Πιστοποίηση Συστημάτων Διαχείρισης

ISO/IEC 27701 Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας

UCERT

ΤΙ ΕΙΝΑΙ ΤΟ ISO/IEC 27701;

Το ISO/IEC 27701:2019 είναι μια επέκταση του διεθνούς προτύπου ISO/IEC 27001:2013 για διαχείριση των πληροφοριών ιδιωτικότητας.

Το ISO/IEC 27701:2019 καθορίζει τις απαιτήσεις –και παρέχει καθοδήγηση για τη δημιουργία, την εφαρμογή, τη συντήρηση και τη συνεχή βελτίωση– ενός Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας-ΣΔΠΙ (Privacy Information Management System-PIMS).

Το ISO/IEC 27701:2019 επεκτείνει τις απαιτήσεις και τα σημεία ελέγχου του ISO/IEC 27001:2013 και περιλαμβάνει επιπρόσθετες απαιτήσεις και σημεία ελέγχου για την προστασία του απορρήτου των πληροφοριών που σχετίζονται με την ιδιωτική ζωή ενός φυσικού προσώπου.

ΓΙΑΤΙ ΑΝΑΠΤΥΧΘΗΚΕ ΤΟ ΠΡΟΤΥΠΟ ISO/IEC 27701;

Τόσο ο EU GDPR (General Data Protection Regulation) και ο UK DPA (Data Protection Act) 2018 απαιτούσαν από τους οργανισμούς να λάβουν μέτρα για τη διασφάλιση του απορρήτου των προσωπικών δεδομένων που επεξεργάζονται.

Ωστόσο, καμία απ’ αυτές τις νομοθετικές πράξεις δεν παρείχε επαρκή καθοδήγηση για το πώς θα έπρεπε να είναι αυτά τα μέτρα.

Επομένως, ο ISO (International Organization for Standardization) και η IEC (International Electrotechnical Commission) έχουν αναπτύξει αυτό το νέο πρότυπο για την παροχή της απαραίτητης καθοδήγησης.

ΠΩΣ ΕΝΟΠΟΙΟΥΝΤΑΙ ΤΑ ISO/IEC 27001 ΚΑΙ ISO/IEC 27701 ΜΕΤΑΞΥ ΤΟΥΣ;

Το ISO/IEC 27001:2013 καθορίζει τις απαιτήσεις για ένα Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών-ΣΔΑΠ (Information Security Management System-ISMS), μια προσέγγιση βάσει κινδύνου που περιλαμβάνει ανθρώπους, διαδικασίες και τεχνολογία. Η ανεξάρτητη διαπιστευμένη πιστοποίηση κατά το ISO/IEC 27001:2013, παρέχει στους ενδιαφερόμενους τη διαβεβαίωση ότι οι πληροφορίες τους προστατεύονται κατάλληλα.

Οι οργανισμοί που έχουν εφαρμόσει το ISO/IEC 27001:2013 δύνανται να χρησιμοποιήσουν το ISO/IEC 27701:2019 για τη διαχείριση των πληροφοριών ιδιωτικότητας –της προστασίας δηλαδή των Πληροφοριών Προσωπικής Ταυτοποίησης-ΠΠΤ (Personally Identifiable Information-PII)– γεγονός που μπορεί να τους βοηθήσει να αποδείξουν ότι έχουν ληφθεί εύλογα μέτρα για τη συμμόρφωση με νόμους περί προστασίας δεδομένων, όπως ο GDPR και η αντίστοιχη εθνική νομοθεσία (ν. 4624/2019).

Οι οργανισμοί χωρίς Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών μπορούν να εφαρμόσουν το ISO/IEC 27001:2013 και το ISO/IEC 27701:2019 μαζί ως ένα ενιαίο έργο υλοποίησης.

ΠΟΙΟΙ ΘΑ ΠΡΕΠΕΙ ΝΑ ΕΦΑΡΜΟΣΟΥΝ ΤΟ ISO/IEC 27701;

Το ISO/IEC 27701:2019 έχει σχεδιαστεί για χρήση από όλους τους οργανισμούς που είναι υπεύθυνοι επεξεργασίας ή εκτελούντες την επεξεργασία Πληροφοριών Προσωπικής Ταυτοποίησης (ή, αλλιώς, δεδομένων προσωπικού χαρακτήρα). Όπως το ISO/IEC 27001:2013, έτσι και το συγκεκριμένο πρότυπο υποστηρίζει μια προσέγγιση βάσει κινδύνου έτσι ώστε κάθε συμμορφούμενος οργανισμός να εντοπίσει, αξιολογήσει και αντιμετωπίσει τους κινδύνους για τα προσωπικά δεδομένα και το απόρρητο.

ΠΟΙΑ ΕΙΝΑΙ Η ΑΝΤΙΣΤΟΙΧΙΣΗ ΟΡΩΝ ΤΟΥ GDPR ΚΑΙ ΤΟΥ ISO/IEC 27701:2019;

Παραθέτουμε την αντιστοίχιση των όρων που χρησιμοποιεί το GDPR (και ν. 4624/2019) με αυτούς του ISO/IEC 27701:2019.

GDPR

ISO/IEC 27701:2019

Δεδομένα Προσωπικού Χαρακτήρα

Πληροφορίες Προσωπικής Ταυτοποίησης

Υπεύθυνος Επεξεργασίας

Ελεγκτής ΠΠΤ

Εκτελών την Επεξεργασία

Επεξεργαστής ΠΠΤ

Υποκείμενο των Δεδομένων

Εντολέας ΠΠΤ

Προστασία δεδομένων από το σχεδιασμό

Απόρρητο από το σχεδιασμό

Προστασία δεδομένων εξ ορισμού

Απόρρητο εξ ορισμού