Protezione dei dati e sicurezza delle informazioni - con ISO 27001 e ISO 27701

CONTENUTO

• Protezione dei dati e sicurezza delle informazioni
• Che cos'è un sistema di gestione?
• La struttura di alto livello come modello per i sistemi di gestione
• Integrazione del GDPR (RGPD) in un sistema di gestione
• Cinque vantaggi della gestione della protezione dei dati
• Protezione dei dati e sicurezza delle informazioni - Conclusione
• DQS: Fare semplicemente leva sulla qualità.

Protezione dei dati e sicurezza delle informazioni

Anche nel contesto della sicurezza delle informazioni, la protezione dei dati non è un progetto unico che viene avviato, portato a termine e completato. È esattamente il contrario. La protezione operativa dei dati è costituita da una serie di processi di protezione dei dati che devono essere permanentemente disponibili e implementabili nelle organizzazioni, o attivabili tramite un trigger. Esempi importanti sono i due processi di protezione dei dati "garantire i diritti degli interessati" e "rispondere agli incidenti di protezione dei dati".

Nel mondo della protezione dei dati, l'uso di un sistema di gestione della protezione dei dati (DSMS) è visto come la cosa più importante per risolvere i problemi di protezione dei dati delle organizzazioni. Perché? La risposta è relativamente semplice:

Dal 25 maggio 2018, il Regolamento generale europeo sulla protezione dei dati (GDPR) ha semplicemente fornito le regole per il DSMS. Formula requisiti legali rigorosi su ciò che è consentito o vietato (Business Rules). Le sanzioni del DS-GVO (Legge tedesca sulla protezione dei dati di base) ne derivano. Tuttavia, non fa alcuna dichiarazione su come implementare i requisiti legali di protezione dei dati.

Protezione dei dati e sicurezza delle informazioni: cos'è un sistema di gestione?

La definizione di sistema di gestione è astratta e non può essere resa operativa ad hoc. Lo standard ISO/IEC 27000:2020 definisce un sistema di gestione come ...

Solo quando gli elementi di un sistema di gestione sono stati definiti in modo più dettagliato è possibile affermare se i rigorosi requisiti legali e operativi di protezione dei dati del GDPR (RGDP) sono soddisfatti con il sistema di gestione specificamente in vigore. L'affermazione che un sistema di gestione della protezione dei dati è in funzione non fornisce alcuna indicazione sulla qualità del DSMS o sullo stato di attuazione.

La struttura di alto livello come modello per i sistemi di gestione

L'Organizzazione internazionale per la standardizzazione (ISO) ha creato una struttura di base per i sistemi di gestione chiamata High Level Structure (HLS). Questa struttura di base contiene tutti gli elementi che l'ISO considera rilevanti per un sistema di gestione (Appendice 2 all'Allegato SL delle Direttive ISO/IEC, Parte 1). Per questo motivo, i meccanismi di base degli standard dei sistemi di gestione sono molto simili.

Il DSMS specifico dell'ISO, il Personal Information Management System(PIMS), ha quindi le stesse basi di un sistema di gestione della qualità secondo la norma ISO 9001, di un sistema di gestione ambientale secondo la norma ISO 14001 o di un sistema di gestione della sicurezza delle informazioni secondo la norma ISO 27001.

Protezione dei dati e sicurezza delle informazioni - integrazione del GDPR (RGDP) in un sistema di gestione

Un PIMS conforme allo standard internazionale ISO/IEC 27701 è universale e non solo adattato al Regolamento generale sulla protezione dei dati. Lo standard descrive un sistema di gestione della protezione dei dati basato su un sistema di gestione della sicurezza delle informazioni conforme alla norma ISO 27001, rendendo la norma ISO 27701 adatta all'implementazione di qualsiasi protezione operativa dei dati personali, comprese le leggi californiane o giapponesi sulla protezione dei dati.

MA: Chi ha sviluppato e implementato un PIMS conforme allo standard di protezione dei dati - in altre parole, chi protegge e gestisce sistematicamente i propri dati personali - trova facile garantire e dimostrare la conformità ai requisiti legali di protezione dei dati. Ciò avviene attraverso il meccanismo del sistema di gestione dei requisiti. La gestione dei requisiti è il processo di identificazione e valutazione dei requisiti interni ed esterni e l'implementazione di misure per affrontare i rischi.

Qual è la differenza tra protezione dei dati e sicurezza delle informazioni?

La differenza fondamentale tra i due argomenti è semplice: la sicurezza delle informazioni comprende tutti gli asset aziendali da preservare e serve a proteggere le informazioni aziendali riservate dall'uso improprio da parte di terzi. Non si tratta solo di sistemi informatici. Quando si parla di protezione dei dati, le misure sono volte a proteggere i dati personali. Da maggio 2018, il Regolamento generale sulla protezione dei dati dell'UE deve essere attuato su base vincolante in tutta Europa, da tutte le aziende e gli enti pubblici che trattano dati personali.

Cinque vantaggi della gestione della protezione dei dati

Nell'interazione tra sicurezza delle informazioni e protezione dei dati, uno standard deve sempre essere inteso come una best practice. L'attuazione concreta dei requisiti e delle misure per la sicurezza dei dati deve essere effettuata dall'utente.

Il vantaggio generale del PIMS è la standardizzazione a livello mondiale attraverso lo standard di protezione dei dati e la vasta letteratura sull'implementazione dello standard. Certo, il linguaggio degli standard "richiede un po' di tempo per abituarsi".

Vantaggio n. 1: Assegnazione delle responsabilità

Sembra quasi che la cultura aziendale delle piccole e medie imprese (PMI) sia quella di assegnare le responsabilità in modo poco o per nulla chiaro. Si può osservare che in molte politiche aziendali la responsabilità per determinate attività o beni non è chiaramente definita e affrontata. Si tratta di una grave lacuna che porta a lacune ed errori nelle operazioni.

MA: la protezione dei dati è uno "sport di squadra". Solo se tutti i compiti sono identificati e assegnati alle parti responsabili, e solo se anche queste persone svolgono i loro compiti, la vostra azienda può operare in modo conforme alla protezione dei dati.

Con l'introduzione di un PIMS, il principio di proprietà deve essere introdotto nell'organizzazione per l'ambito di applicazione dello standard. Tuttavia, il termine proprietario non deve essere inteso nel suo significato di diritto civile. Piuttosto, nella lingua tedesca dello standard, proprietario si riferisce alla responsabilità di una persona per un bene o per l'attuazione di un requisito o di una misura.

Ad esempio: La gestione del "Repertorio delle attività di trattamento (VVT)" è spesso delegata al responsabile della protezione dei dati (DPO). Ovviamente, questo non ha senso e non può funzionare perché il DPO spesso non è coinvolto in molte attività di trattamento. Nella gestione della qualità, i process owner eseguono la documentazione del processo. L'alta direzione dovrebbe delegare questo compito anche nella protezione dei dati.

Vantaggio n. 2: la protezione dei dati operativi è orientata al rischio

Nel DS-GVO tedesco, il legislatore europeo richiede un'implementazione della sicurezza dei dati orientata al rischio, ad esempio nell'articolo 32 (1) del DS-GVO. Questo orientamento al rischio spesso non funziona nelle aziende in cui non è ufficialmente installato un sistema di gestione. L'applicazione dello standard di protezione dei dati ISO 27701 introduce inevitabilmente l'orientamento al rischio. In questo caso, il metodo di valutazione del rischio per la sicurezza dei dati non è prescritto e può essere determinato, entro certi limiti, dall'utente.

Vantaggio n. 3: la gestione delle modifiche come componente di successo

I processi di sicurezza dei dati possono essere innescati da un cambiamento nell'organizzazione. Ad esempio, l'implementazione o l'adattamento di un processo aziendale, di un servizio o di un prodotto. Le aziende che non hanno una gestione delle modifiche hanno grossi problemi a rispettare i requisiti di protezione dei dati, perché le modifiche vengono regolarmente gestite in modo casuale e incontrollato. Ciò si traduce in un cosiddetto gap normativo.

Un PIMS registra e controlla questi cambiamenti con l'aiuto della gestione dei cambiamenti e li implementa. Ad esempio, una modifica a un processo aziendale richiede un controllo di ammissibilità (legalità, economia dei dati, diritti degli interessati, documentazione nel VVT, ecc.)

Ad esempio: Il requisito del coinvolgimento precoce del responsabile della protezione dei dati nella progettazione delle modifiche può essere ottenuto semplicemente nominandolo nel team di modifica.

Vantaggio n. 4: Ottimizzazione attraverso un processo di miglioramento continuo

Le aziende sono in continua evoluzione. Un sistema di gestione delle informazioni personali viene inizialmente progettato, implementato e gestito. È molto probabile che il primo tentativo di introdurre, implementare e gestire il sistema non sia ottimale a causa della mancanza di esperienza. Anche se durante l'implementazione viene consultato un consulente esperto, è lecito aspettarsi degli ostacoli.

Tutti i PIMS hanno in linea di principio gli stessi meccanismi, ma sono progettati in modo diverso. A influenzare l'implementazione dei meccanismi possono essere le dimensioni dell'organizzazione, la cultura organizzativa o anche il settore di riferimento.

Un buon sottomeccanismo per adattare in modo permanente il PIMS alle mutevoli esigenze dell'organizzazione e delle parti interessate è il processo di miglioramento continuo (CIP).

Ad esempio, il Regolamento generale sulla protezione dei dati richiede un'informativa che informi i clienti o, ad esempio, i cittadini, al momento della raccolta dei dati, sulla natura e la portata del trattamento dei dati personali e sui relativi diritti. Queste schede informative, ai sensi degli articoli 13 e 14 del DS-GVO, sono pubblicate in conformità alla legge, tuttavia le richieste di queste informazioni da parte degli interessati sono numerose. Includendo questi suggerimenti di miglioramento, l'azienda riconosce che può risparmiare risorse e aumentare la soddisfazione dei clienti ottimizzando la pubblicazione delle informazioni.

Vantaggio n. 5: catalogo dettagliato delle misure

Come descritto in precedenza, la norma ISO 27701 non è adattata al GDPR. L'utente dello standard è responsabile dell'aggiunta dei requisiti specifici del GDPR al PIMS.

Tuttavia, lo standard internazionale offre tre ampi cataloghi di misure per l'implementazione generale della protezione operativa dei dati:

• Misure tecniche e organizzative,
• organizzazione della protezione dei dati presso il responsabile del trattamento e
• organizzazione della protezione dei dati presso l'incaricato del trattamento.

La buona notizia per l'utente europeo è che gli autori del nuovo standard si sono fortemente concentrati sul Regolamento generale sulla protezione dei dati nella progettazione dei cataloghi di misure. Ciò significa che l'applicazione dei cataloghi di misure generici riproduce già molti dei requisiti del GDPR. I requisiti mancanti sono poi seguiti dalla gestione dei requisiti.

Le misure sono best practice per l'implementazione e sono scritte nello stile di un manuale. A differenza del GDPR (Business Rules), le misure spiegano all'utente dello standard come deve avvenire l'implementazione. Dal punto di vista dell'autore, questo è un grande vantaggio.

Conclusioni: Protezione dei dati e sicurezza delle informazioni

Chiunque abbia sviluppato e implementato un sistema di gestione della protezione dei dati (DSMS) in conformità alla norma ISO 27701 - in altre parole, chiunque protegga e gestisca sistematicamente i propri dati personali - troverà facile garantire e dimostrare la conformità ai requisiti di legge. Applicata correttamente, la norma può evitare molti errori nell'introduzione e nel funzionamento di un DSMS.

Tuttavia, la certificazione del PIMS sarà possibile solo se l'azienda ha anche un sistema di gestione della sicurezza delle informazioni certificato secondo la norma ISO/IEC 27701:2019. ISO 27001 è anch'esso gestito dall'azienda.

DQS: Fare semplicemente leva sulla Qualità.

Gli standard dei sistemi di gestione forniscono un quadro sistematico e strutturato per tenere conto degli obblighi di legge e integrarli nei processi aziendali. Le aziende che vogliono andare sul sicuro possono far verificare lo stato della loro sicurezza informatica o della loro implementazione conforme al DS-GVO da un organismo indipendente come DQS.

Le nostre competenze principali consistono nell'esecuzione di audit e valutazioni di certificazione. Questo ci rende uno dei fornitori leader a livello mondiale, con la pretesa di stabilire sempre nuovi parametri di riferimento in termini di affidabilità, qualità e orientamento al cliente. Allo stesso tempo, un sistema di gestione certificato per la sicurezza delle informazioni e la protezione dei dati è la prova della diligenza e della lungimiranza della vostra azienda in caso di attacchi esterni ai dati.

Fiducia e competenza

I nostri testi e le nostre brochure sono redatti esclusivamente dai nostri esperti di standard o da auditor di lunga data. Se avete domande sul contenuto o sui servizi offerti al nostro autore, contattateci . Saremo lieti di parlare con voi.