Molte aziende sono alla ricerca di un certificato che dimostri l'adozione di precauzioni attente ed efficaci in materia di protezione dei dati. Anche il Regolamento generale sulla protezione dei dati dell'UE prevede la certificazione della protezione dei dati. Con la ISO 27701, nell'agosto 2019 è stato pubblicato un nuovo standard per dimostrare l'attuazione delle norme sulla protezione dei dati. Anche questo nuovo standard internazionale è ora certificabile.
CONTENUTO
- Cosa c'è nella ISO 27701?
- ISMS e PIMS: somiglianze e differenze
- Obiettivi di protezione dei dati e obiettivi di sicurezza delle informazioni: Analogie e differenze
- La certificazione ISO 27701 a portata di mano
- ISO 27701: Un grande passo verso la protezione dei dati
- Creare responsabilità chiare
- In più: Orientamento al rischio
- In sintesi: I vantaggi della ISO 27701
- Conclusione: Un approccio sistematico e strutturato alla protezione dei dati
- DQS: Fare semplicemente leva sulla Qualità.
La protezione dei dati come integrazione di un sistema di gestione
Idealmente, la gestione della protezione dei dati viene progettata con l'aiuto di uno standard internazionale, in tandem con la norma ISO 27001. La nota norma ISO/IEC 27001 tratta i requisiti di un sistema di gestione della sicurezza delle informazioni (ISMS) e può essere certificata anche per questo settore di applicazione. Il nuovo standard ISO/IEC 27701 per la gestione della protezione dei dati si basa sulla ISO 27001 e vi aggiunge criteri di protezione dei dati. Questa estensione integra i requisiti per un sistema di gestione delle informazioni sulla protezione dei dati (DSMS o Privacy Information Management System, PIMS) in un ISMS.
Il titolo completo dello standard internazionale sulla protezione dei dati è:
Come la ISO 27001, anche la ISO 27701 tiene conto dell'approccio al sistema di gestione e fa riferimento alla struttura di base dei moderni standard di sistema di gestione, la High Level Structure (HLS).
"L'esperienza ha dimostrato che chiunque abbia implementato o certificato diversi standard ISO può integrare la ISO 27701 molto facilmente grazie alla Struttura di Alto Livello. Lo scenario abituale è, ovviamente, quello di incorporare la ISO 27701 nella ISO 27001".
Stephan Rehfeld, esperto di protezione dei dati e revisore presso DQS
Il nuovo standard internazionale fa parte della ISO 29100, che contiene tutti i principi di protezione dei dati. Inizialmente doveva essere intitolato ISO 27552, ma poi è stato rinominato ISO 27701. Lo sfondo è la decisione dell'Organizzazione Internazionale per la Standardizzazione (ISO) di far terminare tutti i principali standard certificabili con il numero 01.
Gestione della protezione dei dati: Cosa c'è nella ISO 27701?
Invece di "sicurezza delle informazioni", il nuovo standard sulla protezione dei dati parla di "sicurezza delle informazioni e protezione dei dati". Inoltre, ci sono delle aggiunte al contenuto. Ad esempio, quando si considera il contesto dell'organizzazione, si richiede l'inclusione delle leggi sulla protezione dei dati e delle decisioni giudiziarie pertinenti. Allo stesso modo, i criteri per il trattamento dei dati personali devono essere presi in considerazione nella valutazione dei rischi, tenendo sempre presente la protezione delle persone interessate e un'eventuale valutazione d'impatto.
Inoltre, la norma ISO 27701 include integrazioni alla norma ISO 27002, la guida per l'attuazione delle misure dell'allegato A della norma ISO 27001.
La norma ISO fornisce anche le seguenti indicazioni sulla gestione della protezione dei dati:
- Estensione della linea guida e delle politiche per includere gli aspetti della protezione dei dati.
- Nomina di un responsabile (data protection officer) all'interno dell'azienda per il sistema di gestione delle informazioni sulla privacy.
- Formazione sulla protezione dei dati per i dipendenti
- Registrazione degli accessi e delle modifiche
- Crittografia, ad esempio per categorie speciali di dati personali come i dati sanitari.
- Considerazione del principio "Privacy by Design".
- Revisione degli incidenti di sicurezza per le violazioni della privacy dei dati.
Gestione della protezione dei dati con la ISO 27701
La protezione dei dati nel contesto della sicurezza delle informazioni: un argomento interessante? Maggiori informazioni sullo standard ISO 27701 nel nostro libro bianco gratuito.
L'allegato della norma ISO 27701 contiene una tabella dettagliata di assegnazione delle misure ai requisiti del GDPR. Qui appare chiara l'influenza del Regolamento generale sulla protezione dei dati dell'UE su questo standard internazionale per la protezione dei dati.
ISMS e PIMS: somiglianze e differenze
I sistemi di gestione della sicurezza delle informazioni (ISMS) e i sistemi di gestione della privacy (PIMS) sono strettamente interconnessi.
La privacy e la sicurezza dei dati riguardano i dati personali. La serie di norme ISO 27000 riguarda principalmente la protezione delle informazioni, di cui i dati personali sono un sottoinsieme. Quindi è la prospettiva a determinare se si tratta di una violazione dei dati o di un incidente di sicurezza delle informazioni, o addirittura di entrambi?
"Il vantaggio della ISO 27701? Affina l'attenzione sugli aspetti della protezione dei dati nel sistema di gestione della sicurezza delle informazioni!".
Stephan Rehfeld, esperto di protezione dei dati e auditor presso DQS
Dove nella ISO 27001 o nella ISO 27002 si parla di "sicurezza delle informazioni", nella ISO 27701 si parla di "sicurezza delle informazioni e protezione dei dati". Questa aggiunta rende la protezione dei dati una parte del sistema di gestione della sicurezza delle informazioni.
Tuttavia, ci sono anche deviazioni in cui un PIMS funziona in modo diverso da un ISMS. Un esempio: la diversa comprensione del contesto dell'organizzazione. Nella ISO 27701, nella clausola 4.1, c'è un requisito aggiuntivo rispetto alla ISO 27001: "l'organizzazione deve definire il proprio ruolo come parte responsabile o controllore congiunto per le responsabilità condivise e/o come elaboratore contrattuale".
Questo requisito non è presente nel Sistema di gestione della sicurezza delle informazioni perché l'ISMS non riconosce la distinzione tra "controllore" e "incaricato del trattamento". Di conseguenza, la ISO 27701 contiene due allegati aggiuntivi con misure specifiche per la protezione dei dati per i "controllori" e gli "incaricati del trattamento".
Obiettivi di protezione dei dati e obiettivi di sicurezza delle informazioni: Somiglianze e differenze
La ISO 29100 definisce i principi di protezione dei dati che il sistema di gestione aziendale deve soddisfare. L'articolo 5 del Regolamento generale sulla protezione dei dati (GDPR) indica quali obiettivi di protezione dei dati devono essere raggiunti con gli articoli operativi del GDPR. I principi e gli obiettivi sono ampiamente congruenti. Questo perché l'OCSE ha definito gli obiettivi di protezione dei dati nel 1980. Questi sono serviti come base sia per la ISO 29100 che per il GDPR.
Nel Sistema di gestione della sicurezza delle informazioni (ISMS), si trovano gli obiettivi di sicurezza delle informazioni: riservatezza, integrità e disponibilità. Ciò si ritrova anche nell'articolo 5 e nell'articolo 32 del DS-GVO. Una differenza importante, tuttavia, è la definizione di "parti interessate" nell'ISMS. Queste includono, ad esempio, i dipendenti dell'azienda, i clienti, i fornitori, gli investitori o le autorità. Nella protezione dei dati, invece, l'interessato è solo la persona interessata.
Pertanto, la gestione del rischio di protezione dei dati differisce anche dalla gestione del rischio di sicurezza delle informazioni. Di conseguenza, l'ISMS non può essere utilizzato uno a uno come PIMS con i suoi processi specifici per la protezione dei dati. Tuttavia, esistono opportunità di integrazione che consentono, ad esempio, di effettuare audit interni congiunti.
Gestione della protezione dei dati: Certificazione ISO 27701 a portata di mano
In termini di certificazione, il nuovo standard ISO 27701 integrerà in futuro l'ISO 27001 e sarà il primo standard a confermare la protezione dei dati tramite certificato. A tal fine, DQS è attualmente in fase di accreditamento presso l'ente tedesco di accreditamento (DAkkS) e prevede di ricevere presto l'approvazione. Poiché la ISO 27701 è stata concepita come un'estensione della ISO 27001, il sistema di gestione della protezione dei dati secondo la ISO 27701 non può essere certificato senza un sistema di gestione della sicurezza delle informazioni secondo la ISO 27001.
ISO 27701: Un grande passo verso la gestione della protezione dei dati
Chiunque abbia sviluppato e implementato un sistema sistematico di gestione della protezione dei dati (PIMS) in conformità alla norma ISO 27701 - in altre parole, chiunque protegga e gestisca sistematicamente i propri dati personali - troverà facile garantire e dimostrare la conformità ai requisiti di legge. Le aziende possono utilizzare il nuovo standard per stabilire una sicurezza delle informazioni ampiamente conforme alla protezione dei dati e una corrispondente protezione dei dati.
Creare responsabilità chiare con la norma ISO 27701
Quando implementano il nuovo standard ISO, le aziende non possono evitare di definire chiare responsabilità nell'ambito della protezione dei dati. Questo vantaggio non deve essere sottovalutato. Nella maggior parte delle aziende che non dispongono di un sistema sistematico di gestione della protezione dei dati, le responsabilità sono troppo spesso formulate in modo sommesso per un malinteso senso di cortesia ("Potrebbe occuparsene in futuro?"). Oppure le responsabilità vengono condivise, secondo il motto "Lo faremo insieme!". Entrambe le cose portano inevitabilmente a non assumersi alcuna responsabilità. Con un sistema di gestione della protezione dei dati ben strutturato, le linee guida sono chiare e questo non ha prezzo.
"La conclusione è che ogni azienda trae vantaggio dalla sistematizzazione della protezione dei dati, in tutti i settori e in tutte le dimensioni aziendali".
Stephan Rehfeld, esperto di protezione dei dati e revisore presso DQS
Il nuovo standard ISO non si basa esclusivamente sui principi del Regolamento generale sulla protezione dei dati, ma intende anche supportare le aziende nel rispetto degli standard globali di protezione dei dati. L'obiettivo è stabilire, implementare, mantenere e migliorare continuamente un PIMS.
Un altro vantaggio: Orientamento al rischio
C'è un altro punto a favore dell'integrazione della ISO 27701 con la ISO 27001. Con l'introduzione della ISO 27701, le aziende sono praticamente "obbligate" ad adottare un approccio alla protezione dei dati personali orientato al rischio. Ciò include, ad esempio, la definizione e la valutazione completa dei rischi e la stima della probabilità che si verifichino.
Questa valutazione del rischio costituisce poi il punto di partenza per ridurre il potenziale concreto di danno a un livello accettabile. Per inciso, questo approccio meravigliosamente pragmatico si ritrova in forma simile anche nel GDPR, per cui il cerchio si chiude anche in termini di rilevanza pratica.
A colpo d'occhio: I vantaggi della ISO 27701
- La norma ISO 27701 formula i requisiti per un sistema di gestione delle informazioni sulla privacy.
- Con la ISO 27701 è possibile identificare, valutare e ridurre al minimo i rischi per la sicurezza dei dati nel contesto generale della gestione della sicurezza delle informazioni.
- Oltre alla ISO 27001, la ISO 27701 è il primo standard internazionale certificabile che attesta la protezione dei dati mediante un certificato (presto: certificato accreditato DAkkS da DQS).
- La ISO 27701 rappresenta un importante sviluppo per la protezione dei dati in Europa e a livello internazionale.
Conclusioni: Un approccio sistematico e strutturato alla gestione della protezione dei dati
Se si vuole navigare con sicurezza tra le secche delle normative nazionali e internazionali sulla protezione dei dati, non si può fare a meno di affrontare l'argomento in modo strutturato e sistematico. In questo contesto, la norma ISO 27701 offre un elevato valore aggiunto.
La protezione e la sicurezza dei dati possono quindi essere gestite anche da aziende di medie dimensioni e fornisce un eccellente schema per la protezione dei dati conforme alla normativa. Questo include una raccolta completa di best practice che le aziende possono utilizzare per documentare con sicurezza che stanno esercitando la dovuta diligenza nella gestione dei dati critici.
Siamo lieti di rispondere alle vostre domande
Quali sono i requisiti per la certificazione ISO 27701 e quali sono i costi? Scopritelo. Gratuitamente e senza impegno.
DQS: Fare semplicemente leva sulla Qualità.
Nel gioco di dinamiche e stabilità, i sistemi di gestione certificati stanno diventando sempre più importanti - uno sviluppo che DQS percepisce in modo positivo. Questo perché le aziende e le organizzazioni di successo utilizzano i risultati dei nostri audit per migliorare continuamente i loro risultati. Inoltre, utilizzano i nostri certificati, riconosciuti a livello mondiale, come prova oggettiva della loro capacità qualitativa. Questo crea fiducia, sia all'interno che all'esterno della vostra azienda.
Competenza e fiducia
I nostri testi e le nostre brochure sono redatti esclusivamente dai nostri esperti di standard o da auditor di lunga data. Se avete domande sul contenuto dei testi o sui servizi offerti ai nostri autori, contattateci.
Newsletter DQS
Holger Schmeken
Responsabile di prodotto ed esperto di sicurezza delle informazioni e sviluppo software. Holger Schmeken contribuisce anche con la sua esperienza come auditor ISO 27001 con competenza nella procedura di audit KRITIS.