.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Zaštita podataka i informacijska sigurnost - s ISO 27001 i ISO 27701

Stephan Rehfeld

DQS auditor i stručnjak za zaštitu podataka
sij 25 , 2022
# Informacijska sigurnost i zaštita podataka

Međunarodna organizacija za standardizaciju objavila je standard za opći sustav upravljanja zaštitom podataka (DSMS) 2019. ISO/IEC 27701 opisuje DSMS koji se temelji na sustavu upravljanja sigurnošću informacija u skladu s ISO 27001. Ovaj poseban oblik DSMS-a naziva se sustav upravljanja osobnim informacijama (PIMS). Osnove za ovaj PIMS opisane su u nastavku. U procesu se utvrđuje kojih pet glavnih prednosti PIMS nudi poduzećima. Besplatne bijele knjige pružaju daljnje smjernice o praktičnoj primjeni.

SADRŽAJ

Zaštita podataka i informacijska sigurnost

Čak ni u kontekstu informacijske sigurnosti, zaštita podataka nije jednokratni projekt koji se započne, provede i završi. Upravo je suprotno. Operativna zaštita podataka niz je procesa zaštite podataka koji moraju biti trajno dostupni i primjenjivi u organizacijama ili se mogu pokrenuti okidačem. Važni primjeri za to su dva procesa zaštite podataka "osiguranje prava ispitanika" i "odgovaranje na incidente zaštite podataka".

U svijetu zaštite podataka korištenje sustava za upravljanje zaštitom podataka (DSMS) smatra se velikom stvari za rješavanje problema zaštite podataka u organizacijama. Zašto je to tako? Odgovor je relativno jednostavan:

Sustav upravljanja zaštitom podataka okvir je i pokretač operativne zaštite podataka kojeg se organizacije moraju trajno pridržavati.

Stephan Rehfeld GDPR stručnjak i auditor u DQS-u

Od 25. svibnja 2018. Europska opća uredba o zaštiti podataka (GDPR) jednostavno je dala pravila za DSMS. On formulira stroge pravne zahtjeve o tome što je dopušteno ili zabranjeno (Poslovna pravila). Njemački DS-GVO (Njemački osnovni zakon o zaštiti podataka) kazne proizlaze iz toga. Međutim, ne daje nikakvu izjavu o tome kako provesti zakonske zahtjeve za zaštitu podataka.

 

Zaštita podataka i informacijska sigurnost - što je uopće sustav upravljanja?

Definicija sustava upravljanja je apstraktna i ne može se ad hoc operacionalizirati. Norma ISO/IEC 27000:2020 definira sustav upravljanja kao ...

"Skup međusobno povezanih i međusobno povezanih elemenata organizacije (3.50) za uspostavljanje politika (3.53), ciljeva (3.49) i procesa (3.54) za postizanje tih ciljeva."

Tek kada su elementi sustava upravljanja detaljnije definirani, može se dati izjava o tome jesu li ispunjeni strogi pravni i operativni zahtjevi za zaštitu podataka GDPR-a s konkretno uspostavljenim sustavom upravljanja. Izjava da se upravlja sustavom upravljanja zaštitom podataka ne ukazuje na kvalitetu DSMS-a ili status implementacije.

ISO 27701 - Upravljanje zaštitom podataka

Zaštita podataka u kontekstu informacijske sigurnosti - uzbudljiva tema? Više stručnog znanja o normi ISO 27701 u našoj besplatnoj bijeloj knjizi.

Preuzmite bijelu knjigu o ISO 27701 i saznajte više

Struktura visoke razine kao nacrt za sustave upravljanja

Međunarodna organizacija za standardizaciju (ISO) izradila je nacrt za sustave upravljanja pod nazivom Struktura visoke razine (HLS). Ova osnovna struktura sadrži sve elemente koje ISO smatra relevantnim za sustav upravljanja (Dodatak 2 Aneksa SL ISO/IEC Direktiva, Dio 1). Zbog toga su osnovni mehanizmi standarda sustava upravljanja vrlo slični.

Specifični DSMS ISO-a, sustav upravljanja osobnim informacijama (PIMS), stoga ima identičnu osnovu kao sustav upravljanja kvalitetom prema ISO 9001, sustav upravljanja okolišem prema ISO 14001 ili sustav upravljanja sigurnošću informacija prema ISO 27001.

 

Zaštita podataka i informacijska sigurnost - integracija GDPR-a u sustav upravljanja

PIMS u skladu s međunarodnom normom ISO/IEC 27701 univerzalan je, a ne samo prilagođen europskoj Općoj uredbi o zaštiti podataka. Norma opisuje sustav upravljanja zaštitom podataka koji se temelji na sustavu upravljanja sigurnošću informacija u skladu s ISO 27001, što ISO 27701 čini prikladnim za provedbu bilo koje operativne zaštite osobnih podataka, uključujući kalifornijski ili japanski zakon o zaštiti podataka.

ISO/IEC 27701:2021-07 - Sigurnosne tehnike - Proširenje na ISO/IEC 27001 i ISO/IEC 27002 za upravljanje informacijama o privatnosti - Zahtjevi i smjernice (ISO/IEC 27701:2019).
Norma je dostupna na internetskoj stranici ISO organizacije.

ALI: Oni koji su razvili i implementirali PIMS u skladu sa standardom zaštite podataka - drugim riječima, oni koji sustavno štite i upravljaju svojim osobnim podacima - lako mogu osigurati i dokazati usklađenost sa zakonskim zahtjevima za zaštitu podataka. To se postiže kroz mehanizam upravljanja zahtjevima sustava upravljanja. Upravljanje zahtjevima je proces identificiranja i procjene unutarnjih i vanjskih zahtjeva i provedbe mjera za rješavanje rizika.

 

Koja je razlika između zaštite podataka i informacijske sigurnosti?

Temeljna razlika između ove dvije teme je jednostavna: informacijska sigurnost obuhvaća svu korporativnu imovinu koju treba sačuvati i služi za zaštitu povjerljivih poslovnih informacija od zlouporabe trećih strana. To uključuje mnogo više od samih IT sustava. Kad je riječ o zaštiti podataka, mjere su usmjerene na zaštitu osobnih podataka. Od svibnja 2018. Opća uredba EU-a o zaštiti podataka morala se obvezujuće provoditi u cijeloj Europi – od strane svih tvrtki i javnih tijela koja obrađuju osobne podatke.

Pet prednosti upravljanja zaštitom podataka

U međuigri između informacijske sigurnosti i zaštite podataka, standard uvijek treba shvatiti kao najbolju praksu. Konkretnu provedbu zahtjeva i mjera za sigurnost podataka mora provesti sam korisnik.

Opća prednost PIMS-a je svjetska standardizacija putem standarda zaštite podataka i opsežne literature o implementaciji standarda. Doduše, na standardni jezik "potrebno je malo navikavanja".

 

Prednost #1: Dodjela odgovornosti

Gotovo da je korporativna kultura među malim i srednjim poduzećima (MSP) da se odgovornosti dodjeljuju nejasno ili ih uopće nema. Može se uočiti da u mnogim korporativnim politikama odgovornost za određene aktivnosti ili imovinu nije jasno definirana i ne obrađena. To je veliki nedostatak i dovodi do praznina i pogrešaka u radu.

ALI: Zaštita podataka je "timski sport". Samo ako su svi zadaci identificirani i dodijeljeni odgovornim stranama i samo ako te osobe također ispunjavaju svoje zadatke, vaša tvrtka može poslovati na način usklađen sa zaštitom podataka.

Zaštita podataka je "timski sport": raspodjela odgovornosti je dobra. Bolje je preuzeti odgovornost."

Uvođenjem PIMS-a, načelo vlasništva mora biti uvedeno u organizaciju za opseg standarda. Međutim, izraz vlasnik ne treba ovdje shvatiti u njegovom građanskopravnom značenju. Umjesto toga, u njemačkom jeziku standarda, vlasnik se odnosi na odgovornost osobe za imovinu ili provedbu zahtjeva ili mjere.

Na primjer: Održavanje "Direktora aktivnosti obrade (VVT)" često se delegira službeniku za zaštitu podataka (DPO). Naravno, to je potpuna besmislica i ne može funkcionirati jer DPO često uopće nije uključen u mnoge aktivnosti obrade. U upravljanju kvalitetom, vlasnici procesa provode dokumentaciju procesa. Najviše rukovodstvo bi to trebalo delegirati na odgovarajući način iu zaštiti podataka.

Certifikat prema ISO 27701

U certifikacijskom smislu ISO 27701 nadopunjuje poznatu normu ISO 27001 – bit će to prva norma koja će certifikatom potvrditi zaštitu podataka. DQS je trenutno u procesu akreditacije kod njemačkog akreditacijskog tijela (DAkkS).

Obratite nam se i saznajte više

Prednost #2: Operativna zaštita podataka usmjerena je na rizik

U njemačkom DS-GVO, europski zakonodavac zahtijeva implementaciju sigurnosti podataka usmjerenu na rizik, na primjer u članku 32. stavku 1. DS-GVO. Ova orijentacija na rizik često ne funkcionira u tvrtkama u kojima službeno nije instaliran sustav upravljanja. Primjena norme za zaštitu podataka ISO 27701 neizbježno uvodi usmjerenost na rizik. Ovdje metoda za procjenu rizika sigurnosti podataka nije propisana i može ju – unutar ograničenja – odrediti sam korisnik.

 

Prednost #3: Upravljanje promjenama kao komponenta uspjeha

Procesi sigurnosti podataka mogu se pokrenuti promjenom u organizaciji. Na primjer, implementacija ili prilagodba poslovnog procesa, usluge ili proizvoda. Tvrtke bez upravljanja promjenama imaju velikih problema s usklađivanjem sa zahtjevima zaštite podataka, jer se promjenama redovito postupa nasumično i nekontrolirano. To rezultira takozvanim regulatornim jazom.

"Poduzeća i organizacije neprestano se mijenjaju. Upravljanje promjenama također igra važnu ulogu u zaštiti podataka i informacijskoj sigurnosti."

PIMS bilježi i kontrolira te promjene uz pomoć upravljanja promjenama i provodi ih. Na primjer, promjena poslovnog procesa zahtijeva provjeru dopuštenosti (zakonitost, ekonomičnost podataka, prava ispitanika, dokumentacija u VVT-u itd.).

Na primjer: Zahtjev za ranim uključivanjem službenika za zaštitu podataka u dizajn promjena može se postići vrlo jednostavno njegovim imenovanjem u tim za promjene.

 

Prednost #4: Optimizacija kroz kontinuirani proces poboljšanja

Tvrtke se stalno mijenjaju. Sustav upravljanja osobnim informacijama inicijalno je planiran, implementiran i njime se upravlja. Vrlo je vjerojatno da će prvi pokušaj uvođenja, implementacije i rada sustava biti neoptimalan zbog nedostatka iskustva. Čak i ako se tijekom provedbe konzultira iskusni konzultant, za očekivati je spoticanja.

"Premisa: Sigurnost informacija i zaštitu podataka učiniti sustavnom i održivom."

Iako svi PIMS-ovi imaju identične mehanizme u načelu, oni su različito dizajnirani. Utjecaj na implementaciju mehanizama može biti veličina organizacije, organizacijska kultura ili čak usmjerenost na industriju.

Dobar podmehanizam za trajno prilagođavanje PIMS-a promjenjivim potrebama organizacije i zainteresiranih strana je proces kontinuiranog poboljšanja (CIP).

Na primjer: Opća uredba o zaštiti podataka zahtijeva informativni list koji informira kupce ili, na primjer, građane u trenutku prikupljanja podataka o prirodi i opsegu obrade osobnih podataka i srodnih prava. Ovi informativni listovi prema članku 13. i 14. DS-GVO objavljuju se u skladu sa zakonom, međutim, postoji mnogo zahtjeva za ovim informacijama od subjekata podataka. Uključivanjem ovih prijedloga za poboljšanje, tvrtka prepoznaje da može uštedjeti resurse i povećati zadovoljstvo kupaca optimizacijom objavljivanja informacija.

 

Prednost #5: Detaljan katalog mjera

Kao što je ranije opisano, ISO 27701 nije prilagođen GDPR-u. Standardni korisnik odgovoran je za dodavanje posebnih zahtjeva GDPR-a u PIMS.

Međutim, međunarodna norma donosi tri opsežna kataloga mjera za opću provedbu operativne zaštite podataka:

  • Tehničke i organizacijske mjere,
  • Organizacija zaštite podataka kod voditelja obrade, te
  • Organizacija zaštite podataka kod izvršitelja obrade.

Dobra vijest za europskog korisnika je da su se autori nove norme prilikom izrade kataloga mjera snažno fokusirali na Opću uredbu o zaštiti podataka. To znači da primjena generičkih kataloga mjera već preslikava mnoge zahtjeve GDPR-a. Zahtjevi koji nedostaju zatim se prate upravljanjem zahtjevima.

Mjere su najbolja praksa za provedbu i napisane su u stilu priručnika. Za razliku od GDPR-a (Poslovna pravila), mjere objašnjavaju korisniku standarda kako se implementacija mora odvijati. Sa stajališta autora, to je vrlo velika prednost.

 

Zaključak: Zaštita podataka i informacijska sigurnost

Svatko tko je razvio i implementirao sustav upravljanja zaštitom podataka (DSMS) u skladu s ISO 27701 – drugim riječima, svatko tko sustavno štiti i upravlja svojim osobnim podacima – lako će osigurati i dokazati usklađenost sa zakonskim zahtjevima. Pravilno primijenjen, standard može spriječiti mnoge pogreške u uvođenju i radu DSMS-a.

"Imajući na umu zaštitu podataka i informacijsku sigurnost, ISO 27701 je dugo očekivani priručnik za implementaciju GDPR-a."

Međutim, certifikacija PIMS-a bit će moguća samo ako organizacija također upravlja certificiranim sustavom upravljanja sigurnošću informacija prema ISO 27001.

 

DQS: Simply leveraging Quality.

Standardi sustava upravljanja daju sustavan i strukturiran okvir za uzimanje u obzir zakonskih obveza i njihovu integraciju u poslovne procese. Organizacije oje žele igrati na sigurno mogu dati status svoje informacijske sigurnosti ili implementacije usklađene s DS-GVO-om na audit neovisnog tijela poput DQS-a.

Naše ključne kompetencije leže u izvođenju certifikacijskih audita i procjena. To nas čini jednim od vodećih svjetskih dobavljača s tvrdnjom da u svakom trenutku postavljamo nova mjerila u pouzdanosti, kvaliteti i usmjerenosti na kupca. Ujedno, certificirani sustav upravljanja informacijskom sigurnošću i zaštitom podataka dokaz je revnosti i dalekovidosti vaše organizacije u slučaju vanjskih napada na podatke.

 

Povjerenje i stručnost

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja o sadržaju ili našim uslugama našem autoru, kontaktirajte nas. Radujemo se razgovoru s vama.

Autor
Stephan Rehfeld

Generalni direktor "scope & focus Service-Gesellschaft mbH". Vanjski službenik za zaštitu podataka i dugogodišnji auditor za zaštitu podataka DQS-a. Punopravni član radne skupine "Identity Management and Data Protection Technologies" njemačkog DIN-a s pravom glasa, zamjenik voditelja German Association for Data Protection and Data Security's (GDD) Experience Exchange Circle u Hanoveru.

Imate li pitanja?

Tu smo za vas.
Obratite nam se