Gestão de proteção de dados com certificado

CONTENTE

• O que há na ISO 27701?
• ISMS e PIMS: Semelhanças e diferenças
• Objetivos de proteção de dados e objetivos de segurança da informação: Semelhanças e diferenças
• Certificação ISO 27701 ao seu alcance
• ISO 27701: Um grande passo em direção à proteção de dados
• Criando responsabilidades claras
• Mais: Orientação para o risco
• Em resumo: As vantagens da norma ISO 27701
• Conclusão: Uma abordagem sistemática e estruturada para proteção  de dados
• DQS: Simplesmente alavancando a qualidade.

A proteção de dados como complemento de um sistema de gestão

Idealmente, a gestão da proteção de dados é concebida com a ajuda de uma norma internacional, em conjunto com a ISO 27001. A conhecida norma ISO/IEC 27001 trata dos requisitos para um sistema de gestão da segurança da informação (ISMS) e pode também ser certificada para esta área de aplicação. A nova norma ISO/IEC 27701 para a gestão da proteção de dados baseia-se na ISO 27001 e adiciona critérios de proteção de dados. Esta extensão integra os requisitos para um sistema de gestão de informações de proteção de dados (DSMS ou Privacy Information Management System, PIMS) em um SGSI.

O título completo do padrão internacional de proteção de dados é:

Assim como a ISO 27001, a ISO 27701 também leva em consideração a abordagem do sistema de gestão e se refere à estrutura básica dos padrões modernos de sistemas de gestão, a Estrutura de Alto Nível (HLS).

A nova norma internacional faz parte da ISO 29100, que contém todos os princípios de protecção de dados. Inicialmente deveria intitular-se ISO 27552, mas foi renomeada como ISO 27701. O pano de fundo para isto é a decisão da Organização Internacional de Normalização (ISO) de ter todos os principais padrões certificáveis ​​terminando em 01

Gestão da proteção de dados: O que há na norma ISO 27701?

Em vez de "segurança da informação", a nova norma de proteção de dados fala sobre "segurança da informação e proteção de dados". Além disso, há acréscimos ao conteúdo. Por exemplo, ao considerar o contexto da organização, é necessária a inclusão de leis de proteção de dados e decisões judiciais relevantes. Do mesmo modo, os critérios para o tratamento de dados pessoais devem ser tidos em conta na avaliação de risco - tendo sempre presente a proteção das pessoas afetadas e uma eventual avaliação de impacto.

Além disso, a ISO 27701 inclui suplementos à ISO 27002, as orientações para a implementação das medidas do Anexo A da ISO 27001.

A norma ISO também fornece as seguintes orientações sobre  gestão de proteção de dados:

• Extensão da orientação e das políticas para incluir aspectos da proteção de dados.
• Nomeação de uma pessoa responsável (responsável pela proteção de dados) na empresa para o sistema de gestão de informações de privacidade
• Treinamento de proteção de dados para funcionários
• Registo de acessos e alterações
• Criptografia, por exemplo, de categorias especiais de dados pessoais, como dados de saúde
• Consideração do princípio "Privacy by Design".
• Revisão de incidentes de segurança por violação da privacidade de dados

O anexo da norma ISO 27701 contém uma tabela de alocação detalhada de medidas para os requisitos do RGPD. Aqui fica claro a influência que o Regulamento Geral de Proteção de Dados da UE tem sobre esse padrão internacional de proteção de dados.

ISMS e PIMS: Semelhanças e diferenças

Os sistemas de gestão da segurança da informação (ISMS) e os sistemas de gestão da privacidade da informação (PIMS) estão estreitamente interligados.

A privacidade e a segurança de dados são sobre dados pessoais. A série de normas ISO 27000 trata principalmente da proteção de informações, sendo os dados pessoais um subconjunto. Assim, a perspectiva determina se algo é uma violação de dados ou um incidente de segurança de informação, ou mesmo ambos?

"O benefício da ISO 27701? Ela aprimora o foco nos aspectos de proteção de dados no sistema de gestão de segurança da informação"!

Stephan Rehfeld, perito em protecção de dados e auditor na DQS

Quando o termo "segurança da informação" é utilizado na ISO 27001 ou ISO 27002, é chamado "segurança da informação e proteção de dados" na ISO 27701. Esta adição torna a proteção de dados uma parte do sistema de gestão da segurança da informação.

No entanto, existem também desvios em que um PIMS funciona de forma diferente do que um ISMS. Um exemplo: a diferente entendimentos do contexto da organização. Na ISO 27701, na cláusula 4.1, há um requisito adicional à ISO 27001 de que "a organização deve definir o seu papel como parte responsável ou controlador conjunto para responsabilidades compartilhadas e/ou como um processador de contrato".

Este requisito não está presente no Sistema de Gestão da Segurança da Informação porque o ISMS não reconhece a distinção entre "Controlador" e "Processador". Consequentemente, a ISO 27701 contém dois anexos adicionais com medidas específicas de proteção de dados para "responsáveis pelo tratamento" e "processadores".

Objetivos de proteção de dados e objetivos de segurança da informação: Semelhanças e diferenças

A ISO 29100 define os princípios de proteção de dados que o próprio sistema de gestão da empresa deve cumprir. O artigo 5º do Regulamento Geral de Proteção de Dados (RGPD) mostra quais os objetivos de proteção de dados que devem ser alcançados com os artigos operacionais do RGPD. Os princípios e objetivos são, em grande parte, congruentes. Isso ocorre porque a OCDE definiu os objetivos de proteção de dados em 1980. Eles serviram de base tanto para a ISO 29100 quanto para o RGPD.

No Sistema de Gestão de Segurança da Informação (SGSI), encontram-se os objetivos de segurança da informação confidencialidade, integridade e disponibilidade. Isso também é encontrado no Artigo 5 e no Artigo 32 DS-GVO, respectivamente. Uma grande diferença, no entanto, é a definição de "partes interessadas" no SGSI. Isso inclui, por exemplo, os próprios funcionários da empresa, clientes, fornecedores, investidores ou autoridades. Já na proteção de dados, o interessado é apenas o titular dos dados.

Assim, a gestão de riscos de proteção de dados também difere do gerenciamento de riscos de segurança da informação. Como resultado, o ISMS não pode ser usado individualmente como um PIMS com seus processos específicos de proteção de dados. No entanto, existem oportunidades de integração para que, por exemplo, auditorias internas pode ocorrer.

Gestão da proteção de dados: certificação ISO 27701 ao seu alcance

Em termos de certificação, o novo padrão ISO 27701 complementará o ISO 27001 no futuro - e será o primeiro padrão a confirmar a proteção de dados por certificado. Para tanto, o DQS está atualmente em processo de credenciamento junto ao Organismo Alemão de Acreditação (DAkkS) e espera receber a aprovação em breve. Como a ISO 27701 foi projetada como uma extensão da ISO 27001, o sistema de gestão de proteção de dados de acordo com a ISO 27701 não pode ser certificado sem um sistema de gestão de segurança da informação de acordo com a ISO 27001.

ISO 27701: Um grande passo para a gestão da proteção de dados

Qualquer pessoa que tenha desenvolvido e implementado um sistema sistemático de gestão de proteção de dados (PIMS) de acordo com a ISO 27701 - em outras palavras, qualquer pessoa que proteja e gerencie sistematicamente seus dados pessoais - achará fácil garantir e demonstrar conformidade com os requisitos legais. As empresas podem usar o novo padrão para estabelecer a segurança da informação compatível com a proteção de dados e a proteção de dados correspondente.

Crie responsabilidades claras com ISO 27701

Ao implementar a nova norma ISO, as empresas não podem deixar de definir responsabilidades claras na área de proteção de dados. Esta vantagem não deve ser subestimada. Na maioria das empresas sem um sistema sistemático de gestão de proteção de dados, as responsabilidades são muitas vezes formuladas de maneira branda, por polidez incompreendida ("Você poderia assumir isso no futuro?"). Ou as responsabilidades são compartilhadas, de acordo com o lema "Vamos fazer isso juntos!" Ambos inevitavelmente levam a que ninguém assuma a responsabilidade no final. Com um sistema de gestão de proteção de dados bem estruturado, existem diretrizes claras, e isso não tem preço.

"O ponto principal é que toda empresa realmente se beneficia com a sistematização de sua proteção de dados - em todos os setores e tamanhos de empresas."

Stephan Rehfeld, especialista em protecção de dados e auditor na DQS

A nova norma ISO  não se baseia apenas nos princípios do Regulamento Geral de Proteção de Dados, mas também visa apoiar as empresas no cumprimento dos padrões globais de proteção de dados. O objetivo é estabelecer, implementar, manter e melhorar continuamente um PIMS.

Outra vantagem: Orientação para o risco

Há outro ponto positivo a favor da integração da ISO 27701 com a ISO 27001. Com a introdução da ISO 27701, as empresas são virtualmente "forçadas" a adotar uma abordagem orientada ao risco para a proteção de dados pessoais. Isso inclui, por exemplo, definir e avaliar completamente os riscos e estimar a probabilidade com que eles ocorrerão.

Essa avaliação de risco forma o ponto de partida para reduzir o potencial concreto de danos a um nível aceitável. Aliás, também encontramos essa abordagem maravilhosamente pragmática de forma semelhante ao RGPD, de modo que o círculo também é fechado em termos de relevância prática. 

Em resumo: As vantagens da ISO 27701

• A ISO 27701 formula requisitos para um sistema de gestão de informações de privacidade.
• Com a ISO 27701, você pode identificar, avaliar e minimizar os riscos de segurança na proteção de dados no contexto geral de seu gerenciamento de segurança da informação.
• Para além da ISO 27001, a ISO 27701 é o primeiro padrão internacional certificável que confirma a proteção de dados por certificado (em breve: certificado credenciado DAkkS da DQS).
• A ISO 27701 é um desenvolvimento importante para a proteção de dados na Europa e internacionalmente.

Conclusão: Uma abordagem sistemática e estruturada para gestão de proteção de dados

Se você deseja navegar com segurança pelos cardumes de regulamentações nacionais e internacionais de proteção de dados, não pode deixar de abordar o tema de forma estruturada e sistemática. Nesse contexto, a ISO 27701 oferece alto valor agregado.

A proteção de dados e a segurança de dados também podem ser dominadas por empresas de médio porte e fornecem um excelente modelo para proteção de dados compatível com conformidade. Isso inclui uma coleção abrangente de melhores práticas que as empresas podem usar para documentar com confiança que estão exercendo a devida diligência ao lidar com dados críticos.

DQS: Simplesmente alavancando a Qualidade.

Na interação entre dinâmica e estabilidade, os sistemas de gestão certificados estão se tornando cada vez mais importantes - um desenvolvimento que a DQS sente de forma positiva. Isso ocorre porque empresas e organizações de sucesso usam as descobertas de nossas auditorias para melhorar continuamente seus resultados. Eles também usam nossos certificados reconhecidos globalmente como prova objetiva de sua capacidade de qualidade. Isso cria confiança - tanto interna quanto externamente à sua empresa.

Experiência e confiança

Nossos textos e brochuras são escritos exclusivamente por nossos especialistas em normas ou auditores de longa data. Se você tiver alguma dúvida sobre o conteúdo do texto ou nossos serviços ao nosso autor, entre em contato conosco.