ISO 27701 är en tillägg till ISO/IEC 27001 och ISO/IEC 27002 för hantering av sekretessinformation. Vi ska förklara vad det betyder.
ISO/IEC 27701 hjälper dig att hantera personligt identifierbar information (PII) inom din organisation. Det är en ny standard, designad för att användas av alla ansvarig för PII i någon form av organisation.
Standarden visar hur du designar, konfigurerar, hanterar och ständigt förbättrar ett Privacy Information Management System (PIMS). Det ger dig mycket flexibilitet i hur du skapar och driver din PIMS. ISO 27701:s flexibilitet hjälper dig också att följa alla relevanta lokala PII-regler.
ISO 27701 bygger på ISO/IEC 27001. Det betyder att du kan antingen:
ISO 27701 kom till den 6 augusti 2019. Eftersom standarden är så ny har väldigt få organisationer antagit den. Om du väljer att gå för ISO 27701-certifiering kommer du att hamna före infosec-paketet.
ISO 27001 är den mest populära säkerhetsstandarden i världen, men den har några luckor. I synnerhet talar den inte om hur du ställer in Personligt identifierbar information (PII) säkerhetsåtgärder. EU:s allmänna dataskyddsförordning (GDPR) satte ISO 27001:s brist på tydlig PII-vägledning i fokus. GDPR efterfrågar PII-säkerhetsåtgärder, men det ger inga implementeringsvägledning eller krav.
Så arbetet började med standarden som skulle bli ISO 27701. Den nya PII-hanteringsstandarden utvecklades först som ISO/IEC 27522. Tekniskt arbete med ISO 27522 avslutades 2019, vilket ledde till publiceringen av den nya standarden den 6 augusti 2019. Det är en tillägg till ISO/IEC 27001. Innan publicering blev ISO/IEC 27522 ISO/IEC 27701. Det beror på att varje standard som beskriver hur man skapar ett ledningssystem ska sluta med 01.
Personligt identifierbar information (PII) är information som ger bort någons identitet. PII avslöjar identiteter antingen på egen hand eller i kombination med andra data. Vissa kategorier av PII är mycket känsliga. Till exempel kan du bara hålla och bearbeta data om brottsdomar och brott under mycket begränsade omständigheter.
Nästan varje organisation har detaljerad personlig identifierbar information (PII) om enskilda personer. Om PII läcker kan det vara mycket skadligt. Ett ISO/IEC 27701-kompatibelt Privacy Information Management System (PIMS) kommer att skydda din PII.
Det hjälper dig att undvika de negativa resultaten av PII-överträdelser, som kan inkludera:
Att uppnå ISO 22701-certifiering kan också ha många positiva effekter, inklusive:
De flesta organisationer behöver hålla och bearbeta information om några eller alla av sina:
Dessa människor förlitar sig på datainsamlingsorganisationer för att hålla den informationen privat. Risken för och potentiell skada från en integritetsinformation, eller personligt identifierbar information (PII), intrång ökar snabbt. Problem kan inkludera:
Så fler och fler organisationer skapar integritetsinformationshanteringssystem (eller PIMS). En effektiv, ISO 27701-kompatibel eller certifierad PIMS har många potentiella fördelar. Det kan:
För att öka säkerheten kan du pseudonymisera eller anonymisera din PII. GDPR-definitionerna av dessa två sätt att hantera dina personuppgifter är:
Pseudonymiserade uppgifter kan fortfarande vara föremål för PII föreskrifter och krav. De flesta regelverk kommer förmodligen inte att gälla för anonymiserad data.
Skillnaden mellan pseudonymiserad och anonymiserad data kan vara ganska subtil och komplex. Det kan variera i olika jurisdiktioner. Du måste kontrollera noga för att se till att du tillämpar alla relevanta bestämmelser på din PII.
Åh, och om du har information om någon som (mycket tråkigt) har dött, kommer det förmodligen inte att vara PII. Information om den avlidne klassas i allmänhet inte som personlig. Uppgifter om företag, myndigheter eller andra organisationer är förmodligen inte heller PII.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
En PIMS är ett hanteringssystem för personlig information. Den kombinerar:
för att skydda den personligt identifierbara informationen (PII) som din organisation har och använder. En effektiv PIMS kommer att försäkra din organisations:
Din PIMS hjälper dig att lagra och dela PII, både internt och externt. Rätt PIMS kommer också att göra det enkelt för människor att uppdatera och korrigera all data du har om dem.
En skräddarsydd praktisk session utifrån dina behov och mål
För att implementera ISO 27701, din organisation behöver till:
1. Process och/eller hantera personligt identifierbar information (PII)
2. Ha en ISO 27001-certifierat ledningssystem för informationssäkerhet (ISMS)
Det spelar ingen roll vilken typ eller storlek av organisation du är. ISO 27701:s krav flexar för att täcka alla typer och storlekar av organisationer. Det inkluderar (men är inte begränsat till):
1. Offentliga och privata företag
2. statliga organ
3. Icke-vinstdrivande organisationer
Lär känna ISO 27701-standarden. Det hjälper dig att definiera din strategi för sekretesshantering och planera dina PIMS. Bygg sedan ditt PIMS, skapa dess system och taktiska kontroller. Implementera sedan ditt PIMS och se till att du följer alla ISO 27701-kraven.
Du kommer att vara redo för din revision när fullständig ISO 27701-certifiering blir möjlig. För tillfället är standarden så ny att ingen är ackrediterad för att certifiera dig för den.
Åh, och för att uppnå ISO 27001 måste du antingen vara ISO 27001-kompatibel eller certifierad. Om du inte har ISO 27001 måste du också planera hur du ska implementera det.
ISO/IEC 27701:2019 är så ny att den inte har några ackrediterade certifieringsorgan. Så i skrivande stund kan du faktiskt inte bli ISO 27701-certifierad.<.p>
Vi rekommenderar uppnå ISO 27001 efterlevnad, så du är redo när certifiering blir möjlig. Det ser ut som att du kommer att kunna bli ISO 27701-certifierad från mitten av 2021 och framåt.
För att uppnå ISO/IEC 27701:2019-efterlevnad måste du designa, bygga och implementera ett Personal Information Management System (PIMS) för din organisation.
Din nya PIMS bör följa:
1. ISO 27701-standarden på alla relevanta sätt
2. Alla nationella eller internationella bestämmelser som gäller för din organisation
ISO 27701 förutsätter att du redan har uppnått ISO 27001-efterlevnad eller certifiering. Det betyder skapa ett ledningssystem för informationssäkerhet (ISMS). Du kan ställa in ditt ISMS före eller vid sidan av din ISO 27701-implementering.
När du går för ISO 27701-certifiering kommer dina revisorer att bedöma dina PIMS genom att:
1. Läser igenom din PIMS dokumentation
2. Intervjua ditt folk för att se till att de förstår det och använder det
3. Genomföra tester för att se hur bra det fungerar i praktiken
För att visa god ISO 27701 praxis behöver du:
1. Omfattande PIMS-dokumentation
2. Välutbildad personal
3. Allmänt förstådda och följda policyer och procedurer
ISO/IEC 27701:2019 är så ny att den inte har några ackrediterade certifieringsorgan. Så i skrivande stund kan du faktiskt inte bli ISO 27701-certifierad. När ISO 27701-certifiering blir möjlig kommer den att följa en liknande process som ISO 27001-certifiering.
Först måste du designa, bygga och implementera ditt personliga informationshanteringssystem (PIMS). Se till att du följer kraven i ISO 27701-standarden. Registrera dig sedan hos ett erkänt oberoende certifieringsorgan, som kommer att granska dina PIMS.
Ditt certifieringsorgans revisorer kommer att bedöma din PIMS-dokumentation. Sedan kommer de att testa dina PIMS, vanligtvis genom på plats intervjuer och provtagning. Om du klarar din revision är du certifierad. Du kommer sedan att ha två årliga övervakningsrevisioner. Efter tre år måste du bli omcertifierad.
ISO 27701 fyller i några luckor i personligt identifierbar information i ISO 27001. Så du kan implementera det antingen tillsammans med eller efter ISO 27001.
Samt ISO 27001, ISO 27701 mappar på:
Tänk på att du också måste följa lokala föreskrifter om du kopplar ISO 27701 till någon annan standard.
ISO 27701 är separat från GDPR. Men om du är ISO 27701-kompatibel eller certifierad kommer ditt hanteringssystem för personlig information att vara GDPR-kompatibelt.
ISO 27701 utvecklades först som ISO/IEC 27522. Standardens namn ändrades till ISO 27701 före lanseringen 2019. ISO 27522 blev ISO 27701 eftersom alla standarder som talar om hur man ställer in ett ledningssystem måste sluta med 01.
Smakämnen ISO 27000-serien av standarder fokuserar på informationssäkerhet. Varje ISO 27000-standard har olika infosec betoning och krav. Organisationer av vilken storlek eller typ som helst kan använda dem.
Viktiga familjemedlemmar inkluderar:
Bilaga D till ISO 27701-standarden berättar hur du kan mappa dess kontroller till EU:s allmänna dataskyddsförordning (GDPR).
Bilaga F till ISO 27701-standarden förklarar hur man utökar ISO IEC 27001 och ISO / IEC 27002 för att skydda personlig identifierbar information (PII).
För att göra det enkelt för dig, ISMS.online har byggt en molnbaserad plattform. Denna plattform följer ISO-standardernas kriterier och uppfyller även kraven i ISO 27701. Detta gör att du kan skapa och visa överensstämmelse med ISO 27701-standarden, vilket förenklar certifieringen.
Vår molnbaserade plattform låter dig komma åt alla dina ISMS-resurser på ett ställe. Vi har ett internt team av informationssäkerhetsexperter som kan ge vägledning och svara på frågor för att hjälpa dig på vägen mot ISO 27701-implementering så att du kan visa ditt engagemang för bästa praxis för informationssäkerhetsstyrning. Ring ISMS.online på + 44 (0) 1273 041140 för att ta reda på mer om hur vi kan hjälpa dig att bli certifierad enligt ISO 27701.
Samarbeta, skapa och visa att du alltid har koll på din dokumentation
Läs merTa itu med hot och möjligheter utan ansträngning och rapportera dynamiskt om prestanda
Läs merTa bättre beslut och visa att du har kontroll med instrumentpaneler, KPI:er och relaterad rapportering
Läs merGör lätt arbete med korrigerande åtgärder, förbättringar, revisioner och ledningsgranskningar
Läs merBelys kritiska relationer och länka elegant samman områden som tillgångar, risker, kontroller och leverantörer
Läs merVälj tillgångar från Asset Bank och skapa din Asset Inventory med lätthet
Läs merIntegrationer direkt med dina andra viktiga affärssystem för att förenkla din efterlevnad
Läs merLägg prydligt till andra områden av efterlevnad som påverkar din organisation för att uppnå ännu mer
Läs merEngagera personal, leverantörer och andra med dynamisk end-to-end-efterlevnad hela tiden
Läs merHantera due diligence, kontrakt, kontakter och relationer under deras livscykel
Läs merKartlägg och hantera intresserade parter visuellt för att säkerställa att deras behov tydligt tillgodoses
Läs merStark integritet genom design och säkerhetskontroller för att matcha dina behov och förväntningar
Läs mer100 % av våra användare uppnår ISO 27001-certifiering första gången