Nhiều công ty đang tìm kiếm một chứng chỉ để chứng minh các biện pháp phòng ngừa bảo vệ dữ liệu thận trọng và hiệu quả. Quy định bảo vệ dữ liệu chung của EU cũng cung cấp chứng nhận bảo vệ dữ liệu. Với ISO 27701, một tiêu chuẩn mới để chứng minh việc thực hiện các quy định bảo vệ dữ liệu đã được xuất bản vào tháng 8 năm 2019. Tiêu chuẩn quốc tế mới này hiện cũng có thể được chứng nhận.
NỘI DUNG
- Có gì trong ISO 27701?
- ISMS và PIMS: Điểm tương đồng và khác biệt
- Mục tiêu bảo vệ dữ liệu và mục tiêu bảo mật thông tin: Điểm giống và khác nhau
- Chứng nhận ISO 27701 trong tầm với
- ISO 27701: Một bước tiến lớn đối với việc bảo vệ dữ liệu
- Tạo trách nhiệm rõ ràng
- Điểm cộng: Định hướng rủi ro
- Sơ lược: Ưu điểm của ISO 27701
- Kết luận: Một cách tiếp cận có hệ thống và có cấu trúc để bảo vệ dữ liệu
- DQS: Simply leveraging Quality.
Bảo vệ dữ liệu như một phần bổ sung cho hệ thống quản lý
Lý tưởng nhất là quản lý bảo vệ dữ liệu được thiết kế với sự trợ giúp của tiêu chuẩn quốc tế, song song với ISO 27001. Tiêu chuẩn nổi tiếng ISO/IEC 27001 giải quyết các yêu cầu đối với hệ thống quản lý bảo mật thông tin (ISMS) và cũng có thể được chứng nhận cho lĩnh vực ứng dụng này. Tiêu chuẩn ISO/IEC 27701 mới về quản lý bảo vệ dữ liệu được xây dựng dựa trên ISO 27001 và bổ sung các tiêu chí bảo vệ dữ liệu cho tiêu chuẩn này. Tiện ích mở rộng này tích hợp các yêu cầu đối với hệ thống quản lý thông tin bảo vệ dữ liệu (DSMS hoặc Hệ thống quản lý thông tin bảo mật, PIMS) vào ISMS.
Tiêu đề đầy đủ của tiêu chuẩn bảo vệ dữ liệu quốc tế là:
ISO/IEC 27701:2019 - Kỹ thuật bảo mật - Mở rộng sang ISO/IEC 27001 và ISO/IEC 27002 để quản lý thông tin riêng tư - Yêu cầu và hướng dẫn.
Tiêu chuẩn có sẵn trên trang web ISO.
Giống như ISO 27001, ISO 27701 cũng tính đến cách tiếp cận hệ thống quản lý và đề cập đến cấu trúc cơ bản của các tiêu chuẩn hệ thống quản lý hiện đại, Cấu trúc bậc cao (HLS).
"Kinh nghiệm cho thấy rằng bất kỳ tổ chức nào đã triển khai hoặc chứng nhận một số tiêu chuẩn ISO đều có thể tích hợp ISO 27701 rất dễ dàng nhờ Cấu trúc bậc cao. Tất nhiên, kịch bản thông thường ở đây là đưa ISO 27701 vào ISO 27001."
Stephan Rehfeld, chuyên gia bảo vệ dữ liệu và đánh giá viên tại DQS
Tiêu chuẩn quốc tế mới là một phần của ISO 29100, bao gồm tất cả các nguyên tắc bảo vệ dữ liệu. Ban đầu nó có tiêu đề là ISO 27552, nhưng sau đó được đổi tên thành ISO 27701. Cơ sở của việc này là quyết định của Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) về việc tất cả các tiêu chuẩn chính có thể chứng nhận đều kết thúc bằng 01.
Quản lý bảo vệ dữ liệu: Có gì trong ISO 27701?
Thay vì "bảo mật thông tin", tiêu chuẩn bảo vệ dữ liệu mới nói về "bảo mật thông tin và bảo vệ dữ liệu". Hơn nữa, có những bổ sung cho nội dung. Ví dụ: khi xem xét bối cảnh của tổ chức, cần phải đưa vào các luật bảo vệ dữ liệu liên quan và các quyết định tư pháp. Tương tự như vậy, các tiêu chí để xử lý dữ liệu cá nhân phải được tính đến trong quá trình đánh giá rủi ro - luôn lưu ý đến việc bảo vệ những người bị ảnh hưởng và đánh giá tác động có thể xảy ra.
Ngoài ra, ISO 27701 bao gồm các phần bổ sung cho ISO 27002, hướng dẫn triển khai các biện pháp từ Phụ lục A của ISO 27001.
Tiêu chuẩn ISO cũng cung cấp hướng dẫn sau về quản lý bảo vệ dữ liệu:
- Mở rộng hướng dẫn và chính sách để bao gồm các khía cạnh bảo vệ dữ liệu.
- Bổ nhiệm người chịu trách nhiệm (nhân viên bảo vệ dữ liệu) trong công ty về hệ thống quản lý thông tin riêng tư
- Đào tạo bảo vệ dữ liệu cho nhân viên
- Ghi nhật ký truy cập và thay đổi
- Mã hóa, ví dụ như các loại dữ liệu cá nhân đặc biệt như dữ liệu sức khỏe
- Xem xét nguyên tắc "Quyền riêng tư theo thiết kế"
- Xem xét các sự cố bảo mật đối với các vi phạm quyền riêng tư dữ liệu
Quản lý bảo vệ dữ liệu với ISO 27701
Bảo vệ dữ liệu trong bối cảnh bảo mật thông tin - một chủ đề thú vị? Kiến thức chuyên môn khác về tiêu chuẩn ISO 27701 trong Sách trắng miễn phí của chúng tôi.
Phụ lục của ISO 27701 chứa bảng phân bổ chi tiết các biện pháp theo yêu cầu của GDPR. Ở đây có thể thấy rõ ảnh hưởng của Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu đối với tiêu chuẩn quốc tế về bảo vệ dữ liệu này.
ISMS and PIMS: Điểm tương đồng và khác biệt
Hệ thống quản lý bảo mật thông tin (ISMS) và hệ thống quản lý thông tin riêng tư (PIMS) được kết hợp chặt chẽ với nhau.
Quyền riêng tư và bảo mật dữ liệu liên quan đến dữ liệu cá nhân. Loạt tiêu chuẩn ISO 27000 chủ yếu nhằm bảo vệ thông tin, với dữ liệu cá nhân là một tập hợp con. Vì vậy, quan điểm xác định xem điều gì đó là vi phạm dữ liệu hay sự cố bảo mật thông tin hay thậm chí là cả hai?
"Lợi ích của ISO 27701? Nó tập trung vào các khía cạnh bảo vệ dữ liệu trong hệ thống quản lý bảo mật thông tin!"
Stephan Rehfeld, chuyên gia bảo vệ dữ liệu và đánh giá viên tại DQS
Khi thuật ngữ "bảo mật thông tin" được sử dụng trong ISO 27001 hoặc ISO 27002, thuật ngữ này được gọi là "bảo mật thông tin và bảo vệ dữ liệu" trong ISO 27701. Việc bổ sung này làm cho việc bảo vệ dữ liệu trở thành một phần của hệ thống quản lý bảo mật thông tin.
Tuy nhiên, cũng có những sai lệch trong đó PIMS hoạt động khác với ISMS. Một ví dụ: sự hiểu biết khác nhau về bối cảnh của tổ chức. Trong ISO 27701, trong Điều 4.1, có một yêu cầu bổ sung đối với ISO 27001 rằng "tổ chức phải xác định vai trò của mình là bên chịu trách nhiệm hoặc người kiểm soát chung đối với các trách nhiệm chung và/hoặc là bên xử lý hợp đồng."
Yêu cầu này không có trong Hệ thống quản lý bảo mật thông tin vì ISMS không nhận ra sự khác biệt giữa "Bộ điều khiển" và "Bộ xử lý". Do đó, ISO 27701 chứa hai phụ lục bổ sung với các biện pháp bảo vệ dữ liệu dành riêng cho "bộ kiểm soát" và "bộ xử lý".
Mục tiêu bảo vệ dữ liệu và mục tiêu bảo mật thông tin: Điểm giống và khác nhau
ISO 29100 xác định các nguyên tắc bảo vệ dữ liệu mà hệ thống quản lý của chính công ty phải đáp ứng. Điều 5 của Quy định chung về bảo vệ dữ liệu (GDPR) cho biết những mục tiêu bảo vệ dữ liệu nào sẽ đạt được với các điều khoản hoạt động của GDPR. Các nguyên tắc và mục tiêu phần lớn là phù hợp. Điều này là do OECD đã xác định các mục tiêu bảo vệ dữ liệu vào năm 1980. Những mục tiêu này được dùng làm cơ sở cho cả ISO 29100 và GDPR.
Trong Hệ thống quản lý bảo mật thông tin (ISMS), các mục tiêu bảo mật thông tin được tìm thấy là tính bảo mật, tính toàn vẹn, tính sẵn sàng. Điều này cũng được tìm thấy trong Điều 5 và Điều 32 DS-GVO tương ứng. Tuy nhiên, một điểm khác biệt chính là định nghĩa về "các bên quan tâm" trong ISMS. Điều này bao gồm, ví dụ, nhân viên, khách hàng, nhà cung cấp, nhà đầu tư hoặc chính quyền của chính công ty. Mặt khác, trong bảo vệ dữ liệu, bên quan tâm chỉ là chủ thể dữ liệu.
Do đó, quản lý rủi ro bảo vệ dữ liệu cũng khác với quản lý rủi ro bảo mật thông tin. Do đó, ISMS không thể được sử dụng trực tiếp như một PIMS với các quy trình dành riêng cho việc bảo vệ dữ liệu của nó. Tuy nhiên, có những cơ hội để tích hợp, ví dụ, có thể diễn ra các cuộc đánh giá nội bộ chung.
Quản lý bảo vệ dữ liệu: Chứng nhận ISO 27701 trong tầm tay
Về chứng nhận, tiêu chuẩn ISO 27701 mới sẽ bổ sung cho ISO 27001 trong tương lai - và nó sẽ là tiêu chuẩn đầu tiên xác nhận việc bảo vệ dữ liệu bằng chứng chỉ. Để đạt được mục tiêu này, DQS hiện đang trong quá trình công nhận với Cơ quan Công nhận Đức (DAkkS) và hy vọng sẽ sớm nhận được sự chấp thuận. Vì ISO 27701 được thiết kế như một phần mở rộng của ISO 27001, hệ thống quản lý bảo vệ dữ liệu theo ISO 27701 không thể được chứng nhận nếu không có hệ thống quản lý bảo mật thông tin theo ISO 27001.
ISO 27701: Một bước tiến lớn đối với quản lý bảo vệ dữ liệu
Bất kỳ ai đã phát triển và triển khai hệ thống quản lý bảo vệ dữ liệu có hệ thống (PIMS) theo ISO 27701 - nói cách khác, bất kỳ ai bảo vệ và quản lý dữ liệu cá nhân của họ một cách có hệ thống - sẽ thấy dễ dàng đảm bảo và chứng minh việc tuân thủ các yêu cầu pháp lý. Các công ty có thể sử dụng tiêu chuẩn mới để thiết lập bảo mật thông tin tuân thủ bảo vệ dữ liệu phần lớn và bảo vệ dữ liệu tương ứng.
Tạo trách nhiệm rõ ràng với ISO 27701
Khi triển khai tiêu chuẩn ISO mới, các công ty không thể tránh khỏi việc xác định trách nhiệm rõ ràng trong lĩnh vực bảo vệ dữ liệu. Không nên đánh giá thấp lợi thế này. Ở hầu hết các công ty không có hệ thống quản lý bảo vệ dữ liệu có hệ thống, các trách nhiệm thường được đặt ra một cách nhẹ nhàng vì sự lịch sự bị hiểu lầm ("Bạn có thể đảm nhận việc này trong tương lai không?"). Hay trách nhiệm được chia sẻ, theo phương châm "We'll do it together!" Cả hai chắc chắn dẫn đến không ai chịu trách nhiệm cuối cùng. Với một hệ thống quản lý bảo vệ dữ liệu có cấu trúc tốt, có các hướng dẫn rõ ràng và đó là điều vô giá.
"Điểm mấu chốt là mọi công ty đều thực sự được hưởng lợi từ việc hệ thống hóa việc bảo vệ dữ liệu của mình - trên tất cả các ngành và quy mô công ty."
Stephan Rehfeld, chuyên gia bảo vệ dữ liệu và đánh giá viên tại DQS
Tiêu chuẩn ISO mới hoàn toàn không chỉ dựa trên các nguyên tắc của Quy định chung về bảo vệ dữ liệu mà còn nhằm hỗ trợ các công ty tuân thủ các tiêu chuẩn bảo vệ dữ liệu toàn cầu. Mục tiêu là thiết lập, thực hiện, duy trì và liên tục cải tiến PIMS.
Một lợi thế khác: Định hướng rủi ro
Có một điểm cộng khác ủng hộ việc tích hợp ISO 27701 với ISO 27001. Với việc giới thiệu ISO 27701, các công ty hầu như "bị buộc" phải thực hiện phương pháp tiếp cận theo định hướng rủi ro để bảo vệ dữ liệu cá nhân. Điều này bao gồm, ví dụ, xác định đầy đủ và đánh giá rủi ro và ước tính xác suất mà chúng sẽ xảy ra.
Đánh giá rủi ro này sau đó hình thành điểm khởi đầu để giảm khả năng thiệt hại cụ thể xuống mức chấp nhận được. Ngẫu nhiên, chúng tôi cũng tìm thấy cách tiếp cận thực dụng tuyệt vời này ở dạng tương tự với GDPR, do đó vòng tròn cũng được đóng lại về mức độ phù hợp thực tế.
Sơ lược: Ưu điểm của ISO 27701
- ISO 27701 xây dựng các yêu cầu đối với hệ thống quản lý thông tin riêng tư.
- Với ISO 27701, bạn có thể xác định, đánh giá và giảm thiểu rủi ro bảo mật trong việc bảo vệ dữ liệu trong bối cảnh tổng thể về quản lý bảo mật thông tin của mình.
- Ngoài ISO 27001, ISO 27701 là tiêu chuẩn quốc tế có thể chứng nhận đầu tiên xác nhận bảo vệ dữ liệu bằng chứng chỉ (sắp tới: chứng chỉ được DAkkS công nhận từ DQS).
- ISO 27701 là một bước phát triển quan trọng để bảo vệ dữ liệu ở Châu Âu và quốc tế.
Kết luận: Một cách tiếp cận có hệ thống và có cấu trúc để quản lý bảo vệ dữ liệu
Nếu bạn muốn điều hướng một cách an toàn thông qua các quy định bảo vệ dữ liệu quốc gia và quốc tế, bạn không thể tránh tiếp cận chủ đề một cách có cấu trúc và có hệ thống. Trong bối cảnh này, ISO 27701 mang lại giá trị gia tăng cao.
Do đó, việc bảo vệ dữ liệu và bảo mật dữ liệu cũng có thể được các công ty cỡ trung bình làm chủ và cung cấp một kế hoạch chi tiết tuyệt vời để bảo vệ dữ liệu tuân thủ quy định. Điều này bao gồm một bộ sưu tập toàn diện các phương pháp hay nhất mà các công ty có thể sử dụng để chứng minh một cách chắc chắn rằng họ đang thực hiện thẩm định khi xử lý dữ liệu quan trọng.
Chúng tôi rất vui khi được trả lời những câu hỏi của bạn
Các yêu cầu để được chứng nhận ISO 27701 là gì và chi phí là bao nhiêu?Tìm hiểu miễn phí
DQS: Simply leveraging Quality.
Trong sự tương tác giữa tính năng động và tính ổn định, các hệ thống quản lý được chứng nhận ngày càng trở nên quan trọng hơn - một sự phát triển mà DQS cảm nhận một cách tích cực. Điều này là do các công ty và tổ chức thành công sử dụng những phát hiện từ các cuộc đánh giácủa chúng tôi để liên tục cải thiện kết quả của họ. Họ cũng sử dụng các chứng chỉ được công nhận trên toàn cầu của chúng tôi làm bằng chứng khách quan về năng lực chất lượng của họ. Điều này tạo ra sự tin tưởng - cả bên trong và bên ngoài đối với công ty của bạn.
Chuyên môn và sự tin tưởng
Các văn bản và tài liệu quảng cáo của chúng tôi được viết độc quyền bởi các chuyên gia tiêu chuẩn hoặc đánh giá viên lâu năm của chúng tôi. Nếu bạn có bất kỳ câu hỏi nào về nội dung văn bản hoặc dịch vụ của chúng tôi đối với tác giả của chúng tôi, vui lòng liên hệ với chúng tôi.
Bản tin DQS
Holger Schmeken
Giám đốc sản phẩm và chuyên gia về bảo mật thông tin và phát triển phần mềm. Holger Schmeken cũng đóng góp chuyên môn của mình với tư cách là chuyên gia đánh giá ISO 27001 với năng lực thủ tục đánh giá KRITIS và Giám đốc An ninh Thông tin của DQS BIT GmbH.