Содержание:
- Что включает в себя Стандарт ISO / IEC ISO 27701
- ISO / IEC 27701 и ISO 27000 – семейство стандартов на защите конфиденциальности
- Условия для успешной сертификации
- Какие возможности организации дает система менеджмента информационной безопасности ISO 27001
Официальное название стандарта - «Методы безопасности ISO / IEC 27701 - Расширение ISO / IEC 27001 и ISO / IEC 27002 для управления информацией о конфиденциальности - Требования и руководящие принципы». Стандарт ISO / IEC ISO 27701:2019 может использоваться для проверки соблюдения правил конфиденциальности и является расширением ISO 27001.
Технологии быстро развиваются, стандарт позволяет предприятиям обеспечивать последовательный подход в вопросах конфиденциальности и защите данных, оставаясь при этом гибкими и адаптируясь к изменениям. Так, с целью обеспечения гибкости, последовательности и полного контроля стандарт ISO27001 2005 получил новую редакцию в 2013-м, для этих же целей был выпущен ряд расширений, в том числе и ISO / IEC 27001.
Что включает в себя Стандарт ISO / IEC ISO 27701
Стандарт включает в себя широкий спектр элементов, относящихся к защите конфиденциальности. Это требования по комплексной защите данных и информации. Изложенные требования являются общими и предназначены для применения ко всем организациям, независимо от типа и размера, сектора или юридической формы.
Цели ISO / IEC 27701
-
Повышает правовую определенность и прозрачность
-
Обеспечивает надежные механизмы защиты конфиденциальности
-
Повышает компетентность в области защиты конфиденциальности
-
Минимизирует риск утечки данных и возможные последствия
-
Создает доверие существующих и потенциальных клиентов
ISO / IEC 27701 и ISO 27000 – семейство стандартов на защите конфиденциальности
Официальное название стандарта ISO / IEC 27701 уже указывает на тематическую взаимосвязь в рамках семейства стандартов ISO 27000 и показывает, насколько сильно связаны информационная безопасность и конфиденциальность. Оба стандарта, а также комбинированная система управления основаны на принципах конфиденциальности, целостности и доступности данных и информации. Таким образом, взаимодействие этих стандартов ISO неудивительно, и настоятельно рекомендуется внедрять их вместе.
Условия для успешной сертификации
Обязательным условием для успешной сертификации по ISO 27701 является действующий сертификат ISO 27001. Из-за сходства контента с информационной безопасностью новое расширение защиты конфиденциальности может быть построено на существующих системах и структурах. Для многих организаций это означает лишь незначительные дополнительные усилия. В частности, для организаций, которые уже соблюдают GDPR (Общие правила защиты данных), можно предположить, что большая часть требований и мер уже реализована, поскольку ISO 27701 в значительной степени основан на правилах GDPR.
В дополнение к Системе управления информационной безопасностью (СМИБ) в ISO 27001, ISO 27701 предоставляет конкретное руководство по внедрению Системы управления конфиденциальной информацией (PIMS) - как неотъемлемой части существующей СМИБ, специально расширенной для включения аспектов конфиденциальности данных. PIMS обеспечивает лучший контроль над личной информацией (PII), дает возможность управлять PII и, при желании, делиться ею с другими пользователями.
Какие возможности организации дает система менеджмента информационной безопасности ISO 27001
С внедрением системы менеджмента в соответствии с ISO 27701 организация достигает систематического дальнейшего развития, включая оптимизацию процессов в области защиты конфиденциальности. Внутренний и внешний аудит поддерживают этот процесс.
Таким образом, преимущества сертификации, которые обеспечивает система менеджмента информационной безопасности ISO 27001 для организаций, очевидны:
-
Он обеспечивает систематический и понятный инструмент управления и систему контроля для всех проблем защиты конфиденциальности, которые необходимо решить, и для обработки конфиденциальных данных и информации, позволяющей установить личность.
-
Он доказывает, что обработка и управление конфиденциальной информацией соответствуют требованиям GDPR (Общие правила защиты данных).
-
Подход, основанный на оценке риска, позволяет выявлять и предотвращать возможные сферы ответственности на ранней стадии.
-
Интегрированный подход PIMS к информационной безопасности и конфиденциальности имеет несколько преимуществ интегрированных систем управления, таких как быстрое внедрение, общий процесс управления рисками и значительное повышение эффективности благодаря многочисленным взаимодополняющим эффектам.
Для справки! Первый стандарт информбезопасности был разработан в 1995 г. в Британии. Его переработанная версия стала основой для международного стандарта ISO/IEC в 2000-м году. Далее следовали версии ISO 27001:2005 и ISO 27001:2013, последняя была пересмотрела в 2019-м и признана актуальной. В ближайшее время реновация стандарта не анонсируется.