Międzynarodowa Organizacja Normalizacyjna opublikowała w 2019 r. normę dotyczącą ogólnego systemu zarządzania ochroną danych (DSMS). Norma ISO/IEC 27701 opisuje DSMS oparty na systemie zarządzania bezpieczeństwem informacji zgodnym z normą ISO 27001. Ta specjalna forma DSMS nazywana jest systemem zarządzania informacjami osobistymi (PIMS). Poniżej opisano podstawy tego PIMS. W procesie tym określono pięć głównych zalet, jakie PIMS oferuje firmom. Bezpłatne białe księgi zawierają dalsze wskazówki dotyczące praktycznego wdrożenia.
Loading...
CONTENT
- Ochrona danych i bezpieczeństwo informacji
- Czym w ogóle jest system zarządzania?
- Struktura wysokiego poziomu jako wzór dla systemów zarządzania
- Włączenie GDPR do systemu zarządzania
- Pięć korzyści z zarządzania ochroną danych
- Ochrona danych i bezpieczeństwo informacji - zakończenie
- DQS: Simply leveraging Quality.
Ochrona danych i bezpieczeństwo informacji
Nawet w kontekście bezpieczeństwa informacji, ochrona danych nie jest jednorazowym projektem, który się rozpoczyna, przeprowadza i kończy. Jest dokładnie odwrotnie. Operacyjna ochrona danych to szereg procesów ochrony danych, które muszą być stale dostępne i możliwe do wdrożenia w organizacjach, lub możliwe do uruchomienia przez wyzwalacz. Ważnymi przykładami są tu dwa procesy ochrony danych: "zapewnienie praw osób, których dane dotyczą" oraz "reagowanie na incydenty związane z ochroną danych".
W świecie ochrony danych, zastosowanie systemu zarządzania ochroną danych (DSMS) jest postrzegane jako najważniejszy sposób rozwiązywania problemów związanych z ochroną danych w organizacji. Dlaczego tak się dzieje? Odpowiedź jest stosunkowo prosta:
System zarządzania ochroną danych stanowi ramy i siłę napędową operacyjnej ochrony danych, której organizacje muszą stale przestrzegać.
Od 25 maja 2018 r. europejskie ogólne rozporządzenie o ochronie danych (GDPR) po prostu dostarcza reguł dla DSMS. Formułuje ono ścisłe wymagania prawne dotyczące tego, co jest dozwolone lub zabronione (Business Rules). Z tego wynikają niemieckie kary DS-GVO (niemieckie podstawowe prawo ochrony danych). Nie zawiera on jednak żadnych stwierdzeń dotyczących sposobu realizacji prawnych wymogów ochrony danych.
Ochrona danych i bezpieczeństwo informacji - co to w ogóle jest system zarządzania?
Definicja systemu zarządzania jest abstrakcyjna i nie może być operacjonalizowana ad hoc. Norma ISO/IEC 27000:2020 definiuje system zarządzania jako ...
"Zbiór wzajemnie powiązanych i oddziałujących na siebie elementów organizacji (3.50) służących do ustanowienia polityki (3.53), celów (3.49) i procesów (3.54) służących do osiągnięcia tych celów".
Dopiero po bardziej szczegółowym zdefiniowaniu elementów systemu zarządzania można stwierdzić, czy ścisłe wymogi prawne i operacyjne w zakresie ochrony danych zawarte w GDPR są spełnione przy konkretnie wdrożonym systemie zarządzania. Stwierdzenie, że system zarządzania ochroną danych jest stosowany, nie daje żadnych wskazówek co do jakości DSMS ani stanu wdrożenia.
Struktura wysokiego poziomu jako wzór dla systemów zarządzania
Międzynarodowa Organizacja Normalizacyjna (ISO) stworzyła schemat dla systemów zarządzania zwany strukturą wysokiego poziomu (HLS). Ta podstawowa struktura zawiera wszystkie elementy, które ISO uważa za istotne dla systemu zarządzania (Dodatek 2 do Załącznika SL Dyrektyw ISO/IEC, Część 1). Z tego powodu podstawowe mechanizmy norm dotyczących systemów zarządzania są bardzo podobne.
Specyficzny system DSMS ISO, Personal Information Management System(PIMS), ma zatem identyczne podstawy jak system zarządzania jakością wg ISO 9001, system zarządzania środowiskowego wg ISO 14001 czy system zarządzania bezpieczeństwem informacji wg ISO 27001.
Ochrona danych i bezpieczeństwo informacji - integracja GDPR z systemem zarządzania
System PIMS zgodny z międzynarodowym standardem ISO/IEC 27701 jest uniwersalny, a nie tylko dostosowany do europejskiego ogólnego rozporządzenia o ochronie danych. Norma opisuje system zarządzania ochroną danych oparty na systemie zarządzania bezpieczeństwem informacji zgodnym z ISO 27001, dzięki czemu ISO 27701 nadaje się do wdrożenia każdej operacyjnej ochrony danych osobowych, w tym kalifornijskiego lub japońskiego prawa ochrony danych.
ISO/IEC 27701:2021-07- Techniki bezpieczeństwa - Rozszerzenie do ISO/IEC 27001 i ISO/IEC 27002 w zakresie zarządzania informacjami o prywatności - Wymagania i wytyczne (ISO/IEC 27701:2019).
Norma jest dostępna na stronie. Strona internetowa ISO.
ALE: Ci, którzy opracowali i wdrożyli PIMS zgodnie z normą ochrony danych - innymi słowy, ci, którzy systematycznie chronią i zarządzają swoimi danymi osobowymi - z łatwością zapewniają i wykazują zgodność z prawnymi wymogami ochrony danych. Odbywa się to poprzez mechanizm systemu zarządzania, jakim jest zarządzanie wymaganiami. Zarządzanie wymaganiami to proces identyfikowania i oceny wymagań wewnętrznych i zewnętrznych oraz wdrażania środków zaradczych.
Jaka jest różnica między ochroną danych a bezpieczeństwem informacji?
Podstawowa różnica pomiędzy tymi dwoma tematami jest prosta: bezpieczeństwo informacji obejmuje wszystkie aktywa korporacyjne, które należy chronić i służy do ochrony poufnych informacji biznesowych przed niewłaściwym wykorzystaniem przez strony trzecie. Wiąże się to z czymś więcej niż tylko z systemami IT. Jeśli chodzi o ochronę danych, środki są ukierunkowane na ochronę danych osobowych. Od maja 2018 roku ogólne rozporządzenie UE o ochronie danych musi zostać wdrożone w sposób wiążący w całej Europie - przez wszystkie przedsiębiorstwa i instytucje publiczne, które przetwarzają dane osobowe.
Pięć korzyści z zarządzania ochroną danych
W interakcji między bezpieczeństwem informacji a ochroną danych standard powinien być zawsze rozumiany jako najlepsza praktyka. Konkretne wdrożenie wymagań i środków bezpieczeństwa danych musi zostać przeprowadzone przez użytkownika.
Ogólną zaletą PIMS jest ogólnoświatowa standaryzacja poprzez standard ochrony danych oraz obszerna literatura na temat implementacji standardu. Trzeba przyznać, że język standardów "wymaga przyzwyczajenia".
Zaleta #1: Przypisanie odpowiedzialności
Wydaje się, że niemalże kulturą korporacyjną wśród małych i średnich przedsiębiorstw (MŚP) jest niejasne lub w ogóle nie przypisywanie odpowiedzialności. Można zaobserwować, że w wielu politykach korporacyjnych odpowiedzialność za pewne działania lub aktywa nie jest jasno określona i zaadresowana. Jest to poważne niedociągnięcie, które prowadzi do luk i błędów w operacjach.
ALE: Ochrona danych to "sport zespołowy". Tylko wtedy, gdy wszystkie zadania są zidentyfikowane i przypisane do odpowiedzialnych osób, i tylko wtedy, gdy te osoby również wypełniają swoje zadania, Twoja firma może działać w sposób zgodny z zasadami ochrony danych.
Ochrona danych to "sport zespołowy": Rozłożenie odpowiedzialności jest dobre. Przyjmowanie odpowiedzialności jest lepsze."
Wprowadzając PIMS, należy wprowadzić w organizacji zasadę własności w zakresie objętym normą. Pojęcia właściciel nie należy tu jednak rozumieć w jego cywilnoprawnym znaczeniu. Raczej w niemieckim języku normy, właściciel odnosi się do odpowiedzialności danej osoby za składnik majątku lub realizację wymagania lub działania.
Na przykład: Prowadzenie "Katalogu czynności przetwarzania (VVT)" jest często delegowane na inspektora ochrony danych (DPO). Oczywiście, jest to kompletny nonsens i nie może działać, ponieważ DPO często w ogóle nie jest zaangażowany w wiele czynności przetwarzania. W zarządzaniu jakością dokumentację procesu wykonują właściciele procesów. Najwyższe kierownictwo powinno odpowiednio delegować to zadanie również w zakresie ochrony danych.
Zaleta #2: Operacyjna ochrona danych jest zorientowana na ryzyko
W niemieckim DS-GVO, prawodawca europejski wymaga wdrożenia bezpieczeństwa danych zorientowanego na ryzyko, na przykład w artykule 32 (1) DS-GVO. Ta orientacja na ryzyko często nie sprawdza się w firmach, w których nie ma oficjalnie zainstalowanego systemu zarządzania. Zastosowanie standardu ochrony danych ISO 27701 nieuchronnie wprowadza orientację na ryzyko. W tym przypadku metoda oceny ryzyka związanego z bezpieczeństwem danych nie jest zalecana i może być - w ramach ograniczeń - określona przez użytkownika.
Zaleta #3: Zarządzanie zmianami jako element sukcesu
Procesy związane z bezpieczeństwem danych mogą być wywołane przez zmiany w organizacji. Na przykład, wdrożenie lub adaptacja procesu biznesowego, usługi lub produktu. Firmy bez zarządzania zmianą mają duże problemy ze spełnieniem wymagań dotyczących ochrony danych, ponieważ zmiany są regularnie przeprowadzane w sposób przypadkowy i niekontrolowany. Powoduje to powstanie tzw. luki regulacyjnej.
"Firmy i organizacje nieustannie się zmieniają. Zarządzanie zmianą odgrywa również ważną rolę w ochronie danych i bezpieczeństwie informacji."
System PIMS rejestruje i kontroluje te zmiany za pomocą zarządzania zmianami i wdraża je. Na przykład, zmiana w procesie biznesowym wymaga sprawdzenia pod kątem dopuszczalności (legalność, gospodarka danymi, prawa osób, których dane dotyczą, dokumentacja w VVT, itp.)
Na przykład: Wymóg wczesnego zaangażowania inspektora ochrony danych w projektowanie zmian można osiągnąć w dość prosty sposób, wyznaczając go do zespołu ds. zmian.
Zaleta #4: Optymalizacja poprzez proces ciągłego doskonalenia
Firmy ciągle się zmieniają. System zarządzania informacjami osobowymi jest początkowo planowany, wdrażany i obsługiwany. Jest bardzo prawdopodobne, że pierwsza próba wprowadzenia, wdrożenia i obsługi systemu będzie nieoptymalna ze względu na brak doświadczenia. Nawet jeśli podczas wdrażania systemu skorzysta się z pomocy doświadczonego konsultanta, należy się spodziewać potknięć.
"Założenie: uczynić bezpieczeństwo informacji i ochronę danych systematycznymi i trwałymi".
Podczas gdy wszystkie PIMS mają w zasadzie identyczne mechanizmy, są one zaprojektowane w różny sposób. Wpływ na implementację mechanizmów może mieć wielkość organizacji, kultura organizacyjna, a nawet ukierunkowanie na daną branżę.
Dobrym podmechanizmem służącym do stałego dostosowywania PIMS do zmieniających się potrzeb organizacji i zainteresowanych stron jest proces ciągłego doskonalenia (CIP).
Na przykład: Ogólne Rozporządzenie o Ochronie Danych wymaga arkusza informacyjnego informującego klientów lub, na przykład, obywateli w czasie zbierania danych o charakterze i zakresie przetwarzania danych osobowych i związanych z tym prawach. Te arkusze informacyjne zgodnie z art. 13 i 14 DS-GVO są publikowane zgodnie z prawem, jednak osoby, których dane dotyczą, zwracają się z wieloma prośbami o te informacje. Poprzez uwzględnienie tych sugestii dotyczących ulepszeń, firma uznaje, że może zaoszczędzić zasoby i zwiększyć zadowolenie klientów poprzez optymalizację publikacji tych informacji.
Zaleta nr 5: Szczegółowy katalog środków
Jak opisano wcześniej, norma ISO 27701 nie jest dostosowana do GDPR. Użytkownik standardu jest odpowiedzialny za dodanie do PIMS specyficznych wymagań GDPR.
Jednak międzynarodowa norma wnosi trzy obszerne katalogi środków do ogólnego wdrożenia operacyjnej ochrony danych:
- Środki techniczne i organizacyjne,
- Organizacja ochrony danych u administratora danych, oraz
- Organizacja ochrony danych u przetwarzającego.
Dobrą wiadomością dla europejskiego użytkownika jest to, że autorzy nowej normy przy projektowaniu katalogów środków mocno skupili się na Ogólnym Rozporządzeniu o Ochronie Danych Osobowych. Oznacza to, że zastosowanie ogólnych katalogów środków już teraz odwzorowuje wiele z wymagań GDPR. Brakujące wymagania są następnie uzupełniane przez zarządzanie wymaganiami.
Środki są najlepszymi praktykami do wdrożenia i są napisane w stylu podręcznika. W przeciwieństwie do GDPR (Reguły Biznesowe), środki wyjaśniają użytkownikowi standardu, jak musi przebiegać wdrożenie. Z punktu widzenia autora jest to bardzo duża zaleta.
Wnioski: Ochrona danych i bezpieczeństwo informacji
Każdy, kto opracował i wdrożył system zarządzania ochroną danych (DSMS) zgodnie z normą ISO 27701 - innymi słowy, każdy, kto systematycznie chroni i zarządza swoimi danymi osobowymi - z łatwością zapewni i udowodni zgodność z wymogami prawnymi. Prawidłowo stosowana norma może zapobiec wielu błędom przy wprowadzaniu i obsłudze DSMS.
"Mając na uwadze ochronę danych i bezpieczeństwo informacji, ISO 27701 jest długo oczekiwanym podręcznikiem wdrażania GDPR".
Certyfikacja PIMS będzie jednak możliwa tylko wtedy, gdy w firmie funkcjonuje również certyfikowany system zarządzania bezpieczeństwem informacji zgodny z ISO 27001.
DQS: Simply leveraging Quality.
Normy systemów zarządzania zapewniają systematyczne i uporządkowane ramy dla uwzględnienia zobowiązań prawnych i zintegrowania ich z procesami biznesowymi. Firmy, które chcą się zabezpieczyć, mogą zlecić niezależnemu podmiotowi, takiemu jak DQS, przeprowadzenie audytu stanu bezpieczeństwa informacji lub wdrożenia zgodnego z DS-GVO.
Nasze główne kompetencje leżą w przeprowadzaniu audytów i ocen certyfikacyjnych. Dzięki temu jesteśmy jednym z wiodących dostawców na świecie, który zawsze wyznacza nowe standardy w zakresie niezawodności, jakości i orientacji na klienta. Certyfikowany system zarządzania bezpieczeństwem informacji i ochroną danych jest jednocześnie dowodem staranności i dalekowzroczności Państwa firmy w przypadku zewnętrznych ataków na dane.
Zaufanie i fachowość
Nasze teksty i broszury są pisane wyłącznie przez naszych ekspertów ds. standardów lub wieloletnich audytorów. Jeśli mają Państwo pytania dotyczące treści lub naszych usług dla naszych autorów, prosimy o kontakt . Chętnie z Państwem porozmawiamy.
Newsletter DQS
Bądź na bieżąco i zapisz się do naszego newslettera!
Autor
Stephan Rehfeld
Dyrektor zarządzający firmy "scope & focus Service-Gesellschaft mbH". Zewnętrzny inspektor ochrony danych i wieloletni audytor ochrony danych DQS. Członek z prawem głosu grupy roboczej "Technologie zarządzania tożsamością i ochrony danych" w niemieckim DIN, zastępca kierownika Koła Wymiany Doświadczeń Niemieckiego Stowarzyszenia Ochrony Danych i Bezpieczeństwa Danych (GDD) w Hanowerze.
Loading...