Jump to content

ИСО/МЭК 27701

ISO/IEC 27701:2019 (ранее известный как ISO/IEC 27552 в период разработки) является расширением конфиденциальности ISO/IEC 27001 . Целью разработки является расширение существующей системы управления информационной безопасностью (СУИБ) дополнительными требованиями для создания, внедрения, обслуживания и постоянного улучшения системы управления конфиденциальной информацией (PIMS). [1] В стандарте изложена основа для контролеров и обработчиков информации, позволяющей установить личность (PII), для управления контролем конфиденциальности с целью снижения риска для прав отдельных лиц на неприкосновенность частной жизни. [2]

ISO/IEC 27701 предназначен для сертификации как расширение сертификации ISO/IEC 27001 . Другими словами, организации, планирующие получить сертификацию ISO/IEC 27701, также должны будут иметь сертификацию ISO/IEC 27001.

Предполагаемое применение стандарта

[ редактировать ]

Предполагаемое применение ISO/IEC 27701 — дополнить существующую СМИБ средствами контроля конфиденциальности и, таким образом, создать PIMS, обеспечивающую эффективное управление конфиденциальностью внутри организации.

Надежная PIMS имеет множество потенциальных преимуществ для контроллеров PII и процессоров PII, по крайней мере, с тремя существенными преимуществами:

Во-первых, достижение соответствия требованиям конфиденциальности (особенно законов и нормативных актов, а также соглашений с третьими лицами, а также корпоративных политик конфиденциальности и т. д.) является обременительным, особенно если требования не организованы наиболее эффективным образом для контролеров PII и обработчиков PII. Организации, на которых распространяются многочисленные обязательства по соблюдению конфиденциальности (например, из нескольких юрисдикций, в которых они работают или проживают субъекты данных), сталкиваются с дополнительными трудностями, связанными с согласованием, удовлетворением и отслеживанием всех применимых требований. Управляемый подход облегчает бремя соблюдения требований, например, как показано в Приложении C к стандарту, единый элемент управления конфиденциальностью может удовлетворять нескольким требованиям Общего регламента защиты данных (GDPR). [3]

Во-вторых, достижение и поддержание соответствия применимым требованиям является вопросом управления и обеспечения гарантий. На основе PIMS (и, возможно, ее сертификации) специалисты по конфиденциальности или защите данных могут предоставить необходимые доказательства, чтобы убедить заинтересованные стороны, такие как высшее руководство, владельцев и органы власти, в том, что применимые требования конфиденциальности соблюдены.

В-третьих, сертификация PIMS может быть полезна для информирования клиентов и партнеров о соблюдении конфиденциальности. Контроллеры PII обычно требуют от Обработчиков PII доказательств того, что система управления конфиденциальностью Обработчиков PII соответствует применимым требованиям конфиденциальности. Единая система доказательств, основанная на международных стандартах, может значительно упростить такое информирование о прозрачности соблюдения требований, особенно когда доказательства подтверждены аккредитованным сторонним аудитором. [4] Эта необходимость в обеспечении прозрачности соблюдения требований также имеет решающее значение для стратегических бизнес-решений, таких как слияния и поглощения, а также сценариев соконтролеров, включающих соглашение об обмене данными. Наконец, сертификация PIMS потенциально может служить сигналом доверия общественности.

Нормативные ссылки

[ редактировать ]

ISO/IEC 27701 нормативно ссылается на следующие документы:

Структура стандарта

[ редактировать ]

Требования стандарта разделены на четыре следующие группы:

  1. Требования PIMS, относящиеся к ISO/IEC 27001, изложены в разделе 5.
  2. Требования PIMS, относящиеся к ISO/IEC 27002, изложены в разделе 6.
  3. Рекомендации по PIMS для контролеров PII изложены в пункте 7.
  4. Рекомендации по PIMS для обработчиков PII изложены в пункте 8.

Стандарт дополнительно включает следующие приложения: [5]

  1. Приложение A. Цели и средства контроля, специфичные для PIMS (контроллеры PII)
  2. Приложение B. Цели и средства контроля, специфичные для PIMS (процессоры PII)
  3. Приложение C. Соответствие стандарту ISO/IEC 29100.
  4. Приложение D. Соответствие Общему регламенту защиты данных (GDPR) .
  5. Приложение E Соответствие стандартам ISO/IEC 27018 и ISO/IEC 29151
  6. Приложение F. Как применять ISO/IEC 27701 к ISO/IEC 27001 и ISO/IEC 27002

История стандарта

[ редактировать ]

Новый рабочий вопрос был предложен JTC 1/SC 27 JTC 1/SC 27/WG 5 «Технологии управления идентификацией и конфиденциальностью» в апреле 2016 года по инициативе экспертов французского национального органа JTC 1/SC 27.

Затем проект был разработан в JTC 1/SC 27/WG 5 под номером ISO/IEC 27552.

Британский институт стандартов (BSI) сделал первый компакт-диск с ISO/IEC 27552 общедоступным в своем интернет-магазине в феврале 2018 года.

Второй компакт-диск ISO/IEC 27552 был опубликован в августе 2018 года.

DIS стандарта ISO/IEC 27552 был выпущен в январе 2019 года и утвержден в марте 2019 года. Поскольку никаких технических изменений не потребовалось, голосование FDIS было пропущено.

ISO/IEC JTC 1/SC 27 завершил техническую работу над ISO/IEC 27552 в апреле 2019 года.

Перед публикацией ISO/IEC 27552 был переименован в ISO/IEC 27701 в соответствии с Резолюцией 39/2019 Совета по техническому управлению ISO, которая требует, чтобы любая система менеджмента «типа A» (содержащая требования) имела номер, оканчивающийся на « 01» в качестве последних двух цифр. Изменение нумерации было завершено в июле 2019 года.

Стандарт был опубликован 6 августа 2019 года.

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ https://www.iso.org/standard/71670.html ISO/IEC 27701:2019 [ISO/IEC 27701:2019]
  2. ^ «Защита персональных данных: как способствуют добровольные стандарты» . АФНОР Маркетинг . Июль 2018 г. Архивировано из оригинала 19 сентября 2020 г. Проверено 20 июля 2018 г.
  3. ^ «Конфиденциальность имеет значение: управление личной информацией с помощью ISO/IEC 27552» (PDF) . Группа компаний БСИ . 2018.
  4. ^ Катко, Петр (13 июня 2019 г.). «Как требования соответствия GDPR сместили акцент на сертификацию» . Эрнст энд Янг .
  5. ^ https://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en ISO/IEC 27701:2019 [ISO/IEC 27701:2019] Содержание
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=ISO/IEC_27701&oldid=1237948488"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 3f6338d473f4058cf76dedc1e26b6c5b__1722492240
URL1:https://arc.ask3.ru/arc/aa/3f/5b/3f6338d473f4058cf76dedc1e26b6c5b.html
Заголовок, (Title) документа по адресу, URL1:
ISO/IEC 27701 - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)