Tổ chức Tiêu chuẩn hóa Quốc tế đã xuất bản tiêu chuẩn cho hệ thống quản lý bảo vệ dữ liệu chung (DSMS) vào năm 2019. ISO / IEC 27701 mô tả một DSMS dựa trên hệ thống quản lý an toàn thông tin phù hợp với ISO 27001. Dạng DSMS đặc biệt này được gọi là hệ thống quản lý thông tin cá nhân (PIMS). Những điều cơ bản cho PIMS này được mô tả bên dưới. Trong quá trình này, nó đã được tìm ra năm lợi thế chính mà PIMS mang lại cho các công ty. Sách trắng miễn phí cung cấp thêm hướng dẫn về việc triển khai thực tế.

Loading...

Bảo vệ dữ liệu và bảo mật thông tin

Ngay cả trong bối cảnh an toàn thông tin, bảo vệ dữ liệu không phải là một dự án một lần được bắt đầu, chạy qua và hoàn thành. Chính xác là trường hợp ngược lại. Bảo vệ dữ liệu hoạt động là một số quy trình bảo vệ dữ liệu phải có sẵn vĩnh viễn và có thể thực hiện được trong các tổ chức hoặc có thể được kích hoạt bởi trình kích hoạt. Ví dụ quan trọng về điều này là hai quy trình bảo vệ dữ liệu "đảm bảo quyền của chủ thể dữ liệu" và "ứng phó với các sự cố bảo vệ dữ liệu".

Trong thế giới bảo vệ dữ liệu, việc sử dụng hệ thống quản lý bảo vệ dữ liệu (DSMS) được coi là vấn đề quan trọng để giải quyết các vấn đề về bảo vệ dữ liệu của các tổ chức. Tại sao cái này rất? Câu trả lời là tương đối đơn giản:

Hệ thống quản lý bảo vệ dữ liệu là khuôn khổ và trình điều khiển bảo vệ dữ liệu hoạt động mà các tổ chức phải tuân thủ vĩnh viễn.

Stephan Rehfeld Chuyên gia GDPR và chuyên gia đánh giá tại DQS

Kể từ ngày 25 tháng 5 năm 2018, Quy định chung về bảo vệ dữ liệu của Châu Âu (GDPR) chỉ đơn giản là cung cấp các quy tắc cho DSMS. Nó đưa ra các yêu cầu pháp lý nghiêm ngặt về những gì được phép hoặc bị cấm (Quy tắc kinh doanh). Các hình phạt DS-GVO (Luật bảo vệ dữ liệu cơ bản của Đức) bắt nguồn từ việc này. Tuy nhiên, nó không đưa ra bất kỳ tuyên bố nào về cách thực hiện các yêu cầu bảo vệ dữ liệu hợp pháp.

 

Bảo vệ dữ liệu và bảo mật thông tin - hệ thống quản lý là gì?

Định nghĩa của một hệ thống quản lý là trừu tượng và không thể vận hành một cách bất thường. Tiêu chuẩn ISO / IEC 27000: 2020 định nghĩa hệ thống quản lý là một ...

"Tập hợp các yếu tố có liên quan và tương tác với nhau của một tổ chức (3.50) để thiết lập các chính sách (3.53), mục tiêu (3.49) và quá trình (3.54) để đạt được các mục tiêu đó."

Chỉ khi các yếu tố của hệ thống quản lý được xác định chi tiết hơn, mới có thể đưa ra tuyên bố về việc liệu các yêu cầu nghiêm ngặt về bảo vệ dữ liệu hoạt động và pháp lý của GDPR có được đáp ứng với hệ thống quản lý cụ thể tại chỗ hay không. Tuyên bố rằng hệ thống quản lý bảo vệ dữ liệu được vận hành không cho thấy chất lượng của DSMS hoặc trạng thái triển khai.

ISO 27701 - Quản lý bảo vệ dữ liệu

Bảo vệ dữ liệu trong bối cảnh bảo mật thông tin - một chủ đề thú vị? Có thêm kiến thức chuyên môn về tiêu chuẩn ISO 27701 trong sách trắng miễn phí của chúng tôi.

Cấu trúc Cấp cao như một bản thiết kế cho các hệ thống quản lý

Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) đã tạo ra một kế hoạch chi tiết cho các hệ thống quản lý được gọi là Cấu trúc Cấp cao (HLS). Cấu trúc cơ bản này chứa tất cả các yếu tố mà ISO cho là có liên quan đối với hệ thống quản lý (Phụ lục 2 của Phụ lục SL của Chỉ thị ISO / IEC, Phần 1). Vì lý do này, các cơ chế cơ bản của các tiêu chuẩn hệ thống quản lý rất giống nhau.

DSMS cụ thể của ISO, Hệ thống quản lý thông tin cá nhân (PIMS), do đó có cơ sở giống hệt nhau như hệ thống quản lý chất lượng theo ISO 9001, hệ thống quản lý môi trường theo ISO 14001 hoặc hệ thống quản lý an toàn thông tin theo ISO 27001.

 

Bảo vệ dữ liệu và bảo mật thông tin - tích hợp GDPR vào hệ thống quản lý

PIMS phù hợp với tiêu chuẩn quốc tế ISO / IEC 27701 là phổ biến và không chỉ phù hợp với Quy định bảo vệ dữ liệu chung của Châu Âu. Tiêu chuẩn mô tả hệ thống quản lý bảo vệ dữ liệu dựa trên hệ thống quản lý an ninh thông tin phù hợp với ISO 27001, làm cho ISO 27701 phù hợp để triển khai mọi hoạt động bảo vệ dữ liệu cá nhân, bao gồm cả luật bảo vệ dữ liệu của California hoặc Nhật Bản.

ISO / IEC 27701: 2021-07- Kỹ thuật bảo mật - Mở rộng sang ISO / IEC 27001 và ISO / IEC 27002 để quản lý thông tin quyền riêng tư - Yêu cầu và hướng dẫn (ISO / IEC 27701: 2019).Tiêu chuẩn có sẵn từ trang web của ISO.

NHƯNG: Những người đã phát triển và triển khai PIMS phù hợp với tiêu chuẩn bảo vệ dữ liệu - nói cách khác, những người bảo vệ và quản lý dữ liệu cá nhân của họ một cách có hệ thống - thấy dễ dàng đảm bảo và chứng minh việc tuân thủ các yêu cầu bảo vệ dữ liệu hợp pháp. Điều này được thực hiện thông qua cơ chế quản lý hệ thống quản lý yêu cầu. Quản lý các yêu cầu là quá trình xác định và đánh giá các yêu cầu bên trong và bên ngoài và thực hiện các biện pháp để giải quyết rủi ro.

 

Sự khác biệt giữa bảo vệ dữ liệu và bảo mật thông tin là gì?

Sự khác biệt cơ bản giữa hai chủ đề rất đơn giản: bảo mật thông tin bao gồm tất cả các tài sản doanh nghiệp được bảo quản và phục vụ để bảo vệ thông tin kinh doanh bí mật khỏi bị bên thứ ba sử dụng sai mục đích. Điều này liên quan nhiều hơn đến hệ thống CNTT. Khi nói đến bảo vệ dữ liệu, các biện pháp đều nhằm mục đích bảo vệ dữ liệu cá nhân. Kể từ tháng 5 năm 2018, Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu đã phải được thực hiện trên cơ sở ràng buộc trên toàn châu Âu - bởi tất cả các công ty và cơ quan nhà nước xử lý dữ liệu cá nhân.

Năm ưu điểm của quản lý bảo vệ dữ liệu

Trong mối quan hệ tác động qua lại giữa bảo mật thông tin và bảo vệ dữ liệu, một tiêu chuẩn phải luôn được hiểu là phương pháp tốt nhất. Người dùng phải thực hiện cụ thể các yêu cầu và biện pháp bảo mật dữ liệu.

Ưu điểm chung của PIMS là tiêu chuẩn hóa trên toàn thế giới thông qua tiêu chuẩn bảo vệ dữ liệu và tài liệu rộng rãi về việc thực hiện tiêu chuẩn. Phải thừa nhận rằng ngôn ngữ tiêu chuẩn "cần một số để làm quen với".

 

Lợi thế số 1: Phân công trách nhiệm

Dường như văn hóa doanh nghiệp giữa các doanh nghiệp nhỏ và vừa (SME) là phân công trách nhiệm không rõ ràng hoặc không rõ ràng. Có thể nhận thấy rằng trong nhiều chính sách của doanh nghiệp, trách nhiệm đối với các hoạt động hoặc tài sản nhất định không được xác định và giải quyết rõ ràng. Đây là một thiếu sót lớn và dẫn đến những lỗ hổng và sai sót trong hoạt động.

NHƯNG: Bảo vệ dữ liệu là một "môn thể thao đồng đội". Chỉ khi tất cả các nhiệm vụ được xác định và giao cho các bên có trách nhiệm và chỉ khi những cá nhân này cũng hoàn thành nhiệm vụ của mình, công ty của bạn mới có thể hoạt động theo cách tuân thủ bảo vệ dữ liệu.

"Bảo vệ dữ liệu là một "môn thể thao đồng đội": Phân chia trách nhiệm là tốt. Chịu trách nhiệm thì tốt hơn."

Bằng cách giới thiệu PIMS, nguyên tắc sở hữu phải được đưa vào tổ chức đối với phạm vi của tiêu chuẩn. Tuy nhiên, thuật ngữ chủ sở hữu không được hiểu ở đây theo nghĩa luật dân sự của nó. Thay vào đó, trong tiếng Đức của tiêu chuẩn, chủ sở hữu đề cập đến trách nhiệm của một người đối với tài sản hoặc việc thực hiện một yêu cầu hoặc biện pháp.

Ví dụ: Việc duy trì "Thư mục Hoạt động Xử lý (VVT)" thường được giao cho Cán bộ Bảo vệ Dữ liệu (DPO). Tất nhiên, điều này hoàn toàn vô nghĩa và không thể hoạt động vì DPO thường không tham gia vào nhiều hoạt động xử lý. Trong quản lý chất lượng, chủ sở hữu quy trình thực hiện việc lập tài liệu quy trình. Quản lý cao nhất cũng nên ủy quyền điều này trong việc bảo vệ dữ liệu.

Chứng chỉ theo tiêu chuẩn ISO 27701

Về mặt chứng nhận, ISO 27701 bổ sung cho tiêu chuẩn nổi tiếng ISO 27001 - đây sẽ là tiêu chuẩn đầu tiên xác nhận việc bảo vệ dữ liệu bằng chứng chỉ. DQS hiện đang trong quá trình công nhận với Cơ quan Công nhận Đức (DAkkS).

Ưu điểm # 2: Bảo vệ dữ liệu hoạt động theo định hướng rủi ro

Trong DS-GVO của Đức, nhà lập pháp Châu Âu yêu cầu triển khai bảo mật dữ liệu theo hướng rủi ro, ví dụ như trong Điều 32 (1) DS-GVO. Định hướng rủi ro này thường không hoạt động ở các công ty không có hệ thống quản lý được cài đặt chính thức. Việc áp dụng tiêu chuẩn bảo vệ dữ liệu ISO 27701 chắc chắn sẽ đưa ra định hướng rủi ro. Ở đây, phương pháp đánh giá rủi ro bảo mật dữ liệu không được quy định và người dùng có thể - trong giới hạn - có thể được xác định.

 

Lợi thế # 3: Quản lý thay đổi như một thành phần thành công

Quy trình bảo mật dữ liệu có thể được kích hoạt bởi sự thay đổi trong tổ chức. Ví dụ, việc thực hiện hoặc thích ứng của một quy trình kinh doanh, một dịch vụ hoặc một sản phẩm. Các công ty không có quản lý thay đổi gặp vấn đề lớn trong việc tuân thủ các yêu cầu bảo vệ dữ liệu, vì các thay đổi thường xuyên được xử lý theo cách ngẫu nhiên và không được kiểm soát. Điều này dẫn đến cái gọi là lỗ hổng quy định.

"Các công ty và tổ chức luôn thay đổi. Quản lý thay đổi cũng đóng một vai trò quan trọng trong việc bảo vệ dữ liệu và bảo mật thông tin."

PIMS ghi lại và kiểm soát những thay đổi này với sự trợ giúp của quản lý thay đổi và thực hiện chúng. Ví dụ, một thay đổi đối với quy trình kinh doanh yêu cầu kiểm tra tính cho phép (tính hợp pháp, nền kinh tế dữ liệu, quyền chủ thể dữ liệu, tài liệu trong VVT, v.v.).

Ví dụ: Yêu cầu về sự tham gia sớm của nhân viên bảo vệ dữ liệu trong việc thiết kế các thay đổi có thể đạt được khá đơn giản bằng cách chỉ định anh ta vào nhóm thay đổi.

 

Lợi thế số 4: Tối ưu hóa thông qua quá trình cải tiến liên tục

Các công ty luôn thay đổi. Bước đầu lập kế hoạch, triển khai và vận hành hệ thống quản lý thông tin cá nhân. Rất có thể nỗ lực đầu tiên để giới thiệu, triển khai và vận hành hệ thống sẽ không đạt hiệu quả cao do thiếu kinh nghiệm. Ngay cả khi một chuyên gia tư vấn có kinh nghiệm được tư vấn trong quá trình thực hiện, vẫn có thể mong đợi những vấp váp.

"Tiền đề: Đảm bảo an toàn thông tin và bảo vệ dữ liệu có hệ thống và bền vững."

Mặc dù về nguyên tắc, tất cả các PIMS đều có các cơ chế giống hệt nhau, nhưng chúng được thiết kế khác nhau. Ảnh hưởng đến việc thực hiện các cơ chế có thể là quy mô của tổ chức, văn hóa tổ chức, hoặc thậm chí là trọng tâm của ngành.

Một cơ chế phụ tốt để thích ứng vĩnh viễn PIMS với các nhu cầu thay đổi của tổ chức và các bên quan tâm là quá trình cải tiến liên tục (CIP).

Ví dụ: Quy định chung về bảo vệ dữ liệu yêu cầu một bảng thông tin thông báo cho khách hàng hoặc ví dụ: công dân tại thời điểm thu thập dữ liệu về bản chất và phạm vi của việc xử lý dữ liệu cá nhân và các quyền liên quan. Các phiếu thông tin này theo Điều 13 và 14 DS-GVO được xuất bản tuân theo quy định của pháp luật, tuy nhiên, có rất nhiều yêu cầu cung cấp thông tin này từ các đối tượng dữ liệu. Bằng cách đưa vào những đề xuất cải tiến này, công ty nhận thấy rằng họ có thể tiết kiệm tài nguyên và tăng sự hài lòng của khách hàng bằng cách tối ưu hóa việc xuất bản thông tin.

 

Lợi thế # 5: Danh mục chi tiết các biện pháp

Như đã mô tả trước đó, ISO 27701 không được điều chỉnh cho phù hợp với GDPR. Người dùng tiêu chuẩn có trách nhiệm thêm các yêu cầu cụ thể của GDPR vào PIMS.

Tuy nhiên, tiêu chuẩn quốc tế đưa ra ba danh mục mở rộng các biện pháp để thực hiện chung việc bảo vệ dữ liệu hoạt động:

Các biện pháp kỹ thuật và tổ chức,
Tổ chức bảo vệ dữ liệu tại bộ điều khiển, và
Tổ chức bảo vệ dữ liệu tại bộ xử lý.
Tin tốt cho người dùng châu Âu là các tác giả của tiêu chuẩn mới đã tập trung mạnh mẽ vào Quy định chung về bảo vệ dữ liệu khi thiết kế danh mục các biện pháp. Điều này có nghĩa là việc áp dụng danh mục chung các biện pháp đã lập bản đồ nhiều yêu cầu của GDPR. Các yêu cầu bị thiếu sau đó sẽ được quản lý yêu cầu theo dõi.

Các biện pháp này là các phương pháp thực hiện tốt nhất và được viết theo kiểu sách hướng dẫn. Ngược lại với GDPR (Quy tắc kinh doanh), các biện pháp giải thích cho người sử dụng tiêu chuẩn cách thức thực hiện phải diễn ra. Theo quan điểm của tác giả, đây là một lợi thế rất lớn.

 

Kết luận: Bảo vệ dữ liệu và bảo mật thông tin

Bất kỳ ai đã phát triển và triển khai hệ thống quản lý bảo vệ dữ liệu (DSMS) theo ISO 27701 - nói cách khác, bất kỳ ai bảo vệ và quản lý dữ liệu cá nhân của họ một cách có hệ thống - sẽ dễ dàng đảm bảo và chứng minh việc tuân thủ các yêu cầu pháp lý. Được áp dụng đúng cách, tiêu chuẩn có thể ngăn ngừa nhiều sai lầm trong việc giới thiệu và vận hành hệ thống DSMS.

"Lưu ý đến việc bảo vệ dữ liệu và bảo mật thông tin, ISO 27701 là cẩm nang được mong đợi từ lâu để thực hiện GDPR."

Tuy nhiên, chứng nhận PIMS sẽ chỉ có thể thực hiện được nếu hệ thống quản lý an ninh thông tin được chứng nhận theo ISO 27001 cũng được vận hành bởi công ty.

 

DQS: Simply leveraging Quality.

Các tiêu chuẩn của hệ thống quản lý cung cấp một khuôn khổ có hệ thống và có cấu trúc để tính đến các nghĩa vụ pháp lý và tích hợp chúng vào các quy trình kinh doanh. Các công ty muốn chơi nó an toàn có thể có trạng thái bảo mật thông tin của họ hoặc việc thực hiện tuân thủ DS-GVO được kiểm toán bởi một cơ quan độc lập như DQS.

Năng lực cốt lõi của chúng tôi nằm ở việc thực hiện các cuộc đánh giá và đánh giá chứng nhận. Điều này khiến chúng tôi trở thành một trong những nhà cung cấp hàng đầu trên toàn thế giới với tuyên bố luôn đặt ra các tiêu chuẩn mới về độ tin cậy, chất lượng và định hướng khách hàng. Đồng thời, một hệ thống quản lý được chứng nhận về bảo mật thông tin và bảo vệ dữ liệu là bằng chứng cho thấy công ty bạn cần mẫn và tầm nhìn xa trong trường hợp bị tấn công dữ liệu từ bên ngoài.

 

Tin tưởng và chuyên môn

Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn của chúng tôi hoặc các kiểm toán viên lâu năm. Nếu bạn có bất kỳ câu hỏi nào về nội dung hoặc các dịch vụ của chúng tôi đối với tác giả của chúng tôi, vui lòng liên hệ với chúng tôi. Chúng tôi mong chờ được nói chuyện với bạn.

Tác giả
Stephan Rehfeld

Giám đốc điều hành của "phạm vi & trọng tâm Dịch vụ-Gesellschaft mbH". Nhân viên bảo vệ dữ liệu bên ngoài và đánh giá viên bảo vệ dữ liệu lâu năm của DQS. Thành viên của nhóm làm việc "Công nghệ bảo vệ dữ liệu và quản lý danh tính" của DIN Đức, phó trưởng nhóm Trao đổi kinh nghiệm của Hiệp hội bảo vệ dữ liệu và bảo mật dữ liệu (GDD) của Đức tại Hannover.

Loading...

Các bài báo và sự kiện có liên quan

Có thể bạn cũng quan tâm tới điều này

KHÓA ĐÀO TẠO ĐÁNH GIÁ VIÊN TRƯỞNG ISO/IEC 27001:2022 (CQI and IRCA Certified Course)

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt

KHÓA ĐÀO TẠO NHẬN THỨC VÀ ĐÁNH GIÁ VIÊN NỘI BỘ ISO 27001:2022

Theo yêu cầu
Hà Nội & TP. Hồ Chí Minh (on-site/online) | Tiếng Việt