Protecção de dados e segurança da informação - com a ISO 27001 e ISO 27701

CONTEÚDO

• Protecção de dados e segurança da informação
• Afinal, o que é um sistema de gestão?
• A estrutura de alto nível como um plano para sistemas de gestão
• Integrar o GDPR num sistema de gestão
• Cinco vantagens da gestão da protecção de dados
• Protecção de Dados e Segurança da Informação - Conclusão
• DQS: Simplesmente a potenciar a Qualidade.

Protecção de dados e segurança da informação

Mesmo no contexto da segurança da informação, a protecção de dados não é um projecto único que é iniciado, executado e concluído. Exactamente o oposto é o caso. A protecção de dados operacionais é uma série de processos de protecção de dados que devem estar permanentemente disponíveis e implementados nas organizações, ou accionáveis por um accionador. Exemplos importantes disso são os dois processos de protecção de dados "assegurar os direitos do envolvido" e "responder a incidentes de protecção de dados".

No mundo da protecção de dados, o uso de um sistema de gestão de protecção de dados (DSMS) é visto como a grande coisa para resolver os problemas de protecção de dados das organizações. Por que isto é assim? A resposta é relativamente simples:

Desde 25 de Maio de 2018, o Regulamento Geral Europeu para a Protecção de Dados (GDPR) limita-se a fornecer as regras para o DSMS. Ele formula requisitos legais rigorosos quanto ao que é permitido ou proibido (Regras de Negócios). Daqui derivam as penalidades da DS-GVO (Lei Alemã de Protecção de Dados Básicos) da Alemanha. Contudo, não faz qualquer declaração sobre como implementar os requisitos legais de protecção de dados.

Protecção de dados e segurança da informação - o que é afinal um sistema de gestão?

A definição de um sistema de gestão é abstracta e não pode ser operacionalizada ad hoc. A norma ISO/IEC 27000:2020 define um sistema de gestão como um ...

Só quando os elementos de um sistema de gestão tiverem sido definidos com mais detalhe é que se pode afirmar se os rigorosos requisitos legais e operacionais de protecção de dados da GDPR são cumpridos com o sistema de gestão especificamente em vigor. A declaração de que um sistema de gestão de protecção de dados é operado não dá qualquer indicação sobre a qualidade do DSMS ou sobre o estado de implementação.

A estrutura de alto nível como um plano para sistemas de gestão

A Organização Internacional de Normalização (ISO) criou um plano para sistemas de gestão chamado de Estrutura de Alto Nível (HLS). Esta estrutura básica contém todos os elementos que a ISO considera relevantes para um sistema de gestão (Anexo 2 do Anexo SL das Directivas ISO/IEC, Parte 1). Por este motivo, os mecanismos básicos das normas do sistema de gestão são muito semelhantes.

O DSMS específico da ISO, o Personal Information Management System(PIMS), tem portanto a mesma base que um sistema de gestão da qualidade de acordo com a ISO 9001, um sistema de gestão ambiental de acordo com a ISO 14001 ou um sistema de gestão da segurança da informação de acordo com a ISO 27001.

Protecção de dados e segurança da informação - integração do GDPR em um sistema de gestão

Um PIMS de acordo com a norma internacional ISO/IEC 27701 é universal e não apenas adaptado ao Regulamento Geral Europeu de Protecção de Dados. A norma descreve um sistema de gestão de protecção de dados baseado num sistema de gestão de segurança da informação de acordo com a ISO 27001, tornando a ISO 27701 adequada para implementar qualquer protecção operacional de dados pessoais, incluindo a lei de protecção de dados da Califórnia ou japonesa.

MAS: Aqueles que desenvolveram e implementaram um PIMS de acordo com a norma de protecção de dados - em outras palavras, aqueles que sistematicamente protegem e gerem os seus dados pessoais - acham fácil garantir e demonstrar o cumprimento dos requisitos legais de protecção de dados. Isto é feito através do mecanismo de gestão do sistema de gestão de requisitos. A gestão de requisitos é o processo de identificação e avaliação de requisitos internos e externos e de implementação de medidas para enfrentar riscos.

Qual é a diferença entre protecção de dados e segurança da informação?

A diferença fundamental entre os dois tópicos é simples: a segurança da informação engloba todos os activos corporativos a serem preservados e serve para proteger informações comerciais confidenciais contra o uso indevido por terceiros. Isto envolve muito mais do que apenas sistemas de IT. Quando se trata de protecção de dados, as medidas destinam-se a proteger os dados pessoais. Desde Maio de 2018, o Regulamento Geral de Protecção de Dados da UE tem de ser implementado de forma vinculativa em toda a Europa - por todas as empresas e organismos públicos que processam dados pessoais.

Cinco vantagens da gestão da protecção de dados

Na interacção entre segurança da informação e protecção de dados, um padrão deve ser sempre entendido como uma melhor prática. A implementação concreta dos requisitos e medidas de segurança de dados deve ser realizada pelo usuário.

A vantagem geral do PIMS é a padronização mundial através da norma de proteção de dados e a extensa literatura sobre a implementação da norma. É certo que a linguagem das normas "leva algum tempo a ser compreendida".

Vantagem #1: Atribuição de responsabilidades

Quase parece ser cultura empresarial entre as pequenas e médias empresas (PME) atribuir responsabilidades de forma pouco clara ou nem sequer o fazer. Pode-se observar que em muitas políticas empresariais a responsabilidade por certas actividades ou activos não é claramente definida e abordada. Isto é uma falha importante e leva a lacunas e erros nas operações.

MAS: A protecção de dados é um "desporto de equipa". Apenas se todas as tarefas forem identificadas e atribuídas aos responsáveis, e apenas se esses indivíduos também cumprirem as suas tarefas, a sua empresa poderá operar de forma compatível com a protecção de dados.

Ao introduzir um PIMS, o princípio da propriedade deve ser introduzido na organização para o âmbito da norma. No entanto, o termo proprietário não deve ser entendido aqui no seu significado de direito civil. Ao contrário, no idioma alemão da norma, proprietário refere-se à responsabilidade de uma pessoa por um bem ou pela implementação de um requisito ou medida.

Por exemplo, o termo proprietário: A manutenção do "Directório de Actividades de Processamento (VVT)" é frequentemente delegada ao Responsável pela Protecção de Dados (RPD). Evidentemente, isto é um completo disparate e não pode funcionar porque o RPD não está frequentemente envolvido em muitas actividades de processamento. Na gestão da qualidade, os proprietários do processo executam a documentação do processo. A gestão de topo deve delegar isto também na protecção de dados.

Certificado segundo a norma ISO 27701

Em termos de certificação, a ISO 27701 complementa a conhecida norma ISO 27001 - será a primeira norma a confirmar a protecção de dados por certificado. O DQS está actualmente em processo de acreditação junto do Organismo Alemão de Acreditação (DAkkS).

Vantagem #2: A protecção de dados operacionais é orientada para o risco

No DS-GVO alemão, o legislador europeu exige uma implementação orientada para o risco da segurança de dados, por exemplo, no artigo 32 (1) DS-GVO. Esta orientação para o risco muitas vezes não funciona em empresas onde nenhum sistema de gestão está oficialmente instalado. A aplicação da norma de protecção de dados ISO 27701 introduz inevitavelmente uma orientação para o risco. Aqui, o método para avaliação de risco de segurança de dados não é prescrito e pode - dentro dos limites - ser determinado pelo usuário.

Vantagem #3: Gestão de mudanças como um componente de sucesso

Os processos de segurança de dados podem ser accionados por uma mudança na organização. Por exemplo, a implementação ou adaptação de um processo empresarial, de um serviço ou de um produto. Empresas sem gestão de mudanças têm grandes problemas para cumprir com os requisitos de protecção de dados, porque as mudanças são tratadas regularmente de forma aleatória e descontrolada. Isto resulta em uma chamada lacuna regulatória.

Um PIMS regista e controla essas mudanças com a ajuda da gestão de mudanças e implementa-as. Por exemplo, uma mudança num processo de negócio requer uma verificação de permissibilidade (legalidade, economia de dados, direitos do sujeito dos dados, documentação no VVT, etc.).

Por exemplo, uma modificação de um processo empresarial requer uma verificação de permissibilidade: O requisito de envolvimento precoce do responsável pela protecção de dados na concepção das alterações pode ser alcançado muito simplesmente através da sua nomeação para a equipa de alterações.

Vantagem #4: Optimização através de um processo de melhoria contínua

As empresas estão em constante mudança. Um sistema de gestão de informações pessoais é inicialmente planeado, implementado e operado. É muito provável que a primeira tentativa de introduzir, implementar e operar o sistema seja suboptimizada devido à falta de experiência. Mesmo que um consultor experiente seja consultado durante a implementação, é de se esperar que surjam obstáculos.

Embora todos os PIMS tenham, em princípio, os mesmos mecanismos, eles são concebidos de forma diferente. Influenciar a implementação dos mecanismos pode ser a dimensão da organização, a cultura organizacional, ou mesmo o foco da indústria.

Um bom sub-mecanismo para adaptar permanentemente o PIMS às necessidades de mudança da organização e das partes interessadas é o processo de melhoria contínua (CIP).

Por exemplo: o Regulamento Geral de Protecção de Dados requer uma ficha de informação aos clientes ou, por exemplo, aos cidadãos no momento da recolha de dados sobre a natureza e o âmbito do processamento de dados pessoais e direitos relacionados. Estas fichas informativas de acordo com os artigos 13 e 14 do DS-GVO são publicadas em conformidade com a lei, no entanto, existem muitos pedidos para esta informação por parte das pessoas em causa. Ao incluir estas sugestões de melhoria, a empresa reconhece que pode poupar recursos e aumentar a satisfação do cliente, optimizando a publicação da informação.

Vantagem #5: Catálogo detalhado de medidas

Como descrito anteriormente, a ISO 27701 não é adaptada ao GDPR. O usuário padrão é responsável por adicionar os requisitos específicos do GDPR ao PIMS.

Entretanto, a norma internacional traz três extensos catálogos de medidas para a implementação geral da protecção de dados operacionais:

• Medidas técnicas e organizacionais,
• Organização da protecção de dados no responsável pelo tratamento, e
• Organização de protecção de dados no processador.

A boa notícia para o usuário europeu é que os autores da nova norma concentraram-se fortemente no Regulamento Geral de Protecção de Dados ao elaborar os catálogos de medidas. Isto significa que a aplicação dos catálogos genéricos de medidas já mapeia muitos dos requisitos do GDPR. Os requisitos em falta são então seguidos pela gestão de requisitos.

As medidas são as melhores práticas para implementação e escritas no estilo de um manual. Ao contrário da GDPR (Regras de Negócios), as medidas explicam ao usuário da norma como a implementação deve ser feita. Do ponto de vista do autor, esta é uma vantagem muito grande.

Conclusão: Protecção de dados e segurança da informação

Qualquer pessoa que tenha desenvolvido e implementado um sistema de gestão de protecção de dados (DSMS) de acordo com a ISO 27701 - por outras palavras, qualquer pessoa que sistematicamente proteja e gira os seus dados pessoais - terá facilidade em garantir e provar o cumprimento dos requisitos legais. Aplicada correctamente, a norma pode evitar muitos erros na introdução e operação de um DSMS.

Entretanto, a certificação do PIMS só será possível se a empresa também operar um sistema de gestão de segurança da informação certificado de acordo com a ISO 27001.

DQS: Simplesmente a potenciar a Qualidade.

As normas do sistema de gestão fornecem uma estrutura sistemática e estruturada para levar em conta as obrigações legais e integrá-las aos processos de negócio. As empresas que querem jogar seguro podem ter o status de sua segurança da informação ou implementação compatível com DS-GVO auditada por um órgão independente como o DQS.

As nossas principais competências residem na realização de auditorias e avaliações de certificação. Isso torna-nos um dos fornecedores líderes mundiais com a pretensão de estabelecer novos padrões de referência em confiabilidade, qualidade e orientação para o cliente em todos os momentos. Ao mesmo tempo, um sistema de gestão certificado para segurança da informação e protecção de dados é uma prova da diligência e previsão da sua empresa no caso de ataques externos de dados.

Confiança e perícia

Os nossos textos e brochuras são escritos exclusivamente pelos nossos especialistas em normas ou por auditores de longa data. Se você tiver alguma dúvida sobre o conteúdo, nossos serviços ou autor, por favor, entre em contacto connosco. Estamos ansiosos para conversar consigo.