Комплексная защита данных и информации – Стандарт ISO / IEC ISO 27701

Содержание:

1. Что включает в себя Стандарт ISO / IEC ISO 27701
2. ISO / IEC 27701 и ISO 27000 – семейство стандартов на защите конфиденциальности
3. Условия для успешной сертификации
4. Какие возможности организации дает система менеджмента информационной безопасности ISO 27001

Официальное название стандарта - «Методы безопасности ISO / IEC 27701 - Расширение ISO / IEC 27001 и ISO / IEC 27002 для управления информацией о конфиденциальности - Требования и руководящие принципы». Стандарт ISO / IEC ISO 27701:2019 может использоваться для проверки соблюдения правил конфиденциальности и является расширением ISO 27001.

Технологии быстро развиваются, стандарт позволяет предприятиям обеспечивать последовательный подход в вопросах конфиденциальности и защите данных, оставаясь при этом гибкими и адаптируясь к изменениям. Так, с целью обеспечения гибкости, последовательности и полного контроля стандарт ISO27001 2005 получил новую редакцию в 2013-м, для этих же целей был выпущен ряд расширений, в том числе и ISO / IEC 27001.

Что включает в себя Стандарт ISO / IEC ISO 27701

Стандарт включает в себя широкий спектр элементов, относящихся к защите конфиденциальности. Это требования по комплексной защите данных и информации. Изложенные требования являются общими и предназначены для применения ко всем организациям, независимо от типа и размера, сектора или юридической формы.

Цели ISO / IEC 27701

• Повышает правовую определенность и прозрачность

• Обеспечивает надежные механизмы защиты конфиденциальности

• Повышает компетентность в области защиты конфиденциальности

• Минимизирует риск утечки данных и возможные последствия

• Создает доверие существующих и потенциальных клиентов

ISO / IEC 27701 и ISO 27000 – семейство стандартов на защите конфиденциальности

Официальное название стандарта ISO / IEC 27701 уже указывает на тематическую взаимосвязь в рамках семейства стандартов ISO 27000 и показывает, насколько сильно связаны информационная безопасность и конфиденциальность. Оба стандарта, а также комбинированная система управления основаны на принципах конфиденциальности, целостности и доступности данных и информации. Таким образом, взаимодействие этих стандартов ISO неудивительно, и настоятельно рекомендуется внедрять их вместе.

Условия для успешной сертификации

Обязательным условием для успешной сертификации по ISO 27701 является действующий сертификат ISO 27001. Из-за сходства контента с информационной безопасностью новое расширение защиты конфиденциальности может быть построено на существующих системах и структурах. Для многих организаций это означает лишь незначительные дополнительные усилия. В частности, для организаций, которые уже соблюдают GDPR (Общие правила защиты данных), можно предположить, что большая часть требований и мер уже реализована, поскольку ISO 27701 в значительной степени основан на правилах GDPR.

В дополнение к Системе управления информационной безопасностью (СМИБ) в ISO 27001, ISO 27701 предоставляет конкретное руководство по внедрению Системы управления конфиденциальной информацией (PIMS) - как неотъемлемой части существующей СМИБ, специально расширенной для включения аспектов конфиденциальности данных. PIMS обеспечивает лучший контроль над личной информацией (PII), дает возможность управлять PII и, при желании, делиться ею с другими пользователями.

Какие возможности организации дает система менеджмента информационной безопасности ISO 27001

С внедрением системы менеджмента в соответствии с ISO 27701 организация достигает систематического дальнейшего развития, включая оптимизацию процессов в области защиты конфиденциальности. Внутренний и внешний аудит поддерживают этот процесс.

Таким образом, преимущества сертификации, которые обеспечивает система менеджмента информационной безопасности ISO 27001 для организаций, очевидны:

• Он обеспечивает систематический и понятный инструмент управления и систему контроля для всех проблем защиты конфиденциальности, которые необходимо решить, и для обработки конфиденциальных данных и информации, позволяющей установить личность.

• Он доказывает, что обработка и управление конфиденциальной информацией соответствуют требованиям GDPR (Общие правила защиты данных).

• Подход, основанный на оценке риска, позволяет выявлять и предотвращать возможные сферы ответственности на ранней стадии.

• Интегрированный подход PIMS к информационной безопасности и конфиденциальности имеет несколько преимуществ интегрированных систем управления, таких как быстрое внедрение, общий процесс управления рисками и значительное повышение эффективности благодаря многочисленным взаимодополняющим эффектам.

Для справки! Первый стандарт информбезопасности был разработан в 1995 г. в Британии. Его переработанная версия стала основой для международного стандарта ISO/IEC в 2000-м году. Далее следовали версии ISO 27001:2005 и ISO 27001:2013, последняя была пересмотрела в 2019-м и признана актуальной. В ближайшее время реновация стандарта не анонсируется.