ISO/IEC 27701:2019 – Методи за сигурност. Допълнение към ISO/IEC 27001 и ISO/IEC 27002 за управление на неприкосновеността на информацията. Изисквания и указания.
Стандартът ISO/IEC 27701:2019 съдържа най-обхватната рамка от мерки за осигуряване неприкосновеността на информацията и директно спомага на организациите да демонстрират съответствие със законовата рамка относно защитата на данните. Включваща изисквания отвъд Общия Регламент за Защита на Данните (ОРЗД), спазването на законовата рамка относно защитата на данните е задължителна за всяка организация обработваща лични данни, което по дефиниция означава:
„всяка операция или съвкупност от операции, извършвана с лични данни или набор от лични данни чрез автоматични или други средства като събиране, записване, организиране, структуриране, съхранение, адаптиране или промяна, извличане, консултиране, употреба, разкриване чрез предаване, разпространяване или друг начин, по който данните стават достъпни, подреждане или комбиниране, ограничаване, изтриване или унищожаване“
Внедряването и сертификацията по ISO/IEC 27701:2019 са възможни само след успешното сертифициране по ISO/IEC 27001:2013, където последният е задължително изискване на органите на държавната, териториалната и местната администрации (виж тук).
Системата за управление на неприкосновеността на информацията обхваща:
- Оценка на риска за нарушаване неприкосновеността на информацията – включваща идентификация на класовете лични данни, законосъобразността на тяхната употреба, определяне на рисковете от неправомерна обработка, оценка, третиране и управление на рисковете;
- Инвентаризация и класифициране на личните данни – идентифицираща потоците лични данни, както и тяхната миграция, съхранение и прочие;
- Законосъобразност на процесите по събиране и обработване на лични данни – касаеща привеждането в съответствие на обработването на лични данни с условията и принципите на ОРЗД;
- Процедури по управление правата на субектите на данни – регламентиращи стъпка-по-стъпка процесите по приемане и обработване на жалби и искания от субекти на данни;
- Внедряване на принципите на поверителност и неприкосновеност – отнасящи се към проектирането и/или изготвянето на процеси, процедури, продукти и т.н.;
- Законосъобразност на обмените на лични данни – регламентиращи условията за обмен, споделяне, разкриване и/или изпращане на лични данни към външни организации; и др.
Какви са ползите от преминаване към система за управление на неприкосновеността на информацията?
- Привеждане на дейностите по обработване на лични данни в съответствие със законовата рамка;
- Гарантиране на точността и верността на информацията;
- Спомагането за законосъобразно сътрудничество с партньори и трети страни;
- Намаляване риска от нарушения на сигурността на личните данни;
- Повишаване имиджа на организацията;
- Ограничаване на риска от разследвания и финансови наказания от регулаторните органи.
Стандартът е приложим във всяка организация и е с международен статут.