Manajemen perlindungan data dengan sertifikat

KONTEN

• Apa saja yang ada dalam ISO 27701?
• ISMS dan PIMS: Persamaan dan perbedaan
• Tujuan perlindungan data dan tujuan keamanan informasi: Persamaan dan perbedaan
• Sertifikasi ISO 27701 dalam jangkauan
• ISO 27701: Langkah besar menuju perlindungan data
• Menciptakan tanggung jawab yang jelas
• Plus Orientasi risiko
• Sekilas: Keuntungan dari ISO 27701
• Kesimpulan: Pendekatan yang sistematis dan terstruktur untuk perlindungan data
• DQS: Cukup dengan memanfaatkan Kualitas.

Perlindungan data sebagai pelengkap sistem manajemen

Idealnya, manajemen perlindungan data dirancang dengan bantuan standar internasional, bersamaan dengan ISO 27001. Standar ISO/IEC 27001 yang terkenal berhubungan dengan persyaratan untuk sistem manajemen keamanan informasi (ISMS) dan juga dapat disertifikasi untuk area aplikasi ini. Standar ISO/IEC 27701 yang baru untuk manajemen perlindungan data dibuat berdasarkan ISO 27001 dan menambahkan kriteria perlindungan data ke dalamnya. Ekstensi ini mengintegrasikan persyaratan untuk sistem manajemen informasi perlindungan data (DSMS atau Sistem Manajemen Informasi Privasi, PIMS) ke dalam ISMS.

Judul lengkap dari standar perlindungan data internasional adalah:

Seperti ISO 27001, ISO 27701 juga mempertimbangkan pendekatan sistem manajemen dan mengacu pada struktur dasar standar sistem manajemen modern, yaitu Struktur Tingkat Tinggi (High Level Structure/HLS ).

Standar internasional yang baru ini merupakan bagian dari ISO 29100, yang berisi semua prinsip perlindungan data. Awalnya diberi judul ISO 27552, tetapi kemudian diganti namanya menjadi ISO 27701. Latar belakangnya adalah keputusan Organisasi Internasional untuk Standardisasi (ISO) agar semua standar utama yang dapat disertifikasi diakhiri dengan angka 01.

Manajemen perlindungan data: Apa yang ada dalam ISO 27701?

Alih-alih "keamanan informasi", standar perlindungan data yang baru ini berbicara tentang "keamanan informasi dan perlindungan data". Selain itu, ada penambahan pada kontennya. Misalnya, ketika mempertimbangkan konteks organisasi, penyertaan undang-undang perlindungan data yang relevan dan keputusan pengadilan diperlukan. Demikian juga, kriteria untuk pemrosesan data pribadi harus diperhitungkan dalam penilaian risiko - dengan selalu mempertimbangkan perlindungan orang-orang yang terkena dampak dan kemungkinan penilaian dampak.

Selain itu, ISO 27701 mencakup suplemen untuk ISO 27002, panduan untuk menerapkan langkah-langkah dari Lampiran A ISO 27001.

Standar ISO juga memberikan panduan berikut tentang manajemen perlindungan data:

• Perluasan pedoman dan kebijakan untuk memasukkan aspek perlindungan data.
• Penunjukan orang yang bertanggung jawab (petugas perlindungan data) di perusahaan untuk sistem manajemen informasi privasi
• Pelatihan perlindungan data untuk karyawan
• Pencatatan akses dan perubahan
• Enkripsi, misalnya untuk kategori data pribadi khusus seperti data kesehatan
• Pertimbangan prinsip "Privasi sesuai Desain"
• Peninjauan insiden keamanan untuk pelanggaran privasi data

Lampiran ISO 27701 berisi tabel alokasi terperinci tentang langkah-langkah yang sesuai dengan persyaratan GDPR. Di sini menjadi jelas apa pengaruh Peraturan Perlindungan Data Umum Uni Eropa terhadap standar internasional untuk perlindungan data ini.

ISMS dan PIMS: Persamaan dan perbedaan

Sistem manajemen keamanan informasi (ISMS) dan sistem manajemen informasi privasi (PIMS) saling terkait erat.

Privasi dan keamanan data adalah tentang data pribadi. Rangkaian standar ISO 27000 pada dasarnya adalah tentang melindungi informasi, dengan data pribadi sebagai salah satu bagiannya. Jadi, perspektif ini menentukan apakah sesuatu itu pelanggaran data atau insiden keamanan informasi, atau bahkan keduanya?

"Manfaat dari ISO 27701? Mempertajam fokus pada aspek perlindungan data dalam sistem manajemen keamanan informasi!"

Stephan Rehfeld, pakar perlindungan data dan auditor di DQS

Jika istilah "keamanan informasi" digunakan dalam ISO 27001 atau ISO 27002, istilah ini disebut "keamanan informasi dan perlindungan data" dalam ISO 27701. Penambahan ini menjadikan perlindungan data sebagai bagian dari sistem manajemen keamanan informasi.

Namun, ada juga penyimpangan di mana fungsi PIMS berbeda dengan ISMS. Salah satu contohnya: perbedaan pemahaman tentang konteks organisasi. Dalam ISO 27701, dalam Klausul 4.1, ada persyaratan tambahan untuk ISO 27001 bahwa "organisasi harus mendefinisikan perannya sebagai pihak yang bertanggung jawab atau pengontrol bersama untuk tanggung jawab bersama dan / atau sebagai pemroses kontrak."

Persyaratan ini tidak ada dalam Sistem Manajemen Keamanan Informasi karena ISMS tidak mengenal perbedaan antara "Pengendali" dan "Pemroses". Oleh karena itu, ISO 27701 berisi dua lampiran tambahan dengan langkah-langkah khusus perlindungan data untuk "pengontrol" dan "prosesor".

Tujuan perlindungan data dan tujuan keamanan informasi: Persamaan dan perbedaan

ISO 29100 mendefinisikan prinsip-prinsip perlindungan data yang harus dipenuhi oleh sistem manajemen perusahaan. Pasal 5 Peraturan Perlindungan Data Umum (GDPR) menunjukkan tujuan perlindungan data yang ingin dicapai dengan pasal-pasal operasional GDPR. Prinsip dan tujuan tersebut sebagian besar sesuai. Hal ini karena OECD menetapkan tujuan perlindungan data pada tahun 1980. Ini menjadi dasar bagi ISO 29100 dan GDPR.

Dalam Sistem Manajemen Keamanan Informasi (SMKI), tujuan keamanan informasi kerahasiaan, integritas, ketersediaan ditemukan. Hal ini juga ditemukan dalam Pasal 5 dan Pasal 32 DS-GVO. Namun, perbedaan utama adalah definisi "pihak yang berkepentingan" dalam ISMS. Ini termasuk, misalnya, karyawan, pelanggan, pemasok, investor, atau pihak berwenang perusahaan itu sendiri. Di sisi lain, dalam perlindungan data, pihak yang berkepentingan hanyalah subjek data.

Dengan demikian, manajemen risiko perlindungan data juga berbeda dengan manajemen risiko keamanan informasi. Akibatnya, SMKI tidak dapat digunakan satu per satu sebagai PIMS dengan proses khusus perlindungan datanya. Namun demikian, ada peluang untuk integrasi sehingga, misalnya, audit internal bersama dapat dilakukan.

Manajemen perlindungan data: Sertifikasi ISO 27701 dalam jangkauan

Dalam hal sertifikasi, standar ISO 27701 yang baru akan melengkapi ISO 27001 di masa depan - dan ini akan menjadi standar pertama yang mengonfirmasi perlindungan data dengan sertifikat. Untuk tujuan ini, DQS saat ini sedang dalam proses akreditasi dengan Badan Akreditasi Jerman (DAkkS) dan berharap untuk segera menerima persetujuan. Karena ISO 27701 dirancang sebagai perpanjangan dari ISO 27001, sistem manajemen perlindungan data menurut ISO 27701 tidak dapat disertifikasi tanpa sistem manajemen keamanan informasi menurut ISO 27001.

ISO 27701: Langkah besar menuju manajemen perlindungan data

Siapa pun yang telah mengembangkan dan menerapkan sistem manajemen perlindungan data (PIMS) yang sistematis sesuai dengan ISO 27701 - dengan kata lain, siapa pun yang secara sistematis melindungi dan mengelola data pribadinya - akan merasa mudah untuk memastikan dan menunjukkan kepatuhan terhadap persyaratan hukum. Perusahaan dapat menggunakan standar baru ini untuk membangun keamanan informasi yang sebagian besar sesuai dengan perlindungan data dan perlindungan data yang sesuai.

Ciptakan tanggung jawab yang jelas dengan ISO 27701

Saat menerapkan standar ISO yang baru, perusahaan tidak dapat menghindari pendefinisian tanggung jawab yang jelas di bidang perlindungan data. Keuntungan ini tidak boleh diremehkan. Di sebagian besar perusahaan tanpa sistem manajemen perlindungan data yang sistematis, tanggung jawab terlalu sering dirumuskan dengan cara yang lunak karena kesopanan yang disalahpahami ("Bisakah Anda mengambil alih ini di masa depan?"). Atau tanggung jawab dibagi bersama, sesuai dengan moto "Kita akan melakukannya bersama-sama!" Keduanya pasti berujung pada tidak ada yang bertanggung jawab pada akhirnya. Dengan sistem manajemen perlindungan data yang terstruktur dengan baik, ada panduan yang jelas, dan itu tak ternilai harganya.

"Intinya adalah bahwa setiap perusahaan benar-benar mendapatkan manfaat dari sistematisasi perlindungan datanya - di semua industri dan ukuran perusahaan."

Stephan Rehfeld, pakar perlindungan data dan auditor di DQS

Standar ISO yang baru ini tidak hanya didasarkan pada prinsip-prinsip Regulasi Perlindungan Data Umum, tetapi juga dimaksudkan untuk mendukung perusahaan dalam mematuhi standar perlindungan data global. Tujuannya adalah untuk menetapkan, menerapkan, memelihara, dan terus meningkatkan PIMS.

Keuntungan lainnya: Orientasi risiko

Ada keuntungan lain yang mendukung pengintegrasian ISO 27701 dengan ISO 27001. Dengan diperkenalkannya ISO 27701, perusahaan secara virtual "dipaksa" untuk mengambil pendekatan yang berorientasi pada risiko terhadap perlindungan data pribadi. Ini termasuk, misalnya, mendefinisikan dan menilai risiko secara menyeluruh dan memperkirakan probabilitas terjadinya risiko tersebut.

Penilaian risiko ini kemudian menjadi titik awal untuk mengurangi potensi kerusakan yang konkret ke tingkat yang dapat diterima. Secara kebetulan, kami juga menemukan pendekatan yang sangat pragmatis ini dalam bentuk yang serupa dengan GDPR, sehingga lingkarannya juga tertutup dalam hal relevansi praktis.

Sekilas: Keuntungan dari ISO 27701

• ISO 27701 merumuskan persyaratan untuk sistem manajemen informasi privasi.
• Dengan ISO 27701, Anda dapat mengidentifikasi, menilai, dan meminimalkan risiko keamanan dalam perlindungan data dalam konteks keseluruhan manajemen keamanan informasi Anda.
• Selain ISO 27001, ISO 27701 adalah standar internasional pertama yang dapat disertifikasi yang mengonfirmasi perlindungan data melalui sertifikat (segera: sertifikat terakreditasi DAkkS dari DQS).
• ISO 27701 merupakan perkembangan penting untuk perlindungan data di Eropa dan internasional.

Kesimpulan: Pendekatan yang sistematis dan terstruktur untuk manajemen perlindungan data

Jika Anda ingin menavigasi dengan aman melalui beting peraturan perlindungan data nasional dan internasional, Anda tidak dapat menghindari pendekatan topik dengan cara yang terstruktur dan sistematis. Dalam konteks ini, ISO 27701 menawarkan nilai tambah yang tinggi.

Dengan demikian, perlindungan data dan keamanan data juga dapat dikuasai oleh perusahaan skala menengah dan memberikan cetak biru yang sangat baik untuk perlindungan data yang sesuai dengan kepatuhan. Ini termasuk kumpulan praktik terbaik yang komprehensif yang dapat digunakan perusahaan untuk mendokumentasikan dengan percaya diri bahwa mereka melakukan uji tuntas saat menangani data penting.

DQS: Simply leveraging Quality.

Dalam interaksi antara dinamika dan stabilitas, sistem manajemen bersertifikat menjadi semakin penting - sebuah perkembangan yang dirasakan oleh DQS dengan cara yang positif. Ini karena perusahaan dan organisasi yang sukses menggunakan temuan dari audit kami untuk terus meningkatkan hasil mereka. Mereka juga menggunakan sertifikat kami yang diakui secara global sebagai bukti obyektif dari kemampuan kualitas mereka. Hal ini menciptakan kepercayaan - baik secara internal maupun eksternal bagi perusahaan Anda.

Keahlian dan kepercayaan

Teks dan brosur kami ditulis secara eksklusif oleh para ahli standar kami atau auditor yang telah lama bekerja. Jika Anda memiliki pertanyaan mengenai konten teks atau layanan kami kepada penulis kami, silakan hubungi kami.