Norma ISO 27701:2019 slouží organizacím jako potvrzení, že jsou v souladu s předpisy o ochraně údajů, a představuje rozšíření dobře známé ISO 27001. ISO 27701:2019 doplňuje systém řízení informační bezpečnosti (ISMS) o řadu základních aspektů ochrany údajů.
Oficiální název normy zní: „ISO/IEC 27701: 2019-08 - Informační technologie - Bezpečnostní postupy - Rozšíření ISO/IEC 27001 a ISO/IEC 27002 management ochrany údajů - Požadavky a směrnice“.
Jak už ukazuje samotný název standardu, ochrana údajů a bezpečnost informací spolu velmi úzce souvisí. I z tohoto důvodu došlo k začlenění ochrany údajů do rodiny norem ISO 27000. Tyto standardy i společný systém řízení jsou založeny na zásadách důvěrnosti, integrity a dostupnosti dat a informací. Vzájemné působení všech těchto standardů není žádným překvapením, i proto se doporučuje jejich společná implementace.
ISO 27701 poskytuje kromě ISMS dle ISO 27001 také konkrétní pokyny pro implementaci systému řízení osobních údajů (PIMS - Personal Information Management Systems) a to právě jako nedílnou součást stávajícího ISMS. PIMS dává organizacím větší kontrolu nad osobními údaji, nabízí jim možnost spravování osobních údajů a jejich sdílení s ostatními uživateli, samozřejmě vždy s ohledem na přání a požadavky subjektů údajů.
Díky systému řízení dle ISO 27701 dochází k dalšímu systematickému rozvoji organizace, včetně optimalizace procesů v oblasti ochrany dat, což by mělo být efektivně podpořeno interními i externími audity.
Výhody certifikace jsou tedy jasné:
- ISO 27701 nabízí kontrolní nástroj a systém pro oblast ochrany údajů, které je třeba řešit, a pro nakládání s osobními údaji, jež si zaslouží ochranu.
- Certifikace slouží jako doklad o zpracování citlivých údajů v souladu s GDPR i se zákonem o ochraně údajů.
- Přístup založený na riziku pomůže v rané fázi identifikovat a předcházet hrozbám souvisejícím s odpovědností organizace.
- Integrovaný přístup PIMS k zabezpečení informací a soukromí nabízí řadu výhod integrovaných systémů řízení jako např.: rychlá implementace, společné řízení rizik a výrazné zvýšení efektivity díky mnoha synergiím.
Jako jeden z prvních mezinárodně akreditovaných poskytovatelů nabízí CIS certifikát pro správu ochrany dat podle ISO 27701 - jakožto doplněk k ISO 27001. Certifikát vytváří důvěru, interně i externě, a je jasným signálem, že daná organizace nakládá s osobními údaji dle evropských i národních předpisů.
- zvýšení právní jistoty a transparentnosti
- zajištění spolehlivých mechanismů ochrany údajů
- zvýšení kompetence v oblasti ochrany údajů
- minimalizace rizika narušení dat a jejich následků
- budování důvěry mezi stávajícími a potenciálními zákazníky
Tento mezinárodní standard je vhodný pro organizace všech velikostí i zaměření, které požadují komplexní ochranu dat a informací - bez ohledu na odvětví a typ společnosti.
Předpokladem pro úspěšnou certifikaci podle ISO 27701 je platný certifikát ISO 27001. Vzhledem k tomu, že obsahově jsou si oba dva standardy velmi blízké, je možné rozšíření ochrany dat postavit na stávajícím systému a struktuře. V mnoha případech to pro dotčené společnosti znamená jen malé množství práce navíc. Zejména u organizací, které již pracují v souladu s GDPR, lze předpokládat, že velká část požadavků a opatření již byla implementována, protože ISO 27701 je do značné míry spojena právě s nařízeními GDPR.
- ISO/IEC 27001, respektive ISO/IEC 27002
- ISO/IEC 27018
- ISO/IEC 29100 a ISO/IEC 29151
- GDPR
Jako akreditovaný certifikační partner se CIS specializuje na bezpečnost informací, ochranu dat, IT služby, cloud computing, datová centra a správu kontinuity podnikání. Certifikáty CIS jsou celosvětově respektovány. Díky tomu často slouží jako významný benefit při získávání veřejných i soukromých zakázek a jako odrazový můstek při zahajování mezinárodní spolupráce či procesu mezinárodního uznávání. Důvodem je akreditace CIS udělená rakouským Spolkovým ministerstvem pro digitalizaci a hospodářství (Bundesministerium für Digitalisierung und Wirtschaftsstandort) a mezinárodní akreditace od APMG.
Vedle toho přináší proces certifikace skutečně přidanou hodnotu pro organizaci. V průběhu celého certifikačního projektu přinášejí naši auditoři jejich odborné znalosti a zkušenosti, z nichž může organizace dále čerpat. Nejvýznamnějšími nástroji jsou v tomto ohledu Stage Review a Stage One Audit, který funguje jako „generálka“ pro samotný certifikační audit. Díky tomu jsou organizace optimálně připraveny úspěšně dokončit proces certifikace hned napoprvé.
Team
Ing. Matúš Kisela, Ph.D.
regionální zástupce SK, produktový specialista pro oblast integrovaných systémů řízení a informační bezpečnost odeslat e-mail
