ISO / IEC 27701: 2019 (anteriormente conocida como ISO / IEC 27552 durante el período de redacción) es una extensión de privacidad de ISO / IEC 27001 . El objetivo del diseño es mejorar el Sistema de Gestión de Seguridad de la Información (ISMS) existente con requisitos adicionales para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Información de Privacidad (PIMS). [1] El estándar describe un marco para los controladores y procesadores de información de identificación personal (PII) para administrar los controles de privacidad para reducir el riesgo a los derechos de privacidad de las personas. [2]
ISO / IEC 27701 pretende ser una extensión certificable de las certificaciones ISO / IEC 27001 . En otras palabras, las organizaciones que planean buscar una certificación ISO / IEC 27701 también deberán tener una certificación ISO / IEC 27001.
Aplicación prevista de la norma
La aplicación prevista de ISO / IEC 27701 es aumentar el SGSI existente con controles específicos de privacidad y, por lo tanto, crear PIMS para permitir una gestión eficaz de la privacidad dentro de una organización.
Un PIMS robusto tiene muchos beneficios potenciales para los controladores y procesadores PII, con al menos tres ventajas significativas:
Primero, lograr el cumplimiento de los requisitos de privacidad (particularmente las leyes y regulaciones, además de acuerdos con terceros, además de políticas de privacidad corporativas, etc.) es oneroso, especialmente si los requisitos no están organizados de la manera más efectiva para los controladores y procesadores de PII. Las organizaciones sujetas a múltiples obligaciones de cumplimiento de la privacidad (por ejemplo, de varias jurisdicciones en las que operan o los interesados viven) enfrentan cargas adicionales para conciliar, satisfacer y vigilar todos los requisitos aplicables. Un enfoque administrado alivia la carga de cumplimiento, por ejemplo, como lo demuestra el Anexo C del estándar, un solo control de privacidad puede satisfacer múltiples requisitos del Reglamento General de Protección de Datos (GDPR). [3]
En segundo lugar, lograr y mantener el cumplimiento de los requisitos aplicables es una cuestión de gobernanza y garantía. Con base en el PIMS (y, potencialmente, su certificación), los oficiales de privacidad o protección de datos pueden proporcionar la evidencia necesaria para asegurar a las partes interesadas, como la alta dirección, los propietarios y las autoridades, que se cumplen los requisitos de privacidad aplicables.
En tercer lugar, la certificación PIMS puede ser valiosa para comunicar el cumplimiento de la privacidad a los clientes y socios. Los controladores de PII generalmente exigen evidencia de los procesadores de PII de que el sistema de gestión de privacidad de los procesadores de PII cumple con los requisitos de privacidad aplicables. Un marco de evidencia uniforme basado en estándares internacionales puede simplificar en gran medida dicha comunicación de transparencia de cumplimiento, especialmente cuando la evidencia es validada por un auditor externo acreditado. [4] Esta necesidad en la comunicación de la transparencia del cumplimiento también es fundamental para las decisiones comerciales estratégicas, como fusiones y adquisiciones y escenarios de co-controladores que implican un acuerdo de intercambio de datos. Por último, la certificación PIMS puede potencialmente servir para señalar la confiabilidad al público.
Referencias normativas
ISO / IEC 27701 hace referencia normativa a los siguientes documentos:
Estructura del estándar
Los requisitos de la norma se dividen en los cuatro grupos siguientes:
- Los requisitos de PIMS relacionados con ISO / IEC 27001 se describen en la cláusula 5.
- Los requisitos de PIMS relacionados con ISO / IEC 27002 se describen en la cláusula 6.
- La guía de PIMS para controladores PII se describe en la cláusula 7.
- La guía de PIMS para procesadores PII se describe en la cláusula 8.
La norma incluye además los siguientes anexos: [5]
- Anexo A Objetivos y controles de control de referencia específicos de PIMS (controladores PII)
- Anexo B Objetivos y controles de control de referencia específicos de PIMS (procesadores PII)
- Anexo C Mapeo a ISO / IEC 29100
- Anexo D Mapeo del Reglamento general de protección de datos (GDPR) .
- Anexo E Mapeo a ISO / IEC 27018 e ISO / IEC 29151
- Anexo F Cómo aplicar ISO / IEC 27701 a ISO / IEC 27001 e ISO / IEC 27002
Historia del Estándar
En abril de 2016, el JTC 1 / SC 27 / WG 5 "Tecnologías de gestión de la identidad y privacidad" propuso un nuevo elemento de trabajo al JTC 1 / SC 27 sobre la base de una iniciativa de expertos del Organismo Nacional Francés del JTC 1 / SC 27.
Luego, el proyecto se desarrolló en JTC 1 / SC 27 / WG 5 con el número ISO / IEC 27552.
La British Standards Institution (BSI) puso a disposición del público el primer CD de ISO / IEC 27552 en su tienda web en febrero de 2018.
El segundo CD de ISO / IEC 27552 se publicó en agosto de 2018.
El DIS de ISO / IEC 27552 se emitió en enero de 2019 y se aprobó en marzo de 2019. Como no fueron necesarios cambios técnicos, la boleta de FDIS fue omitida.
ISO / IEC JTC 1 / SC 27 completó el trabajo técnico sobre ISO / IEC 27552 en abril de 2019.
Antes de su publicación, ISO / IEC 27552 fue renumerada a ISO / IEC 27701 según la Resolución 39/2019 de ISO / Technical Management Board, que exige que cualquier Sistema de Gestión "tipo A" (que contenga requisitos) deberá tener un número que termine con “ 01 ”como sus dos últimos dígitos. La renumeración finalizó en julio de 2019.
La norma se publicó el 6 de agosto de 2019.
Ver también
Referencias
- ^ https://www.iso.org/standard/71670.html ISO / IEC 27701: 2019 [ISO / IEC 27701: 2019]
- ^ "Protección de datos personales: cómo contribuyen las normas voluntarias" . AFNOR Marketing . Julio de 2018.
- ^ "La privacidad importa: gestión de la información personal con ISO / IEC 27552" (PDF) . Grupo BSI . 2018.
- ^ Katko, Peter (13 de junio de 2019). "Cómo las demandas de cumplimiento de GDPR han cambiado el enfoque hacia la certificación" . Ernst & Young .
- ^ https://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en ISO / IEC 27701: 2019 [ISO / IEC 27701: 2019] Tabla de contenido
enlaces externos
- ISO / IEC 27701 página de ISO
- Artículo de ISO sobre ISO / IEC 27701