Muitas empresas estão à procura de um certificado para demonstrar precauções cuidadosas e eficazes na protecção de dados. O Regulamento Geral da UE sobre Protecção de Dados também prevê a certificação da protecção de dados. Com a ISO 27701, foi publicada em Agosto de 2019 uma nova norma para provar a implementação dos regulamentos de protecção de dados. Esta nova norma internacional é agora também certificável.
CONTEÚDO
- O que está na ISO 27701?
- ISMS e PIMS: Similitudes e diferenças
- Objectivos de protecção de dados e objectivos de segurança da informação: Similitudes e diferenças
- Certificação ISO 27701 ao seu alcance
- ISO 27701: Um grande passo em direcção à protecção de dados
- Criar responsabilidades claras
- Além disso: Orientação para o risco
- Num relance: As vantagens da norma ISO 27701
- Conclusão: Uma abordagem sistemática e estruturada da protecção de dados
- DQS: Simplesmente alavancar a Qualidade.
Protecção de dados como suplemento a um sistema de gestão
Idealmente, a gestão da protecção de dados é concebida com a ajuda de uma norma internacional, em conjunto com a ISO 27001. A conhecida norma ISO/IEC 27001 trata dos requisitos para um sistema de gestão da segurança da informação (ISMS) e pode também ser certificada para esta área de aplicação. A nova norma ISO/IEC 27701 para a gestão da protecção de dados baseia-se na ISO 27001 e acrescenta-lhe critérios de protecção de dados. Esta extensão integra os requisitos para um sistema de gestão de informações de protecção de dados (DSMS ou Privacy Information Management System, PIMS) num SGSI.
O título completo da norma internacional de protecção de dados é:
ISO/IEC 27701:2019 - Técnicas de segurança - Extensão à ISO/IEC 27001 e ISO/IEC 27002 para a gestão da informação de privacidade - Requisitos e directrizes.
A norma está disponível no sítio web da ISO.
Tal como a ISO 27001, a ISO 27701 também tem em conta a abordagem do sistema de gestão e refere-se à estrutura básica das normas do sistema de gestão moderno, a Estrutura de Alto Nível (HLS).
"A experiência tem demonstrado que qualquer pessoa que tenha implementado ou certificado várias normas ISO pode integrar a ISO 27701 muito facilmente devido à Estrutura de Alto Nível. O cenário habitual aqui é, evidentemente, a incorporação da ISO 27701 na ISO 27001".
Stephan Rehfeld, especialista em protecção de dados e auditor na DQS
A nova norma internacional faz parte da ISO 29100, que contém todos os princípios de protecção de dados. Inicialmente deveria intitular-se ISO 27552, mas foi depois renomeada ISO 27701. O pano de fundo para isto é a decisão da Organização Internacional de Normalização (ISO) de que todas as principais normas certificáveis terminem em 01.
Gestão da protecção de dados: O que está na norma ISO 27701?
Em vez de "segurança da informação", a nova norma de protecção de dados fala de "segurança da informação e protecção de dados". Além disso, há acréscimos ao conteúdo. Por exemplo, ao considerar o contexto da organização, é necessária a inclusão de leis de protecção de dados e decisões judiciais relevantes. Do mesmo modo, os critérios para o tratamento de dados pessoais devem ser tidos em conta na avaliação de risco - com a protecção das pessoas afectadas e uma possível avaliação de impacto sempre em mente.
Além disso, a ISO 27701 inclui suplementos à ISO 27002, as orientações para a implementação das medidas do Anexo A da ISO 27001.
A norma ISO também fornece as seguintes orientações sobre a gestão da protecção de dados:
- Extensão da orientação e das políticas para incluir aspectos da protecção de dados.
- Nomeação de uma pessoa responsável (responsável pela protecção de dados) na empresa para o sistema de gestão de informações de privacidade
- Formação em protecção de dados para funcionários
- Registo de acessos e alterações
- Criptografia, por exemplo, de categorias especiais de dados pessoais, tais como dados de saúde
- Consideração do princípio "Privacy by Design".
- Análise de incidentes de segurança por violação da privacidade de dados
Gestão da protecção de dados com a ISO 27701
Aprotecção de dados no contexto da segurança da informação - um tema excitante? Mais conhecimentos especializados sobre a norma ISO 27701 no nosso white paper gratuito.
O anexo da norma ISO 27701 contém um quadro detalhado de atribuição de medidas para as necessidades do GDPR. Aqui torna-se claro qual a influência que o Regulamento Geral da UE sobre Protecção de Dados tem sobre esta norma internacional de protecção de dados.
ISMS e PIMS: Similitudes e diferenças
Os sistemas de gestão da segurança da informação (ISMS) e os sistemas de gestão da privacidade da informação (PIMS) estão estreitamente interligados.
A privacidade e a segurança de dados são sobre dados pessoais. A série de normas ISO 27000 trata principalmente da protecção da informação, sendo os dados pessoais um subconjunto. Assim, a perspectiva determina se algo é uma violação de dados ou um incidente de segurança de informação, ou mesmo ambos?
"O benefício da ISO 27701? acentua o foco nos aspectos da protecção de dados no sistema de gestão da segurança da informação"!
Stephan Rehfeld, perito em protecção de dados e auditor na DQS
Quando o termo "segurança da informação" é utilizado na ISO 27001 ou ISO 27002, é chamado "segurança da informação e protecção de dados" na ISO 27701. Este aditamento torna a protecção de dados uma parte do sistema de gestão da segurança da informação.
Contudo, existem também desvios em que um PIMS funciona de forma diferente do que um SGSI. Um exemplo: a diferente compreensão do contexto da organização. Na ISO 27701, na cláusula 4.1, há um requisito adicional à ISO 27001 de que "a organização deve definir o seu papel como parte responsável ou controlador conjunto para responsabilidades partilhadas e/ou como um processador de contrato".
Este requisito não está presente no Sistema de Gestão da Segurança da Informação porque o SGSI não reconhece a distinção entre "Controlador" e "Processador". Consequentemente, a ISO 27701 contém dois anexos adicionais com medidas específicas de protecção de dados para "responsáveis pelo tratamento" e "processadores".
Objectivos de protecção de dados e objectivos de segurança da informação: Semelhanças e diferenças
A ISO 29100 define os princípios de protecção de dados que o próprio sistema de gestão da empresa deve cumprir. O artigo 5º do Regulamento Geral de Protecção de Dados (GDPR) mostra quais os objectivos de protecção de dados que devem ser alcançados com os artigos operacionais do GDPR. Os princípios e objectivos são, em grande parte, congruentes. Isto deve-se ao facto de a OCDE ter definido objectivos de protecção de dados em 1980. Estes serviram de base tanto para a ISO 29100 como para a GDPR.
No Sistema de Gestão da Segurança da Informação (SGSI), os objectivos de segurança da informação são a confidencialidade, integridade e disponibilidade. Isto também se encontra no Artigo 5 e no Artigo 32 DS-GVO, respectivamente. Uma grande diferença, contudo, é a definição de "partes interessadas" no SGSI. Isto inclui, por exemplo, os próprios empregados, clientes, fornecedores, investidores ou autoridades da empresa. Na protecção de dados, por outro lado, a parte interessada é apenas o sujeito dos dados.
Assim, a gestão de risco da protecção de dados também difere da gestão de risco da segurança da informação. Como resultado, o SGSI não pode ser utilizado um a um como PIMS com os seus processos específicos de protecção de dados. No entanto, existem oportunidades de integração para que, por exemplo, se possam realizar auditorias internas conjuntas.
Gestão da protecção de dados: Certificação ISO 27701 ao seu alcance
Em termos de certificação, a nova norma ISO 27701 irá complementar a ISO 27001 no futuro - e será a primeira norma a confirmar a protecção de dados por certificado. Para este fim, a DQS está actualmente em processo de acreditação junto do Organismo Alemão de Acreditação (DAkkS) e espera receber aprovação em breve. Uma vez que a ISO 27701 foi concebida como uma extensão da ISO 27001, o sistema de gestão de protecção de dados de acordo com a ISO 27701 não pode ser certificado sem um sistema de gestão de segurança de informação de acordo com a ISO 27001.
ISO 27701: Um grande passo para a gestão da protecção de dados
Qualquer pessoa que tenha desenvolvido e implementado um sistema de gestão sistemática de protecção de dados (PIMS) em conformidade com a ISO 27701 - por outras palavras, qualquer pessoa que proteja e gere sistematicamente os seus dados pessoais - terá facilidade em assegurar e demonstrar o cumprimento dos requisitos legais. As empresas podem utilizar a nova norma para estabelecer em grande parte a segurança da informação conforme à protecção de dados e a correspondente protecção de dados.
Criar responsabilidades claras com ISO 27701
Ao implementar a nova norma ISO, as empresas não podem evitar a definição de responsabilidades claras na área da protecção de dados. Esta vantagem não deve ser subestimada. Na maioria das empresas sem um sistema sistemático de gestão da protecção de dados, as responsabilidades são demasiadas vezes formuladas de forma branda, por uma delicadeza mal compreendida ("Poderia assumir esta responsabilidade no futuro?"). Ou as responsabilidades são partilhadas, de acordo com o lema "Vamos fazê-lo juntos!". Ambos inevitavelmente levam a que no final ninguém assuma a responsabilidade. Com um sistema de gestão de protecção de dados bem estruturado, existem directrizes claras, e isso não tem preço.
"O resultado final é que cada empresa beneficia realmente da sistematização da sua protecção de dados - em todas as indústrias e tamanhos de empresas".
Stephan Rehfeld, especialista em protecção de dados e auditor na DQS
A nova norma ISO não se baseia de forma alguma apenas nos princípios do Regulamento Geral de Protecção de Dados, mas destina-se também a apoiar as empresas no cumprimento das normas globais de protecção de dados. O objectivo é estabelecer, implementar, manter e melhorar continuamente um PIMS.
Outra vantagem: Orientação para o risco
Há outro ponto positivo a favor da integração da ISO 27701 com a ISO 27001. Com a introdução da ISO 27701, as empresas são virtualmente "forçadas" a adoptar uma abordagem orientada para o risco em matéria de protecção de dados pessoais. Isto inclui, por exemplo, a definição e avaliação completas dos riscos e a estimativa da probabilidade com que estes ocorrerão.
Esta avaliação dos riscos constitui então o ponto de partida para reduzir o potencial concreto de danos a um nível aceitável. A propósito, também encontramos esta abordagem maravilhosamente pragmática de forma semelhante com o GDPR, de modo que o círculo também é fechado em termos de relevância prática.
Num relance: As vantagens da norma ISO 27701
- A ISO 27701 formula requisitos para um sistema de gestão de informações de privacidade.
- Com a ISO 27701, pode identificar, avaliar e minimizar os riscos de segurança na protecção de dados no contexto geral da sua gestão de segurança da informação.
- Para além da ISO 27001, a ISO 27701 é a primeira norma internacional certificável que confirma a protecção de dados por certificado (em breve: certificado acreditado DAkkS da DQS).
- A ISO 27701 é um desenvolvimento importante para a protecção de dados na Europa e internacionalmente.
Conclusão: Uma abordagem sistemática e estruturada da gestão da protecção de dados
Se quiser navegar em segurança através dos cardumes de regulamentos nacionais e internacionais de protecção de dados, não pode evitar abordar o tema de uma forma estruturada e sistemática. Neste contexto, a norma ISO 27701 oferece um elevado valor acrescentado.
Assim, a protecção e segurança de dados também pode ser dominada por empresas de média dimensão e fornece um excelente plano para a protecção de dados em conformidade com as normas. Isto inclui uma colecção abrangente das melhores práticas que as empresas podem utilizar para documentar com confiança que estão a exercer a devida diligência no tratamento de dados críticos.
Estamos felizes por responder ás suas questões
Quais são os requisitos para a certificação ISO 27701 e quais são os custos? Descobrir. Livre de encargos e sem compromisso.
DQS: Simplesmente a alavancar a Qualidade.
Na interacção de dinâmica e estabilidade, os sistemas de gestão certificados estão a tornar-se cada vez mais importantes - um desenvolvimento que a DQS sente de uma forma positiva. Isto porque as empresas e organizações de sucesso utilizam os resultados das nossas auditorias para melhorar continuamente os seus resultados. Utilizam também os nossos certificados globalmente reconhecidos como prova objectiva da sua capacidade de qualidade. Isto cria confiança - tanto interna como externamente à sua empresa.
Competência e confiança
Os nossos textos e brochuras são redigidos exclusivamente pelos nossos peritos em normas ou por auditores de longa data. Se tiver quaisquer perguntas sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, contacte-nos por favor.
Newsletter DQS
Holger Schmeken
Gestor de produtos para TISAX® e VCS, Auditor para ISO/IEC 27001, Perito em Engenharia de Software com mais de 30 anos de experiência e Diretor Adjunto de Segurança da Informação. Holger Schmeken tem um mestrado em informática empresarial e possui competências alargadas de auditoria para infra-estruturas críticas na Alemanha (KRITIS).