údajů se zpočátku plánuje, zavádí a provozuje. Je velmi pravděpodobné, že první pokus o zavedení, implementaci a provoz systému nebude optimální z důvodu nedostatku zkušeností. I když se při zavádění konzultuje se zkušeným konzultantem, lze očekávat, že se vyskytnou překážky.

Předpoklad: Zajistěte, aby zabezpečení informací a ochrana dat byly systematické a udržitelné.

Ačkoli všechny PIMS mají v zásadě totožné mechanismy, jsou navrženy odlišně. Vliv na implementaci mechanismů může mít velikost organizace, organizační kultura, nebo dokonce oborové zaměření.

Vhodným dílčím mechanismem pro trvalé přizpůsobování PIMS měnícím se potřebám organizace a zainteresovaných stran je proces neustálého zlepšování (CIP).

Například: Obecné nařízení o ochraně osobních údajů vyžaduje informační list, který zákazníky nebo například občany při shromažďování údajů informuje o povaze a rozsahu zpracování osobních údajů a souvisejících právech. Tyto informační listy podle článků 13 a 14 DS-GVO jsou zveřejňovány v souladu se zákonem, nicméně existuje mnoho žádostí o tyto informace od subjektů údajů. Společnost si uvědomuje, že zahrnutím těchto návrhů na zlepšení může optimalizací zveřejňování informací ušetřit zdroje a zvýšit spokojenost zákazníků.

 

Výhoda č. 5: Podrobný katalog opatření

Jak bylo popsáno výše, norma ISO 27701 není přizpůsobena GDPR. Za doplnění specifických požadavků GDPR do systému PIMS je odpovědný uživatel normy.

Mezinárodní norma však přináší tři rozsáhlé katalogy opatření pro obecnou implementaci provozní ochrany dat:

  • Technická a organizační opatření,
  • Organizace ochrany údajů u správce a
  • Organizace ochrany údajů u zpracovatele.

Dobrou zprávou pro evropské uživatele je, že autoři nové normy se při navrhování katalogů opatření výrazně zaměřili na obecné nařízení o ochraně osobních údajů. To znamená, že aplikace obecných katalogů opatření již mapuje mnoho požadavků GDPR. Na chybějící požadavky pak navazuje správa požadavků.

Opatření představují osvědčené postupy pro implementaci a jsou sepsány ve stylu příručky. Na rozdíl od GDPR (Business Rules) opatření vysvětlují uživateli normy, jak musí implementace probíhat. Z pohledu autora je to velmi velká výhoda.

 

Závěr: Ochrana údajů a bezpečnost informací

Každý, kdo vytvořil a zavedl systém řízení ochrany údajů (DSMS) v souladu s normou ISO 27701 - jinými slovy každý, kdo systematicky chrání a spravuje své osobní údaje - snadno zajistí a prokáže soulad s právními požadavky. Správně aplikovaná norma může zabránit mnoha chybám při zavádění a provozu systému DSMS.

S ohledem na ochranu údajů a bezpečnost informací je norma ISO 27701 dlouho očekávanou příručkou pro implementaci GDPR.

Certifikace PIMS však bude možná pouze tehdy, pokud bude ve společnosti provozován také certifikovaný systém řízení bezpečnosti informací podle normy ISO 27001.

 

DQS: Jednoduše využívat kvalitu.

Normy systému řízení poskytují systematický a strukturovaný rámec pro zohlednění zákonných povinností a jejich začlenění do podnikových procesů. Společnosti, které chtějí hrát na jistotu, si mohou nechat auditovat stav své implementace v oblasti bezpečnosti informací nebo v souladu s DS-GVO nezávislým orgánem, jako je DQS.

Naše hlavní kompetence spočívají v provádění certifikačních auditů a hodnocení. Díky tomu patříme mezi přední světové poskytovatele s nárokem na to, abychom vždy stanovovali nová měřítka spolehlivosti, kvality a orientace na zákazníka. Certifikovaný systém řízení bezpečnosti informací a ochrany dat je zároveň důkazem pečlivosti a předvídavosti vaší společnosti v případě vnějších útoků na data.

 

Důvěra a odbornost

Naše texty a brožury píší výhradně naši odborníci na normy nebo dlouholetí auditoři. Máte-li jakékoli dotazy k obsahu nebo k našim službám vůči našemu autorovi, obraťte se na nás. Těšíme se na rozhovor s vámi.

Autor
Stephan Rehfeld

Jednatel společnosti "scope & focus Service-Gesellschaft mbH". Externí pověřenec pro ochranu osobních údajů a dlouholetý auditor DQS pro ochranu osobních údajů. Řádný člen s hlasovacím právem pracovní skupiny "Technologie pro správu identit a ochranu dat" německého DIN, zástupce vedoucího kroužku pro výměnu zkušeností Německého sdružení pro ochranu a bezpečnost dat (GDD) v Hannoveru.

Jakékoli dotazy?

Jsme tu pro vás.
Kontaktujte nás