Norma ISO 27701:2019 slouží organizacím jako potvrzení, že jsou v souladu s předpisy o ochraně údajů, a představuje rozšíření dobře známé ISO 27001. ISO 27701:2019 doplňuje systém řízení informační bezpečnosti (ISMS) o řadu základních aspektů ochrany údajů.
Oficiální název normy zní: „ISO/IEC 27701: 2019-08 - Informační technologie - Bezpečnostní postupy - Rozšíření ISO/IEC 27001 a ISO/IEC 27002 management ochrany údajů - Požadavky a směrnice“.
Jak už ukazuje samotný název standardu, ochrana údajů a bezpečnost informací spolu velmi úzce souvisí. I z tohoto důvodu došlo k začlenění ochrany údajů do rodiny norem ISO 27000. Tyto standardy i společný systém řízení jsou založeny na zásadách důvěrnosti, integrity a dostupnosti dat a informací. Vzájemné působení všech těchto standardů není žádným překvapením, i proto se doporučuje jejich společná implementace.
ISO 27701 poskytuje kromě ISMS dle ISO 27001 také konkrétní pokyny pro implementaci systému řízení osobních údajů (PIMS - Personal Information Management Systems) a to právě jako nedílnou součást stávajícího ISMS. PIMS dává organizacím větší kontrolu nad osobními údaji, nabízí jim možnost spravování osobních údajů a jejich sdílení s ostatními uživateli, samozřejmě vždy s ohledem na přání a požadavky subjektů údajů.
Díky systému řízení dle ISO 27701 dochází k dalšímu systematickému rozvoji organizace, včetně optimalizace procesů v oblasti ochrany dat, což by mělo být efektivně podpořeno interními i externími audity.
Výhody certifikace jsou tedy jasné:
- ISO 27701 nabízí kontrolní nástroj a systém pro oblast ochrany údajů, které je třeba řešit, a pro nakládání s osobními údaji, jež si zaslouží ochranu.
- Certifikace slouží jako doklad o zpracování citlivých údajů v souladu s GDPR i se zákonem o ochraně údajů.
- Přístup založený na riziku pomůže v rané fázi identifikovat a předcházet hrozbám souvisejícím s odpovědností organizace.
- Integrovaný přístup PIMS k zabezpečení informací a soukromí nabízí řadu výhod integrovaných systémů řízení jako např.: rychlá implementace, společné řízení rizik a výrazné zvýšení efektivity díky mnoha synergiím.
Jako jeden z prvních mezinárodně akreditovaných poskytovatelů nabízí CIS certifikát pro správu ochrany dat podle ISO 27701 - jakožto doplněk k ISO 27001. Certifikát vytváří důvěru, interně i externě, a je jasným signálem, že daná organizace nakládá s osobními údaji dle evropských i národních předpisů.
- zvýšení právní jistoty a transparentnosti
- zajištění spolehlivých mechanismů ochrany údajů
- zvýšení kompetence v oblasti ochrany údajů
- minimalizace rizika narušení dat a jejich následků
- budování důvěry mezi stávajícími a potenciálními zákazníky
Tento mezinárodní standard je vhodný pro organizace všech velikostí i zaměření, které požadují komplexní ochranu dat a informací - bez ohledu na odvětví a typ společnosti.
Předpokladem pro úspěšnou certifikaci podle ISO 27701 je platný certifikát ISO 27001. Vzhledem k tomu, že obsahově jsou si oba dva standardy velmi blízké, je možné rozšíření ochrany dat postavit na stávajícím systému a struktuře. V mnoha případech to pro dotčené společnosti znamená jen malé množství práce navíc. Zejména u organizací, které již pracují v souladu s GDPR, lze předpokládat, že velká část požadavků a opatření již byla implementována, protože ISO 27701 je do značné míry spojena právě s nařízeními GDPR.
- ISO/IEC 27001, respektive ISO/IEC 27002
- ISO/IEC 27018
- ISO/IEC 29100 a ISO/IEC 29151
- GDPR
Jako akreditovaný certifikační partner se CIS specializuje na bezpečnost informací, ochranu dat, IT služby, cloud computing, datová centra a správu kontinuity podnikání. Certifikáty CIS jsou celosvětově respektovány. Díky tomu často slouží jako významný benefit při získávání veřejných i soukromých zakázek a jako odrazový můstek při zahajování mezinárodní spolupráce či procesu mezinárodního uznávání. Důvodem je akreditace CIS udělená rakouským Spolkovým ministerstvem pro digitalizaci a hospodářství (Bundesministerium für Digitalisierung und Wirtschaftsstandort) a mezinárodní akreditace od APMG.
Vedle toho přináší proces certifikace skutečně přidanou hodnotu pro organizaci. V průběhu celého certifikačního projektu přinášejí naši auditoři jejich odborné znalosti a zkušenosti, z nichž může organizace dále čerpat. Nejvýznamnějšími nástroji jsou v tomto ohledu Stage Review a Stage One Audit, který funguje jako „generálka“ pro samotný certifikační audit. Díky tomu jsou organizace optimálně připraveny úspěšně dokončit proces certifikace hned napoprvé.