Гарантирует ли внедрение ISO 27701 соответствие GDRP и другим законам о защите персональных данных?
- 12 марта, 2024
- Автор: Сергей Воронкевич - основатель международной консалтинговой группы компаний Data Privacy Office.
Что такое ISO 27701?
Значение и цели стандарта ISO 27001+27701
ISO 27701 является расширением стандарта информационной безопасности ISO 27001 и специализируется на управлении защитой персональных данных в организации. Несмотря на то, что эти документы отличает лишь одна цифра, они о разном:
- 1) ISO27001 — полноценный стандарт по выстраиванию ISMS (Information Security Management System).
- 2) ISO 27701 — дополняет вышеуказанный стандарт требованиями и рекомендациями о защите именно персональных данных и дополняет систему правления информационной безопасности ISMS системой управления информационной приватностью PIMS. PIMS — это система, которая включает четко определенные и широко принятые политики и процедуры, а также технологии управления защитой персональных данных и хорошо обученных людей для защиты персональных данных (PII), которые ваша организация обрабатывает.
Почему ISO27701 не стандарт?
Хотя ISO 27701 на первый взгляд может показаться отдельным стандартом, он на самом деле является расширением ISO 27001. Называть ISO 27701 стандартом не совсем правильно, хотя это допустимо для упрощения в разговоре и неформальной коммуникации, при условии, что вы предупредите о своем намерении использовать термин «стандарт» в более широком смысле.
Можно ли внедрить ISO 27701 без ISO 27001 и сертифицироваться по нему?
Внедрить ISO 27701 без ISO 27001 теоретически возможно, но это не будет иметь большого смысла, так как ISO 27701 является расширением ISO 27001 и предполагает наличие уже установленной и функционирующей системы управления информационной безопасностью (ISMS) согласно ISO 27001.
Кроме того, получить отдельную сертификацию по ISO27701 вы также не сможете, а следовательно не сможете демонстрировать соответствие международному стандарту.
Приравнивается ли сертификация ISO27001+27701 к соответствию GDPR и другим законам о защите персональных данных?
Хотя ISO 27701 может помочь организациям в управлении рисками приватности (конфиденциальности персданных) и демонстрации соответствия требованиям GDPR, все же внедрение ISO 27701 не гарантирует автоматического соответствия GDPR или другим законам о защите данных.
Если использовать метафору, ISO27701 создает для вашей компании надежный и мощный вездеход, который позволяет добраться до одного или нескольких пунктов назначения — соответствию GDPR, UAE PDPL, CCPA, CPRA и т.д. Но наличие такого средства передвижения не подтверждает, что компания уже прошла данный маршрут.
К комплаенсу можно добраться и другими средствами, однако, ISO27001+27701 — это наиболее основательный и детальный подход. Он особенно будет полезен компаниям, которым нужно приводить процесс обработки персональных данных в соответствие сразу нескольким строгим законам (случай мультиюрисдикционности).
Что делать, если на внедрение ISO 27701 нет ресурсов?
Если перед организацией не стоит задачи предоставлять партнерам сверкающие сертификаты и повышать свой престиж, выставляя бейджи ISO на своём сайте, то для нее может быть разумно внедрять ISO27001 и ISO27701 поступательно и выборочно. Это позволит ей выстроить процессы информационной безопасности и информационной приватности, а также наладить систему управления ими.
Наша компания предлагает курс Global Data Privacy Manager (Global DPM) — ранее известных как GDPR DPM — где вы сможете разобраться в структуре ISO27001+27701, понять ключевые требования и освоить инструменты проектного и процессного управления для эффективного управления защитой персональных данных в своей компании.
Последние публикации
