Perlindungan data dan keamanan informasi - dengan ISO 27001 dan ISO 27701

Daftar Isi

• Perlindungan data dan keamanan informasi
• Apa sistem manajemen itu?
• Struktur Tingkat Tinggi sebagai cetak biru untuk sistem manajemen
• Mengintegrasikan GDPR ke dalam sistem manajemen
• Lima keuntungan dari manajemen perlindungan data
• Perlindungan Data dan Keamanan Informasi - Kesimpulan
• DQS: Simply leveraging Quality.

Perlindungan data dan keamanan informasi

Bahkan dalam konteks keamanan informasi, perlindungan data bukanlah proyek satu kali yang dimulai, dijalankan, dan diselesaikan. Justru sebaliknya yang terjadi. Perlindungan data operasional adalah sejumlah proses perlindungan data yang harus tersedia secara permanen dan dapat diterapkan dalam organisasi, atau dapat dipicu oleh pemicu. Contoh penting dari hal ini adalah dua proses perlindungan data "memastikan hak subjek data" dan "menanggapi insiden perlindungan data".

Dalam dunia perlindungan data, penggunaan sistem manajemen perlindungan data (DSMS) dipandang sebagai hal besar untuk memecahkan masalah perlindungan data organisasi. Mengapa demikian? Jawabannya relatif sederhana:

Sejak 25 Mei 2018, Peraturan Perlindungan Data Umum Eropa (GDPR) hanya memberikan aturan untuk DSMS. Ini merumuskan persyaratan hukum yang ketat untuk apa yang diperbolehkan atau dilarang (Aturan Bisnis). Hukuman DS-GVO (Hukum Perlindungan Data Dasar Jerman) Jerman berasal dari ini. Namun, itu tidak membuat pernyataan tentang bagaimana menerapkan persyaratan perlindungan data hukum.

Perlindungan data dan keamanan informasi - apa itu sistem manajemen?

Definisi sistem manajemen bersifat abstrak dan tidak dapat dioperasionalkan secara ad hoc. Standar ISO/IEC 27000:2020 mendefinisikan sistem manajemen sebagai ...

Hanya ketika elemen sistem manajemen telah didefinisikan secara lebih rinci, pernyataan dapat dibuat tentang apakah persyaratan perlindungan data hukum dan operasional yang ketat dari GDPR dipenuhi dengan sistem manajemen yang ada secara khusus. Pernyataan bahwa sistem manajemen proteksi data dioperasikan tidak memberikan indikasi kualitas DSMS atau status implementasi.

Struktur Tingkat Tinggi sebagai cetak biru untuk sistem manajemen

Organisasi Internasional untuk Standardisasi (ISO) telah membuat cetak biru untuk sistem manajemen yang disebut Struktur Tingkat Tinggi (HLS). Struktur dasar ini berisi semua elemen yang dianggap relevan oleh ISO untuk sistem manajemen (Lampiran 2 pada Lampiran SL Arahan ISO/IEC, Bagian 1). Untuk alasan ini, mekanisme dasar standar sistem manajemen sangat mirip.

DSMS khusus ISO, Sistem Manajemen Informasi Pribadi/Personal Information Management System (PIMS), oleh karena itu memiliki dasar yang sama sebagai sistem manajemen mutu menurut ISO 9001, sistem manajemen lingkungan menurut ISO 14001 atau sistem manajemen keamanan informasi menurut ISO 27001.

Perlindungan data dan keamanan informasi - mengintegrasikan GDPR ke dalam sistem manajemen

PIMS yang sesuai dengan standar internasional ISO/IEC 27701 bersifat universal dan tidak hanya disesuaikan dengan Peraturan Perlindungan Data Umum Eropa. Standar menjelaskan sistem manajemen perlindungan data berdasarkan sistem manajemen keamanan informasi sesuai dengan ISO 27001, membuat ISO 27701 cocok untuk menerapkan perlindungan operasional data pribadi, termasuk California atau undang-undang perlindungan data Jepang.

TETAPI: Mereka yang telah mengembangkan dan menerapkan PIMS sesuai dengan standar perlindungan data - dengan kata lain, mereka yang secara sistematis melindungi dan mengelola data pribadi mereka - merasa mudah untuk memastikan dan menunjukkan kepatuhan terhadap persyaratan perlindungan data hukum. Hal ini dilakukan melalui mekanisme sistem manajemen manajemen kebutuhan. Manajemen persyaratan adalah proses mengidentifikasi dan menilai persyaratan internal dan eksternal dan menerapkan langkah-langkah untuk mengatasi risiko.

Apa perbedaan antara perlindungan data dan keamanan informasi?

Perbedaan mendasar antara kedua topik itu sederhana: keamanan informasi mencakup semua aset perusahaan untuk dijaga dan berfungsi untuk melindungi informasi bisnis rahasia dari penyalahgunaan oleh pihak ketiga. Ini melibatkan lebih dari sekadar sistem TI. Dalam hal perlindungan data, langkah-langkah tersebut ditujukan untuk melindungi data pribadi. Sejak Mei 2018, Peraturan Perlindungan Data Umum UE harus diterapkan secara mengikat di seluruh Eropa - oleh semua perusahaan dan badan publik yang memproses data pribadi.

Lima keuntungan dari manajemen perlindungan data

Dalam interaksi antara keamanan informasi dan perlindungan data, standar harus selalu dipahami sebagai praktik terbaik. Implementasi konkret dari persyaratan dan langkah-langkah untuk keamanan data harus dilakukan oleh pengguna.

Keuntungan umum PIMS adalah standarisasi di seluruh dunia melalui standar perlindungan data dan literatur ekstensif tentang implementasi standar. Memang, bahasa standar "membutuhkan waktu untuk membiasakan diri".

Keuntungan #1: Pembagian tanggung jawab

Hampir seperti budaya perusahaan di kalangan usaha kecil dan menengah (UKM) untuk menetapkan tanggung jawab secara tidak jelas atau tidak sama sekali. Dapat diamati bahwa dalam banyak kebijakan perusahaan, tanggung jawab untuk aktivitas atau aset tertentu tidak didefinisikan dan ditangani dengan jelas. Ini adalah kelemahan utama dan menyebabkan kesenjangan dan kesalahan dalam operasi.

TAPI: Melindungi data adalah "olahraga tim." Hanya jika semua tugas diidentifikasi dan ditugaskan ke pihak yang bertanggung jawab, dan hanya jika orang-orang ini juga memenuhi tugas mereka, perusahaan Anda dapat beroperasi dengan cara yang sesuai dengan perlindungan data.

Dengan memperkenalkan PIMS, prinsip kepemilikan harus diperkenalkan ke dalam organisasi untuk ruang lingkup standar. Namun demikian, istilah pemilik tidak dipahami di sini dalam arti hukum perdatanya. Sebaliknya, dalam bahasa Jerman standar, pemilik mengacu pada tanggung jawab seseorang untuk aset atau pelaksanaan persyaratan atau ukuran.

Fatau contoh: Pemeliharaan "Direktori Aktivitas Pemrosesan (VVT)" sering kali didelegasikan kepada Petugas Perlindungan Data (DPO). Tentu saja, ini benar-benar omong kosong dan tidak dapat bekerja karena DPO sering tidak terlibat dalam banyak kegiatan pemrosesan sama sekali. Dalam manajemen mutu, pemilik proses melakukan dokumentasi proses. Manajemen puncak juga harus mendelegasikan ini dalam perlindungan data.

Keuntungan #2: Perlindungan data operasional berorientasi pada risiko

Dalam DS-GVO Jerman, legislator Eropa menuntut penerapan keamanan data yang berorientasi pada risiko, misalnya dalam Pasal 32 (1) DS-GVO. Orientasi risiko ini sering kali tidak berhasil di perusahaan yang tidak memiliki sistem manajemen yang terpasang secara resmi. Penerapan standar perlindungan data ISO 27701 mau tidak mau memperkenalkan orientasi risiko. Di sini, metode penilaian risiko keamanan data tidak ditentukan dan dapat - dalam batas tertentu - ditentukan oleh pengguna.

Keuntungan #3: Ubah manajemen sebagai komponen sukses

Proses keamanan data dapat dipicu oleh perubahan dalam organisasi. Misalnya, implementasi atau adaptasi proses bisnis, layanan, atau produk. Perusahaan tanpa manajemen perubahan memiliki masalah besar dalam memenuhi persyaratan perlindungan data, karena perubahan secara teratur ditangani secara acak dan tidak terkendali. Ini menghasilkan apa yang disebut kesenjangan regulasi.

A PIMS mencatat dan mengontrol perubahan ini dengan bantuan manajemen perubahan dan mengimplementasikannya. Misalnya, perubahan pada proses bisnis memerlukan pemeriksaan izin (legalitas, ekonomi data, hak subjek data, dokumentasi di VVT, dll.).

Misalnya: Persyaratan keterlibatan awal petugas perlindungan data dalam desain perubahan dapat dicapai cukup sederhana dengan menunjuknya ke tim perubahan.

Keuntungan #4: Optimalisasi melalui proses perbaikan berkelanjutan

Perusahaan terus berubah. Sistem manajemen informasi pribadi pada awalnya direncanakan, diterapkan, dan dioperasikan. Sangat mungkin bahwa upaya pertama untuk memperkenalkan, mengimplementasikan, dan mengoperasikan sistem akan menjadi kurang optimal karena kurangnya pengalaman. Bahkan jika konsultan berpengalaman dikonsultasikan selama implementasi, batu sandungan tetap perlu diperhitungkan.

Meskipun semua PIMS pada prinsipnya memiliki mekanisme yang sama, mereka dirancang secara berbeda. Mempengaruhi implementasi mekanisme dapat berupa ukuran organisasi, budaya organisasi, atau bahkan fokus industri.

Sub-mekanisme yang baik untuk mengadaptasi PIMS secara permanen terhadap perubahan kebutuhan organisasi dan pihak-pihak yang berkepentingan adalah proses perbaikan berkelanjutan (CIP).

Sebagai contoh: Peraturan Perlindungan Data Umum mensyaratkan lembar informasi yang menginformasikan pelanggan atau, misalnya, warga negara pada saat pengumpulan data tentang sifat dan ruang lingkup pemrosesan data pribadi dan hak-hak terkait. Lembar informasi ini menurut Pasal 13 dan 14 DS-GVO diterbitkan sesuai dengan hukum, namun, ada banyak permintaan untuk informasi ini dari subjek data. Dengan menyertakan saran-saran perbaikan ini, perusahaan menyadari bahwa perusahaan dapat menghemat sumber daya dan meningkatkan kepuasan pelanggan dengan mengoptimalkan publikasi informasi.

Keuntungan #5: Daftar tindakan yang terperinci

Seperti yang dijelaskan sebelumnya, ISO 27701 tidak disesuaikan dengan GDPR. Pengguna standar bertanggung jawab untuk menambahkan persyaratan spesifik GDPR ke PIMS.

Namun, standar internasional ini menghadirkan tiga daftar tindakan yang ekstensif untuk implementasi umum perlindungan data operasional:

• Langkah-langkah teknis dan organisasi,
• Organisasi perlindungan data di pengontrol, dan
• Organisasi perlindungan data di prosesor.

Kabar baik bagi pengguna Eropa adalah bahwa penulis standar baru ini sangat berfokus pada Peraturan Perlindungan Data Umum saat merancang katalog tindakan. Ini berarti bahwa penerapan katalog tindakan generik sudah memetakan banyak persyaratan GDPR. Persyaratan yang tidak ada kemudian ditindaklanjuti oleh manajemen persyaratan.

Tindakannya adalah praktik terbaik untuk implementasi dan ditulis dalam gaya manual. Berbeda dengan GDPR (Aturan Bisnis), langkah-langkah tersebut menjelaskan kepada pengguna standar bagaimana implementasi harus dilakukan. Dari sudut pandang penulis, ini adalah keuntungan yang sangat besar.

Kesimpulan: Perlindungan data dan keamanan informasi

Siapa pun yang telah mengembangkan dan menerapkan sistem manajemen perlindungan data (DSMS) sesuai dengan ISO 27701 - dengan kata lain, siapa pun yang secara sistematis melindungi dan mengelola data pribadi mereka - akan merasa mudah untuk memastikan dan membuktikan kepatuhan terhadap persyaratan hukum. Jika diterapkan dengan benar, standar dapat mencegah banyak kesalahan dalam pengenalan dan pengoperasian DSMS.

Namun, sertifikasi PIMS hanya akan mungkin jika sistem manajemen keamanan informasi bersertifikat menurut ISO 27001 juga dioperasikan oleh perusahaan.

DQS: Simply leveraging Quality.

Standar sistem manajemen menyediakan kerangka kerja yang sistematis dan terstruktur untuk mempertimbangkan kewajiban hukum dan mengintegrasikannya ke dalam proses bisnis. Perusahaan yang ingin bermain aman dapat memiliki status keamanan informasi atau implementasi yang sesuai dengan DS-GVO yang diaudit oleh badan independen seperti DQS.

Kompetensi inti kami terletak pada kinerja audit dan penilaian sertifikasi. Ini menjadikan kami salah satu penyedia terkemuka di seluruh dunia dengan klaim untuk menetapkan tolok ukur baru dalam keandalan, kualitas, dan orientasi pelanggan setiap saat. Pada saat yang sama, sistem manajemen bersertifikat untuk keamanan informasi dan perlindungan data adalah bukti ketekunan dan pandangan ke depan perusahaan Anda jika terjadi serangan data eksternal.

Kepercayaan dan keahlian

Teks dan brosur kami ditulis secara eksklusif oleh pakar standar atau auditor lama kami. Jika Anda memiliki pertanyaan tentang konten atau layanan kami kepada penulis kami, silakan hubungi kami. Kami sangat menantikan kesempatan berbincang dengan Anda.