معرفی استاندارد ISO-IEC 27701: استاندارد سیستم اطلاعات حریم خصوصی

معرفی استاندارد ISO-IEC 27701: استاندارد سیستم اطلاعات حریم خصوصی

۱۳۹۹/۰۹/۰۶

معرفی استاندارد ISO-IEC 27701: استاندارد سیستم اطلاعات حریم خصوصی

این استاندارد از جدیدترین استانداردها در سری ISO 27000 است که شامل مواردی است که سازمانها هنگام اجرای PIMS (سیستم مدیریت اطلاعات حریم خصوصی) باید انجام دهند.

استاندارد 27701 در پاسخ به GDPR (مقررات عمومی حفاظت از داده ها) ایجاد شده است ، که به سازمانها ابلاغ می‌کند "اقدامات فنی و سازمانی مناسب" را برای محافظت از داده های شخصی اتخاذ کنند، اما در مورد چگونگی انجام این کار اقدام اجرایی را پیشنهاد نمی کند.

ISO 27701 این خلا را پر کرده و اساساً کنترل های پردازش حریم خصوصی را به ISO 27001 افزوده است.

کاربرد در نظر گرفته شده برای ISO / IEC 27701 افزوده شدن به ISMS موجود با کنترل های خاص حریم خصوصی و در نتیجه ایجاد PIMS (Privacy Information Management System) برای امکان مدیریت موثر حریم خصوصی در داخل یک سازمان است.

PIMS قوی دارای حداقل سه مزیت قابل توجه برای کنترل کننده های PII (Personally Identifiable Information) و پردازنده های PII است:

اول: دستیابی به انطباق با الزامات حریم خصوصی (به ویژه قوانین و مقررات، توافق نامه ها با اشخاص ثالث، سیاست های حفظ حریم خصوصی شرکت ها و غیره) نیاز اصلی این سیستم است، به ویژه اگر الزامات برای موثرترین روش برای کنترل کننده های PII و پردازنده های PII به درستی تنظیم نشده باشد. سازمان‌هایی که تحت چندین تعهد مربوط به رعایت حریم خصوصی قرار دارند (به عنوان مثال از چندین حوزه قضایی که در آنها فعالیت می كنند) برای دستیابی ، تأمین رضایت و مراقبت از تمام الزامات قابل اجرا ، مشکلات دیگری را متحمل می شوند. یکی از راههای رفع این مشکلات استفاده از ضمیمه F این استاندارد است تا بتوان تمامی نیازهای ممکنه در خصوص حریم خصوصی را برآورده نمود.

دوم: دستیابی و حفظ انطباق با الزامات قابل اجرا یک مسئله استراتژیک است. بر اساس PIMS (و به طور بالقوه گواهینامه آن) ، محافظت از حریم خصوصی یا محافظت از داده ها می توانند شواهد لازم را برای بحث اعتماد به کسب و کار برای ذینفعان مانند مدیریت ارشد ، مالکان و مقامات مبنی بر برآورده شدن شرایط حریم خصوصی فراهم نمود.

سوم: گواهینامه PIMS می تواند در برقراری انطباق با حریم خصوصی مشتریان و شرکا موثر باشد. کنترل کننده های PII معمولاً از پردازنده های PII مدارکی را می خواهند مبنی بر اینکه سیستم مدیریت حریم خصوصی پردازنده های PII به درستی رعایت می‌شوند. رعایت یک چارچوب یکنواخت شواهد مبتنی بر استاندارد بین المللی می تواند چنین شفافیت انطباق را فراهم آورد.

این استاندارد همچنین می‌تواند با توجه به ضمیمه ۹ خود، به عنوان الحاقیاتی به استاندارد سیستم مدیریت امنیت اطلاعات ISO 27001:2013 افزوده شود و منجر به بهبود روالهای اجرایی این سیستم گردد که در ادامه به صورت فهرست وارد به این موارد اشاره خواهد شد:

ISO 27001:2013

Extension to ISO 27701

بند ۵.۱: رهبری

نظارت و تعهد در مورد سیاست حفظ حریم خصوصی ، اهداف ، ادغام PIMS در سازمان ، تأمین منابع برای PIMS ، ارتباط اهمیت PIMS ، دستیابی به نتیجه PIMS از جمله تعیین جهت و کنترل برای اثربخشی PIMS و ارتقا improvement بهبود مستمر PIMS و حمایت از نقشهای مختلف حریم خصوصی

بند ۵.۲: سیاست های امنیت اطلاعات

درج جنبه های حریم خصوصی در Policy که می تواند جداگانه باشد یا با ISMS ترکیب شود

بند ۵.۳: تعیین نقش‌ها

در تعیین نقش‌ها، نقش مدیریت و کنترل حریم خصوصی را نیز تعیین میکند.

بند ۶.۲: اهداف

اهداف حفظ حریم خصوصی از جمله اهدافی است که باید اجرایی شود.

بند ۷.۱: منابع و دارایی ها

منابعی برای PIMS مورد نیاز است.

بند ۷.۲: تایید صلاحیت

صلاحیت افرادی که بر عملکرد امنیت اطلاعات حریم خصوصی تأثیر می گذارند.

بند ۷.۳: آگاهی رسانی

آگاهی از سیاست حفظ حریم خصوصی، کمک به اثربخشی PIMS و رفع عدم انطباق با الزامات PIMS.

بند ۷.۴: ارتباطات

ارتباطات برای PIMS - داخلی و خارجی

بند ۷.۵: مستندسازی اطلاعات

مستندسازی اطلاعات PIMS با توجه ویژه به تغییرات، نگهداری و امحا از جمله اسناد با منشا خارجی.

بند ۸.۱: طراحی و کنترل عملکرد

اجرای طرح رفع ریسک برای PIMS، اهداف PIMS ، تغییرات تأثیرگذار بر PIMS و کنترل حریم خصوصی در فرآیندهای برون سپاری شده.

بند ۸.۲: ارزیابی مخاطرات

ارزیابی ریسک PIMS در فواصل زمانی برنامه ریزی شده و هنگامی که تغییراتی در ثبت ریسک های لازم ایجاد شود، انجام گیرد.

بند ۸.۳: کنترل ریسک

طرح برخورد با ریسک PIMS اجرا شوند

بند ۹: ارزیابی عملکرد

ارزیابی عملکرد PIMS و اثربخشی آن از جمله معیارهای اندازه گیری کنترل های اعمال شده در بند 7 و بند 8 ISO 27701 هستند

بند ۹.۲: ممیزی داخلی

ممیزی داخلی شامل PIMS همراه با برنامه ممیزی PIMS شامل انتخاب ممیزان PIMS.

بند ۹.۳: بازنگری مدیریت

بازبینی مدیریت برای گنجاندن PIMS در دستور کار و صورتجلسات جلسات حاوی تصمیماتی که درباره PIMS گرفته شده است.

بند ۱۰.۱: عدم انطباق و اقدامات اصلاحی

عدم انطباق و اقدامات اصلاحی برای PIMS.

بند ۱۰.۲: بهبود مستمر

بهبود مستمر PIMS.

 

نویسنده: بهاره جلائی یزدنژاد

کلیه حقوق مادی و معنوی این سایت برای شرکت امن افزار: شرکت امنیت اطلاعات و شبکه[ شرکت تخصصی امنیت اطلاعات ] محفوظ است.