datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

Upravljanje zaštitom podataka uz sertifikaciju

Holger Schmeken

DQS expert za bezbednost informacija
феб 09 , 2022
# Bezbednost informacija i zaštita podataka

Mnoge kompanije započinju proces sertifikacije radi demonstracije pažljivo odabranih i efikasnih mera predostrožnosti za zaštitu podataka. Opšta uredba EU o zaštiti podataka (GDPR) takođe predviđa sertifikaciju zaštite podataka. Sa ISO 27701, novi standard za dokazivanje primene propisa o zaštiti podataka objavljen je u avgustu 2019. Ovaj novi međunarodni standard sada se takođe može sertifikovati.

CONTENT

Zaštita podataka kao dodatak sistemu upravljanja

U idealnom slučaju, upravljanje zaštitom podataka je dizajnirano uz pomoć međunarodnog standarda, u tandemu sa ISO 27001. Dobro poznati standard ISO/IEC 27001 bavi se zahtevima za sistem upravljanja bezbednošću informacija (ISMS) i takođe može biti sertificikovan za ovu oblast primene. Novi ISO/IEC 27701 standard za upravljanje zaštitom podataka nadovezuje se na ISO 27001 i dodaje mu kriterijume zaštite podataka. Ovo proširenje integriše zahteve za sistem upravljanja informacijama o zaštiti podataka (DSMS ili Privacy Information Management System, PIMS) u ISMS.

Puni naziv međunarodnog standarda zaštite podataka je:

ISO/IEC 27701:2019 - Tehnike bezbednosti – Proširenje ISO/IEC 27001 i ISO/IEC 27002 za menadžment informacijama o privatnosti – Zahtevi i smernice

Standard je dostupan na ISO web stranici. 

Kao i ISO 27001, ISO 27701 takođe uzima u obzir pristup sistemu upravljanja i odnosi se na osnovnu strukturu standarda modernog sistema upravljanja, Struktura visokog nivoa (HLS).

"Iskustvo je pokazalo da svako ko je implementirao ili sertifickovao nekoliko ISO standarda može vrlo lako integrisati ISO 27701 zbog strukture visokog nivoa. Uobičajeni scenaro ovde je, naravno, da se ISO 27701 ugradi u ISO 27001."

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Novi međunarodni standard deo je ISO 29100, koji sadrži sve principe zaštite podataka. Prvobitno je trebalo biti nazvan ISO 27552, ali je potom preimenovan u ISO 27701. Pozadina ovoga je odluka Međunarodne organizacije za standardizaciju (ISO) da se svi glavni standardi koji se mogu sertifikovati završavaju na 01.

Upravljanje zaštitom podataka: Šta se nalazi u ISO 27701?

Umjesto "bezbednoosti informacija", novi standard zaštite podataka govori o "bezbednoosti informacija i zaštiti podataka". Štaviše, tu su i dodaci sadržaju. Na primer, kada se razmatra kontekst organizacije, potrebno je uključivanje relevantnih zakona o zaštiti podataka i sudskih odluka. Isto tako, u analizi rizika moraju se uzeti u obzir kriterijumi za obradu ličnih podataka – uvek imajući na umu zaštitu pogođenih osoba i moguću procenu uticaja.

Osim toga, ISO 27701 uključuje dopune ISO 27002, smernice za implementaciju mera iz Anex A ISO 27001.

ISO standard takođe pruža sledeće smernice o upravljanju zaštitom podataka:

  • Proširenje smernica i politika kako bi se uključili aspekti zaštite podataka.
  • Imenovanje odgovorne osobe (službenika za zaštitu podataka) u kompaniji za sistem upravljanja informacijama o privatnosti
  • Obuka o zaštiti podataka za zaposlene
  • Evidentiranje pristupa i promena
  • Šifriranje posebnih kategorija ličnih podataka, kao što su na primer zdravstveni podaci
  • Razmatranje principa "Privacy by Design".
  • Pregled sigurnosnih incidenata zbog kršenja privatnosti podataka

Upravljanje zaštitom podataka sa ISO 27701

Zaštita podataka u kontekstu informacione sigurnosti - zanimljiva tema? Više stručnog znanja o ISO 27701 standardu u našim besplatnim Belim stranama.

Preuzmite Bele strane o ISO 27701 i saznajte više

Anex ISO 27701 sadrži detaljnu tabelu alokacije mera prema zahtevima GDPR. Ovdje postaje jasno kakav uticaj ima Opšta uredba EU o zaštiti podataka na ovaj međunarodni standard za zaštitu podataka.

ISMS i PIMS: Sličnosti i razlike

Sistemi za upravljanje bezbednošću informacija (ISMS) i sistemi za upravljanje informacijama o privatnosti (PIMS) su usko isprepleteni.

Privatnost i sigurnost podataka odnose se na lične podatke. Serija standarda ISO 27000 prvenstveno se odnosi na zaštitu informacija, pri čemu su lični podaci podskup. Dakle, perspektiva određuje da li je nešto kršenje podataka ili incident bezbednosti informacija, ili čak oboje?

"Prednost ISO 27701? Izoštrava fokus na aspekte zaštite podataka u sistemu upravljanja bezbednošću informacija!"

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Kada se u ISO 27001 ili ISO 27002 koristi izraz "bezbednost informacija", u ISO 27701 se naziva "bezbednost informacija i zaštita podataka". Ovaj dodatak čini zaštitu podataka delom sistema upravljanja bezbednošću informacija.

Međutim, postoje i odstupanja gde PIMS funkcioniše drugačije od ISMS-a. Jedan primer: različito razumevanje konteksta organizacije. U ISO 27701, u klauzuli 4.1, postoji dodatni zahtev za ISO 27001 da „organizacija treba definisati svoju ulogu kao odgovorne strane ili zajedničkog kontrolora za zajedničke odgovornosti i/ili kao obrađivača ugovora“.

Ovaj zahtjev nije prisutan u sistemu upravljanja bezbednošću informacija jer ISMS ne prepoznaje razliku između "kontrolora" i "procesora". Shodno tome, ISO 27701 sadrži dva dodatna aneksa s merama specifičnim za zaštitu podataka za "kontrolore" i "procesore".

 

Ciljevi zaštite podataka i ciljevi bezbednosti informacija: Sličnosti i razlike

ISO 29100 definiše principe zaštite podataka koje sopstveni sistem upravljanja kompanije treba da ispuni. Član 5. Opšte uredbe o zaštiti podataka (GDPR) pokazuje koje ciljeve bezbednosti informacija treba postići operativnim članovima GDPR-a. Principi i ciljevi su uglavnom podudarni. To je zato što je OECD definisao ciljeve zaštite podataka 1980. Oni su poslužili kao osnova za ISO 29100 i GDPR.

U Sistemu upravljanja bezbednošću informacija (ISMS) nalaze se ciljevi bezbednosti informacija poverljivost, integritet, dostupnost. Ovo se takođe nalazi u članu 5 i članu 32 DS-GVO. Glavna razlika je, međutim, definicija "zainteresovanih strana" u ISMS-u. Ovo uključuje, na primer, sopstvene zaposlene u kompaniji, kupce, dobavljače, investitore ili vlasti. U zaštiti podataka, s druge strane, zainteresovana strana je samo subjekt podataka.

Stoga se upravljanje rizikom zaštite podataka razlikuje od upravljanja rizikom po bezbednost informacija. Kao rezultat toga, ISMS se ne može koristiti jedan na jedan kao PIMS sa svojim procesima specifičnim za zaštitu podataka. Ipak, postoje mogućnosti za integraciju tako da se, na primer, može obaviti zajednički interni audit.

Upravljanje zaštitom podataka: ISO 27701 sertifikacija

Što se tiče sertifikacije, novi standard ISO 27701 će u budućnosti dopuniti ISO 27001 – i to će biti prvi standard koji potvrđuje zaštitu podataka sertifikatom. U tu svrhu, DQS je trenutno u procesu akreditacije kod nemačkog tijela za akreditaciju (DAkkS) i očekuje da će uskoro dobiti odobrenje. Budući da je ISO 27701 dizajniran kao proširenje ISO 27001, sistem upravljanja zaštitom podataka prema ISO 27701 ne može se sertifikovati bez sistema upravljanja bezbednošću informacija prema ISO 27001.

ISO 27701: Veliki korak prema zaštiti podataka

Svako ko je razvio i implementirao sistem upravljanja zaštitom podataka (PIMS) u skladu sa standardom ISO 27701 – drugim rečima, svako ko sistematski štiti i upravlja svojim ličnim podacima – lako će osigurati i pokazati usaglašenost sa zakonskim zahtevima. Kompanije mogu koristiti novi standard za uspostavljanje bezbednosti informacija u velikoj meri usaglašene sa zahtevima za zaštitu podataka, kao i odgovarajućom zaštitom podataka.

Kreiranje jasnih odgovornosti ISO 27701

Prilikom implementacije novog ISO standarda, kompanije ne mogu izbeći definisanje jasnih odgovornosti u oblasti zaštite podataka. Ovu prednost ne treba potceniti. U većini kompanija bez sistematskog upravljanja zaštitom podataka, odgovornosti se prečesto formulišu na blag način iz pogrešno shvaćene ljubaznosti („Možete li ovo preuzeti u budućnosti?“). Ili se odgovornosti dele, pod motom "Zajedno ćemo!" I jedno i drugo neminovno dovodi do toga da na kraju niko ne preuzme odgovornost. Uz dobro strukturiran sistem upravljanja zaštitom podataka, postoje jasne smernice, a to je neprocenjivo.

"Suština je da svaka kompanija zaista ima koristi od sistematizacije svoje zaštite podataka - u svim industrijama i veličinama kompanija."

Stephan Rehfeld, ekspert i auditor zaštite podataka u DQS

Novi ISO standard se ni u kom slučaju ne zasniva samo na principima Opšte uredbe o zaštiti podataka, već je namenjen i podršci kompanijama u usaglašavanju sa globalnim standardima zaštite podataka. Cilj je uspostaviti, implementirati, održavati i kontinuirano poboljšavati PIMS.

Još jedna prednost: Orjentacija ka riziku

Postoji još jedan plus u korist integracije ISO 27701 sa ISO 27001. Uvođenjem ISO 27701 kompanije su praktično „prinuđene“ da zauzmu pristup orijentisan na rizik u zaštiti ličnih podataka. Ovo uključuje, na primer, potpuno definisanje i analizu rizika i procenu vjerovatnoće s kojom će se oni pojaviti.

Ova analiza rizika tada predstavlja polaznu tačku za smanjenje konkretnog potencijala štete na prihvatljiv nivo. Uzgred, nalazimo i ovaj divno pragmatičan pristup u sličnoj formi sa GDPR-om, tako da je krug zatvoren i u smislu praktične relevantnosti.

Na prvi pogled: Prednosti ISO 27701

 

  • ISO 27701 formuliše zahteve za sistem upravljanja informacijama o privatnosti.
  • Sa ISO 27701 možete identifikovati, analizirati i minimizirati sigurnosne rizike u zaštiti podataka u celokupnom kontekstu vašeg upravljanja bezbednošću informacija.
  • Uz ISO 27001, ISO 27701 je prvi međunarodni standard koji se može sertifikovti i koji potvrđuje zaštitu podataka sertifikatom (uskoro: DAkkS-akreditovani sertifikat DQS-a).
  • ISO 27701 je važan razvoj za zaštitu podataka u Evropi i na međunarodnom nivou.

 

Zaključak: Sistematski i struktuirani pristup zaštiti podataka

Ako želite sigurno da se krećete kroz gomilu nacionalnih i međunarodnih propisa o zaštiti podataka, ne možete izbjeći pristup temi na strukturisan i sistematičan način. U tom kontekstu, ISO 27701 nudi visoku dodatnu vrednost.

Zaštitu podataka i bezbednost informacija mogu savladati i srednja preduzeća, jer pruža odličan nacrt za zaštitu podataka u skladu sa propisima. Ovo uključuje sveobuhvatnu kolekciju najboljih praksi koje kompanije mogu koristiti da sa sigurnošću dokumentuju da sprovode procenu uticaja prilikom rukovanja osetljivim podacima.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch

Rado ćemo odgovoriti na vaša pitanja

Koji su zahtevi za ISO 27701 sertifikaciju i koji su troškovi? Saznajte. Besplatno i bez obaveza.

Radujemo se vašem upitu

DQS: Simply leveraging Quality.

U interakciji dinamike i stabilnosti, sertifikovani sistemi upravljanja postaju sve važniji - razvoj koji DQS oseća na pozitivan način, iz razloga što uspešne kompanije i organizacije koriste nalaze naših audita kako bi kontinuirano poboljšavale svoje rezultate. Takođe koriste naše globalno priznate sertifikate kao objektivan dokaz svoje sposobnosti kvaliteta. Ovo stvara, kako interno tako i eksterno, poverenje prema vašoj kompaniji.

Ekspertiza i poverenje

Naše tekstove i brošure pišu isključivo naši stručnjaci za standarde ili dugogodišnji auditori. Ako imate bilo kakvih pitanja za našeg autora, o tekstualnom sadržaju ili našim uslugama, kontaktirajte DQS posvećeni tim.

Autor
Holger Schmeken

Produkt menadžer i ekspert za bezbednost informacija i razvoj softvera. Holger Schmeken takođe doprinosi svojoj stručnosti kao auditor za ISO 27001 sa kompetencijom za KRITIS proceduru audita.

Pitanja?

Tu smo za vas.
Kontaktirajte nas.