.
datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Ochrana údajov a bezpečnosť informácií - s normami ISO 27001 a ISO 27701

Stephan Rehfeld

audítor DQS a expert na ochranu údajov
jan 25 , 2022
# Bezpečnosť informácií a ochrana údajov

Medzinárodná organizácia pre normalizáciu zverejnila v roku 2019 normu pre všeobecný systém riadenia ochrany údajov (DSMS). Norma ISO/IEC 27701 opisuje systém DSMS založený na systéme riadenia bezpečnosti informácií v súlade s normou ISO 27001. Táto osobitná forma DSMS sa nazýva systém riadenia osobných informácií (PIMS). Základy tohto PIMS sú opísané nižšie. Pritom je rozpracované, ktorých päť hlavných výhod ponúka PIMS spoločnostiam. Bezplatné biele knihy poskytujú ďalšie pokyny na praktickú implementáciu.

OBSAH

Ochrana údajov a bezpečnosť informácií

Ani v kontexte informačnej bezpečnosti nie je ochrana údajov jednorazovým projektom, ktorý sa začne, prebehne a ukončí. Je to presne naopak. Operatívna ochrana údajov je množstvo procesov ochrany údajov, ktoré musia byť v organizáciách trvalo dostupné a realizovateľné, prípadne spustiteľné spúšťačom. Dôležitými príkladmi sú dva procesy ochrany údajov "zabezpečenie práv dotknutých osôb" a "reakcia na incidenty v oblasti ochrany údajov".

Vo svete ochrany údajov sa používanie systému riadenia ochrany údajov (DSMS) považuje za veľkú vec na riešenie problémov organizácií s ochranou údajov. Prečo je to tak? Odpoveď je pomerne jednoduchá:
 

Systém riadenia ochrany údajov je rámec a hnacia sila prevádzkovej ochrany údajov, ktorú musia organizácie trvalo dodržiavať.

Stephan Rehfeld Expert na GDPR a audítor v spoločnosti DQS

Od 25. mája 2018 európske všeobecné nariadenie o ochrane údajov (GDPR) jednoducho stanovilo pravidlá pre systém riadenia ochrany údajov (DSMS). Formuluje prísne právne požiadavky, čo je dovolené alebo zakázané (Business Rules). Od neho sa odvíjajú nemecké sankcie DS-GVO (nemecký základný zákon o ochrane údajov). Nevyjadruje sa však k tomu, ako implementovať zákonné požiadavky na ochranu údajov.

Ochrana údajov a bezpečnosť informácií - čo je to vlastne systém riadenia?

Definícia systému riadenia je abstraktná a nedá sa operacionalizovať ad hoc. V norme ISO/IEC 27000:2020 sa systém manažérstva definuje ako systém riadenia, ktorý je ...

"Súbor vzájomne prepojených a vzájomne pôsobiacich prvkov organizácie (3.50) na stanovenie politík (3.53), cieľov (3.49) a procesov (3.54) na dosiahnutie týchto cieľov."

Až po podrobnejšom vymedzení prvkov systému riadenia možno konštatovať, či sú s konkrétne zavedeným systémom riadenia splnené prísne právne a prevádzkové požiadavky na ochranu údajov podľa GDPR. Vyhlásenie, že systém riadenia ochrany údajov je prevádzkovaný, neposkytuje žiadnu informáciu o kvalite systému riadenia ochrany údajov ani o stave jeho implementácie.

ISO 27701 - Riadenie ochrany údajov

Ochrana údajov v kontexte informačnej bezpečnosti - zaujímavá téma? Viac odborných poznatkov o norme ISO 27701 nájdete v našej bezplatnej Bielej knihe.

Stiahnite si bielu knihu o norme ISO 27701 a dozviete sa viac

Štruktúra na vysokej úrovni ako plán pre systémy riadenia

Medzinárodná organizácia pre normalizáciu (ISO) vytvorila plán pre systémy riadenia, ktorý sa nazýva štruktúra vysokej úrovne (HLS). Táto základná štruktúra obsahuje všetky prvky, ktoré ISO považuje za relevantné pre systém manažérstva (dodatok 2 k prílohe SL smerníc ISO/IEC, časť 1). Z tohto dôvodu sú základné mechanizmy noriem systémov manažérstva veľmi podobné.

Špecifický DSMS ISO, systém manažérstva osobných informácií(PIMS), má preto identický základ ako systém manažérstva kvality podľa ISO 9001, systém environmentálneho manažérstva podľa ISO 14001 alebo systém manažérstva bezpečnosti informácií podľa ISO 27001.

 

Ochrana údajov a bezpečnosť informácií - integrácia GDPR do systému riadenia

Systém riadenia ochrany osobných údajov podľa medzinárodnej normy ISO/IEC 27701 je univerzálny a nie je prispôsobený len európskemu všeobecnému nariadeniu o ochrane údajov. Norma opisuje systém riadenia ochrany údajov založený na systéme riadenia bezpečnosti informácií v súlade s normou ISO 27001, vďaka čomu je norma ISO 27701 vhodná na implementáciu akejkoľvek prevádzkovej ochrany osobných údajov vrátane kalifornského alebo japonského zákona o ochrane údajov.

ISO/IEC 27701:2021-07- Bezpečnostné techniky - Rozšírenie noriem ISO/IEC 27001 a ISO/IEC 27002 o správu informácií o súkromí - Požiadavky a usmernenia (ISO/IEC 27701:2019).
Norma je k dispozícii na stránke Webová lokalita ISO.

ALE: Tí, ktorí vyvinuli a zaviedli systém PIMS v súlade s normou na ochranu údajov - inými slovami, tí, ktorí systematicky chránia a spravujú svoje osobné údaje - ľahko zabezpečia a preukážu súlad so zákonnými požiadavkami na ochranu údajov. Deje sa tak prostredníctvom mechanizmu riadenia systému riadenia požiadaviek. Riadenie požiadaviek je proces identifikácie a posudzovania interných a externých požiadaviek a zavádzania opatrení na riešenie rizík.

Aký je rozdiel medzi ochranou údajov a bezpečnosťou informácií?

Základný rozdiel medzi týmito dvoma témami je jednoduchý: bezpečnosť informácií zahŕňa všetky podnikové aktíva, ktoré treba chrániť, a slúži na ochranu dôverných obchodných informácií pred zneužitím tretími stranami. To zahŕňa oveľa viac než len IT systémy. Pokiaľ ide o ochranu údajov, opatrenia sú zamerané na ochranu osobných údajov. Od mája 2018 musí byť v celej Európe záväzne implementované všeobecné nariadenie EÚ o ochrane údajov - všetkými spoločnosťami a verejnými orgánmi, ktoré spracúvajú osobné údaje.

Päť výhod riadenia ochrany údajov

V súhre medzi bezpečnosťou informácií a ochranou údajov treba štandard vždy chápať ako osvedčený postup. Konkrétnu implementáciu požiadaviek a opatrení na bezpečnosť údajov musí vykonať používateľ.

Všeobecnou výhodou PIMS je celosvetová štandardizácia prostredníctvom normy na ochranu údajov a rozsiahla literatúra o implementácii normy. Je pravda, že na jazyk noriem si treba "zvyknúť".

Výhoda č. 1: Pridelenie zodpovedností

Zdá sa, že medzi malými a strednými podnikmi (MSP) je takmer firemnou kultúrou prideľovať zodpovednosti nejasne alebo vôbec. Možno pozorovať, že v mnohých podnikových politikách nie je jasne definovaná a riešená zodpovednosť za určité činnosti alebo aktíva. Je to veľký nedostatok, ktorý vedie k medzerám a chybám v činnosti.

ALE: Ochrana údajov je "tímový šport". Len ak sú všetky úlohy určené a pridelené zodpovedným osobám a len ak tieto osoby svoje úlohy aj plnia, môže vaša spoločnosť fungovať v súlade s ochranou údajov.

Ochrana údajov je "tímový šport": Rozdelenie zodpovednosti je dobré. Prevzatie zodpovednosti je lepšie."

Zavedením PIMS sa musí v organizácii zaviesť princíp vlastníctva pre rozsah normy. Pojem vlastník sa tu však nemá chápať v jeho občianskoprávnom význame. V nemeckom jazyku normy sa vlastník skôr vzťahuje na zodpovednosť osoby za majetok alebo realizáciu požiadavky alebo opatrenia.

Napríklad: Vedenie "Adresára spracovateľských činností (VVT)" sa často deleguje na úradníka pre ochranu údajov (DPO). Samozrejme, je to úplný nezmysel a nemôže to fungovať, pretože DPO sa často na mnohých činnostiach spracovania vôbec nepodieľa. V rámci riadenia kvality vykonávajú dokumentáciu procesov vlastníci procesov. Vrcholový manažment by to mal zodpovedajúcim spôsobom delegovať aj v oblasti ochrany údajov.

Certifikát podľa normy ISO 27701

Z hľadiska certifikácie norma ISO 27701 dopĺňa známu normu ISO 27001 - bude to prvá norma, ktorá potvrdzuje ochranu údajov certifikátom. Spoločnosť DQS je v súčasnosti v procese akreditácie u nemeckého akreditačného orgánu (DAkkS).

Kontaktujte nás a zistite viac

Výhoda č. 2: Prevádzková ochrana údajov je orientovaná na riziko

V nemeckom DS-GVO európsky zákonodarca požaduje implementáciu ochrany údajov orientovanú na riziko, napríklad v článku 32 ods. 1 DS-GVO. Táto orientácia na riziko často nefunguje v spoločnostiach, kde nie je oficiálne zavedený žiadny systém riadenia. Uplatňovanie normy ISO 27701 na ochranu údajov nevyhnutne zavádza orientáciu na riziko. Tu nie je predpísaná metóda hodnotenia rizík v oblasti bezpečnosti údajov a môže ju - v rámci možností - určiť používateľ.

Výhoda č. 3: Riadenie zmien ako súčasť úspechu

Procesy bezpečnosti údajov môžu byť vyvolané zmenou v organizácii. Napríklad zavedením alebo úpravou obchodného procesu, služby alebo produktu. Spoločnosti bez riadenia zmien majú veľké problémy s dodržiavaním požiadaviek na ochranu údajov, pretože zmeny sa pravidelne spracúvajú náhodným a nekontrolovaným spôsobom. Výsledkom je takzvaná regulačná medzera.

Spoločnosti a organizácie sa neustále menia. Riadenie zmien zohráva dôležitú úlohu aj pri ochrane údajov a bezpečnosti informácií.

Systém PIMS zaznamenáva a riadi tieto zmeny pomocou riadenia zmien a implementuje ich. Napríklad zmena obchodného procesu si vyžaduje kontrolu prípustnosti (zákonnosť, hospodárnosť údajov, práva dotknutých osôb, dokumentácia vo VVT atď.)

Napríklad: Požiadavku na včasné zapojenie úradníka pre ochranu údajov do navrhovania zmien možno dosiahnuť celkom jednoducho jeho vymenovaním do tímu pre zmeny.

Výhoda č. 4: Optimalizácia prostredníctvom procesu neustáleho zlepšovania

Spoločnosti sa neustále menia. Systém správy osobných údajov sa na začiatku plánuje, zavádza a prevádzkuje. Je veľmi pravdepodobné, že prvý pokus o zavedenie, implementáciu a prevádzku systému nebude optimálny z dôvodu nedostatku skúseností. Aj keď sa počas implementácie konzultuje so skúseným konzultantom, možno očakávať, že sa vyskytnú prekážky.

Predpoklad: Urobte bezpečnosť informácií a ochranu údajov systematickou a udržateľnou.

Hoci všetky PIMS majú v zásade identické mechanizmy, sú navrhnuté odlišne. Vplyv na implementáciu mechanizmov môže mať veľkosť organizácie, organizačná kultúra alebo dokonca odvetvové zameranie.

Vhodným čiastkovým mechanizmom na trvalé prispôsobovanie PIMS meniacim sa potrebám organizácie a zainteresovaných strán je proces neustáleho zlepšovania (CIP).

Napríklad: Všeobecné nariadenie o ochrane údajov vyžaduje informačný list, ktorý v čase zhromažďovania údajov informuje zákazníkov alebo napríklad občanov o povahe a rozsahu spracovania osobných údajov a súvisiacich právach. Tieto informačné listy podľa článkov 13 a 14 DS-GVO sa zverejňujú v súlade so zákonom, avšak zo strany dotknutých osôb je veľa žiadostí o tieto informácie. Zahrnutím týchto návrhov na zlepšenie spoločnosť uznáva, že optimalizáciou zverejňovania informácií môže ušetriť zdroje a zvýšiť spokojnosť zákazníkov.

 

Výhoda č. 5: Podrobný katalóg opatrení

Ako už bolo opísané, norma ISO 27701 nie je prispôsobená nariadeniu GDPR. Používateľ normy je zodpovedný za doplnenie špecifických požiadaviek GDPR do systému PIMS.

Medzinárodná norma však prináša tri rozsiahle katalógy opatrení na všeobecnú implementáciu prevádzkovej ochrany údajov:

  • Technické a organizačné opatrenia,
  • Organizácia ochrany údajov u prevádzkovateľa a
  • Organizácia ochrany údajov u spracovateľa.

Dobrou správou pre európskeho používateľa je, že autori novej normy sa pri navrhovaní katalógov opatrení výrazne zamerali na všeobecné nariadenie o ochrane údajov. To znamená, že aplikácia všeobecných katalógov opatrení už teraz mapuje mnohé požiadavky všeobecného nariadenia o ochrane údajov. Chýbajúce požiadavky sa potom sledujú prostredníctvom riadenia požiadaviek.

Opatrenia predstavujú osvedčené postupy na implementáciu a sú napísané v štýle príručky. Na rozdiel od GDPR (Business Rules) opatrenia vysvetľujú používateľovi normy, ako musí implementácia prebiehať. Z pohľadu autora je to veľmi veľká výhoda.

 

Záver: Ochrana údajov a bezpečnosť informácií

Každý, kto vytvoril a zaviedol systém riadenia ochrany údajov (DSMS) v súlade s normou ISO 27701 - inými slovami, každý, kto systematicky chráni a spravuje svoje osobné údaje - ľahko zabezpečí a preukáže súlad so zákonnými požiadavkami. Správne uplatnená norma môže zabrániť mnohým chybám pri zavádzaní a prevádzke systému DSMS.

S ohľadom na ochranu údajov a bezpečnosť informácií je norma ISO 27701 dlho očakávanou príručkou na implementáciu nariadenia GDPR.

Certifikácia PIMS však bude možná len v prípade, že spoločnosť prevádzkuje aj certifikovaný systém riadenia bezpečnosti informácií podľa normy ISO 27001.

 

DQS: Jednoduché využitie kvality.

Normy systému manažérstva poskytujú systematický a štruktúrovaný rámec na zohľadnenie právnych povinností a ich integráciu do podnikových procesov. Spoločnosti, ktoré chcú hrať na istotu, si môžu dať stav implementácie systému riadenia informačnej bezpečnosti alebo systému DS-GVO overiť nezávislým orgánom, ako je DQS.

Naše hlavné kompetencie spočívajú vo vykonávaní certifikačných auditov a hodnotení. Vďaka tomu patríme medzi popredných poskytovateľov na celom svete s nárokom na neustále stanovovanie nových meradiel spoľahlivosti, kvality a orientácie na zákazníka. Certifikovaný systém riadenia bezpečnosti informácií a ochrany údajov je zároveň dôkazom starostlivosti a prezieravosti vašej spoločnosti v prípade vonkajších útokov na údaje.

 

Dôvera a odbornosť

Naše texty a brožúry píšu výlučne naši odborníci na normy alebo dlhoroční audítori. Ak máte akékoľvek otázky týkajúce sa obsahu alebo našich služieb pre nášho autora, kontaktujte nás. Tešíme sa na rozhovor s vami.

Autor
Stephan Rehfeld

Konateľ spoločnosti "scope & focus Service-Gesellschaft mbH". Externý úradník pre ochranu údajov a dlhoročný audítor DQS pre ochranu údajov. Riadny člen pracovnej skupiny "Identity Management and Data Protection Technologies" nemeckého DIN s hlasovacím právom, zástupca vedúceho krúžku výmeny skúseností Nemeckého združenia pre ochranu a bezpečnosť údajov (GDD) v Hannoveri.

Akékoľvek otázky?

Sme tu pre vás.
Kontaktujte nás