Содержимое
ISO 27701 — это первая сертификация в области конфиденциальности. Сочетая ISO 27701 и ISO 27001, организации могут укрепить доверие, подготовиться к соблюдению норм конфиденциальности и многое другое. Важно заметить, что сертификацию следует проводить с помощью грамотных специалистов compliance-control.ua которые предоставят все необходимые консультации.
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC) выпускают множество руководств и рамок для организаций. Они могут варьироваться от готовности к кибербезопасности до стандартов непрерывности бизнеса и не только.
В 2019 году ISO расширил ISO/IEC 27001:2013 (ISO 27001), популярную и давно существующую систему кибербезопасности, новым стандартом ISO/IEC 27701:2019 (ISO 27701), направленным на создание системы управления конфиденциальной информацией (PIMS). Стандарт вызвал ажиотаж в мире соответствия, поскольку это первая сертификация в области конфиденциальности. Другими словами, ISO 27701 представляет собой первый способ, с помощью которого организация может получить сертификат от третьей стороны на лучшие средства управления конфиденциальностью, а не на соответствие стандартам и нормам.
Однако ISO 27701 не является самостоятельным стандартом. Скорее, первоначальная система кибербезопасности ISO 27001 служит в качестве основы, а организации могут добавлять дополнительные стандарты ISO, такие как ISO 27701, которые хорошо подходят для специфики их бизнеса.
Организации могут задаться вопросом: каковы преимущества сочетания ISO 27701 и ISO 27001?
Мы рассмотрим два ключевых преимущества добавления нового стандарта ISO 27701 к основной структуре ISO 27001.
Укрепляет доверие с внешними заинтересованными сторонами
Сегодня большая часть нашей личной жизни и работы происходит в интернете, будь то через приложения, веб-сайты или другие формы. Все беспокоятся о своей персональной информации (PII), и никто не хочет, чтобы она попала в чужие руки. Каждый год происходят утечки данных, которые поднимают новые проблемы безопасности и конфиденциальности. Согласие, прозрачность и безопасность важны как никогда.
Поскольку обеспокоенность по поводу конфиденциальности продолжает расти как среди регулирующих органов, так и среди потребителей, организации все больше заинтересованы в совершенствовании своих политик конфиденциальности и предоставлении доказательств серьезного отношения к ней. Хотя существует множество систем кибербезопасности, охватывающих вопросы конфиденциальности данных, ни одна из них не предусматривает специальной сертификации конфиденциальности. Организации могут продемонстрировать соответствие требованиям, однако они не получают официальной сертификации от руководящего органа.
ISO 27701 — это первая сертификация конфиденциальности данных.
Для организаций наличие сертификата Pinsecurity, а также сертификата конфиденциальности может помочь укрепить доверие с партнерами, поставщиками, клиентами и другими заинтересованными сторонами. Наличие сертификата ISO 27701 в сочетании с уважаемой во всем мире системой ISO 27001 демонстрирует приверженность вашей организации принципам конфиденциальности. Организации, имеющие сертификат ISO 27701, должны ежегодно проходить надзорные аудиты, поэтому внешние заинтересованные стороны могут быть уверены в том, что ваша организация применяет передовой опыт в соответствии со стандартами ISO и имеет официальную систему PIMS.
Организации признают ценность ISO 27701 и ISO 27001. Например, Microsoft принимает ISO 27701 и ISO 27001 в качестве замены требований своей собственной программы обеспечения безопасности и конфиденциальности (SSPA). Это свидетельствует о высоком доверии Microsoft к системам ISO и, в частности, к мерам контроля конфиденциальности и защиты данных в ISO 27701.
Стратегическая сертификация частей вашего бизнеса
Данные движутся через организации различными путями в зависимости от множества факторов. Нет двух одинаковых организаций, и в некоторых ситуациях одна и та же организация может быть одновременно и контроллером, и обработчиком PII.
Некоторые из факторов, влияющих на статус организации как контроллера и/или обработчика, могут включать:
- обслуживаемая отрасль (или отрасли);
- бизнес-модель, например, программное обеспечение как услуга (SaaS);
- региональное или международное присутствие;
- партнерские отношения и отношения с субподрядчиками и многое другое.
Однако, поскольку организация может быть одновременно и контроллером, и обработчиком данных, ее данные могут не подлежать одинаковому контролю, в зависимости от того, как они пересекаются с конкретными видами деятельности.
Стандарт ISO 27701 выгоден тем, что его можно применять только к определенным частям организации. Другими словами, организация может обеспечить соответствие требованиям стандарта в качестве контроллера или обработчика данных — ей не нужно получать общую сертификацию для всего бизнеса. Это полезно для организаций со сложными бизнес-моделями, где различные наборы данных могут требовать или не требовать одинаковых мер контроля, включать PII и т.д. Заказывать сертификацию ISO 27701 лучше у проверенной компании compliance-control.ua/iso27001.html которая готова обеспечить вас всей необходимой и интересующей вас информацией о проведении данной процедуры.