ISO 27701 הוא הרחבה ל-ISO/IEC 27001 ו-ISO/IEC 27002 לניהול מידע פרטיות. אנחנו הולכים להסביר מה זה אומר.
ISO/IEC 27701 יעזור לך לנהל מידע אישי מזהה (PII) בתוך הארגון שלך. זהו תקן חדש, המיועד לשימוש על ידי כל אחד אחראי על PII בכל סוג של ארגון.
התקן מראה לך כיצד לעצב, להגדיר, לנהל ולשפר ללא הרף מערכת ניהול מידע פרטיות (PIMS). זה נותן לך גמישות רבה באופן שבו אתה יוצר ומפעיל את שלך PIMS. הגמישות של תקן ISO 27701 תעזור לך גם לעקוב אחר תקנות PII מקומיות רלוונטיות.
ISO 27701 מבוסס על ISO/IEC 27001. זה אומר שאתה יכול:
ISO 27701 נוצר ב-6 באוגוסט 2019. מכיוון שהתקן כל כך חדש, מעט מאוד ארגונים אימצו אותו. אם תבחר ללכת על אישור ISO 27701, תמצא את עצמך לפני חבילת infosec.
ISO 27001 הוא תקן האבטחה הפופולרי ביותר בעולם, אך יש בו כמה פערים. במיוחד, זה לא אומר לך איך להגדיר מידע אישי מזהה (PII) אמצעי ביטחון. תקנת הגנת הנתונים הכללית של האיחוד האירופי (GDPR) הביאה את היעדר הנחיות PII ברורות של ISO 27001 למוקד. GDPR מבקש אמצעי אבטחה של PII, אך הוא אינו נותן הנחיות או דרישות ליישום.
אז החלה העבודה על התקן שיהפוך ל-ISO 27701. התקן החדש לניהול PII פותח לראשונה כ-ISO/IEC 27522. העבודה הטכנית על ISO 27522 הסתיימה בשנת 2019, והובילה לפרסום התקן החדש ב-6 באוגוסט 2019. זהו הרחבה ל-ISO/IEC 27001. לפני הפרסום, ISO/IEC 27522 הפך ל-ISO/IEC 27701. הסיבה לכך היא שכל תקן שמתאר כיצד ליצור מערכת ניהול צריך להסתיים ב-01.
מידע זיהוי אישי (PII) הוא מידע המסגיר את זהותו של מישהו. PII חושף זהויות לבד או בשילוב עם נתונים אחרים. חלק מהקטגוריות של PII הן מאוד רגישות. לדוגמה, אתה יכול להחזיק רק ו עיבוד נתונים על הרשעות פליליות ועבירות בנסיבות מוגבלות מאוד.
כמעט כל ארגון מחזיק במידע אישי מפורט (PII) על אנשים בודדים. אם PII דולף, זה יכול להזיק מאוד. מערכת ניהול מידע פרטיות (PIMS) תואמת ISO/IEC 27701 תגן על שלך IIP.
זה יעזור לך להימנע מהתוצאות השליליות של הפרות PII, שיכולות לכלול:
להשגת הסמכת ISO 22701 יכולה להיות גם השפעות חיוביות רבות, כולל:
רוב הארגונים צריכים להחזיק ולעבד מידע על חלק או על כולם:
האנשים האלה מסתמכים על ארגונים לאיסוף נתונים כדי לשמור על פרטיות המידע הזה. הסיכון לנזק פוטנציאלי מפריצת מידע פרטיות, או מידע מזהה אישי (PII), הולך וגדל במהירות. בעיות יכולות לכלול:
אז, יותר ויותר ארגונים יוצרים מערכות לניהול מידע פרטיות (או PIMS). ל-PIMS יעיל תואם ISO 27701 או מוסמך יש יתרונות פוטנציאליים רבים. זה יכול:
כדי להגביר את האבטחה, אתה יכול להפוך את ה-PII שלך בדוי או לאנונימי. הגדרות ה-GDPR של שתי הדרכים הללו לניהול הנתונים האישיים שלך הן:
נתונים בדויים עדיין יכולים להיות כפופים IIP תקנות ודרישות. רוב משטרי הרגולציה כנראה לא יחולו על נתונים אנונימיים.
ההבדל בין נתונים בדויים לאנונימיים יכול להיות די עדין ומורכב. זה יכול להשתנות בתחומי שיפוט שונים. תצטרך לבדוק היטב כדי לוודא שאתה מיישם את כל התקנות הרלוונטיות על ה-PII שלך.
אה, ואם אתה מחזיק במידע על מישהו שמת (בצער רב), כנראה שזה לא יהיה PII. מידע על הנפטר אינו מסווג בדרך כלל כאישי. פרטים של חברות, רשויות ציבוריות או ארגונים אחרים כנראה גם אינם PII.
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
PIMS היא מערכת לניהול מידע אישי. הוא משלב:
כדי להגן על המידע המאפשר זיהוי אישי (PII) שהארגון שלך מחזיק בו ומשתמש בו. PIMS יעיל ירגיע את הארגון שלך:
PIMS שלך יעזור לך לאחסן ולשתף PII, הן פנימית והן חיצונית. ה-PIMS הנכון גם יקל על אנשים לעדכן ולתקן כל מידע שאתה מחזיק עליהם.
כדי ליישם את ISO 27701, הארגון שלך צריך ל:
1. תהליך ו/או ניהול מידע אישי מזהה (PII)
2. יש מערכת ניהול אבטחת מידע עם אישור ISO 27001 (ISMS)
זה לא משנה איזה סוג או גודל של ארגון אתה. הדרישות של ISO 27701 מתגמשות כדי לכסות את כל הסוגים והגדלים של ארגונים. זה כולל (אך לא מוגבל ל):
1. חברות ציבוריות ופרטיות
2. גופים ממשלתיים
3. ארגונים ללא מטרות רווח
הכירו את תקן ISO 27701. זה יעזור לך להגדיר את אסטרטגיית ניהול הפרטיות שלך ולתכנן את ה-PIMS שלך. בשלב הבא בנה את ה-PIMS שלך, צור את המערכות והבקרות הטקטיות שלו. לאחר מכן יישם את ה-PIMS שלך, וודא שאתה עומד בכל דרישות ISO 27701.
אתה תהיה מוכן לביקורת שלך ברגע שתתאפשר הסמכה מלאה של ISO 27701. כרגע התקן כל כך חדש שאף אחד לא מוסמך לאשר אותך עליו.
אה, וכדי להשיג את תקן ISO 27001 תצטרך להיות תואם לתקן ISO 27001 או מוסמך. אם אין לך ISO 27001, תצטרך לתכנן גם איך ליישם אותו.
ISO/IEC 27701:2019 הוא כל כך חדש שאין לו גופי הסמכה מוסמכים. לכן, בזמן כתיבת שורות אלה, אתה לא באמת יכול לקבל אישור ISO 27701.<.p>
אנו ממליצים השגת תאימות לתקן ISO 27001, אז אתה מוכן כשההסמכה תתאפשר. נראה שתוכל לקבל אישור ISO 27701 מאמצע 2021 ואילך.
כדי להשיג תאימות ל-ISO/IEC 27701:2019, עליך לתכנן, לבנות ולהטמיע מערכת ניהול מידע אישי (PIMS) עבור הארגון שלך.
ה-PIMS החדש שלך אמור לעקוב:
1. תקן ISO 27701 בכל הדרכים הרלוונטיות
2. כל תקנות לאומיות או בינלאומיות החלות על הארגון שלך
ISO 27701 מניח שכבר השגת תאימות או הסמכה ל-ISO 27001. זה אומר יצירת מערכת ניהול אבטחת מידע (ISMS). אתה יכול להגדיר את ה-ISMS שלך לפני או לצד יישום ISO 27701 שלך.
כאשר אתה הולך לקבל הסמכה ISO 27701, המבקרים שלך יעריכו את ה-PIMS שלך על ידי:
1. קריאת תיעוד ה-PIMS שלך
2. לראיין את האנשים שלך כדי לוודא שהם מבינים את זה ומשתמשים בזה
3. ביצוע בדיקות כדי לראות עד כמה זה עובד בפועל
כדי להראות תרגול טוב של ISO 27701, תצטרך:
1. תיעוד PIMS מקיף
2. צוות מיומן היטב
3. מדיניות ונהלים מובנים ונעשים לפיהם
ISO/IEC 27701:2019 הוא כל כך חדש שאין לו גופי הסמכה מוסמכים. אז, בזמן כתיבת שורות אלה, אתה לא באמת יכול לקבל אישור ISO 27701. כאשר הסמכת ISO 27701 אכן תתאפשר, היא תבצע תהליך דומה להסמכת ISO 27001.
ראשית תצטרך לעצב, לבנות וליישם את מערכת ניהול המידע האישי שלך (PIMS). ודא שאתה עומד בדרישות המפורטות בתקן ISO 27701. לאחר מכן הירשם לגוף הסמכה בלתי תלוי מוכר, שיבדוק את ה-PIMS שלך.
המבקרים של גוף ההסמכה שלך יעריכו את תיעוד ה-PIMS שלך. לאחר מכן הם יבדקו את ה-PIMS שלך, בדרך כלל באמצעות ראיונות ודגימה באתר. אם תעבור את הביקורת שלך, אתה מוסמך. לאחר מכן יהיו לך שתי ביקורות מעקב שנתיות. לאחר שלוש שנים, תצטרך לקבל הסמכה מחדש.
ISO 27701 ממלא כמה פערים במידע הניתן לזיהוי אישי ב-ISO 27001. כך שתוכל ליישם אותו לצד או אחרי ISO 27001.
כמו גם ISO 27001, ISO 27701 ממפות על:
זכור כי תצטרך גם לציית לכל התקנות המקומיות אם אתה ממפה את ISO 27701 לכל תקן אחר.
ISO 27701 נפרד מ-GDPR. אבל אם אתה תואם או מוסמך ISO 27701, מערכת ניהול המידע האישי שלך תהיה תואמת GDPR.
ISO 27701 פותח לראשונה כ-ISO/IEC 27522. שמו של התקן השתנה ל-ISO 27701 לפני השקתו ב-2019. ISO 27522 הפך ל-ISO 27701 מכיוון שכל תקן שאומר לך כיצד להקים מערכת ניהול חייב להסתיים ב-01.
השמיים משפחת התקנים ISO 27000 מתמקד באבטחת מידע. לכל תקן ISO 27000 יש דגש ודרישות שונות של infosec. ארגונים מכל גודל או סוג יכולים להשתמש בהם.
בני משפחה מרכזיים כוללים:
נספח D של תקן ISO 27701 אומר לך כיצד למפות את הבקרות שלו בהתאם לתקנת הגנת הנתונים הכללית של האיחוד האירופי (GDPR).
נספח F של תקן ISO 27701 מסביר כיצד להרחיב את ISO IEC 27001 ו ISO / IEC 27002 כדי להגן על מידע אישי מזהה (PII).
כדי לעשות לך דברים פשוטים, ISMS.online בנתה פלטפורמה מבוססת ענן. פלטפורמה זו עומדת בקריטריונים של תקני ISO וגם עומדת בדרישות של ISO 27701. זה מאפשר לך ליצור ולהוכיח עמידה בתקן ISO 27701, ובכך לפשט את ההסמכה.
הפלטפורמה מבוססת הענן שלנו מאפשרת לך לגשת לכל משאבי ה-ISMS שלך במקום אחד. יש לנו צוות פנימי של מומחי אבטחת מידע שיכולים לספק הדרכה ולענות על שאלות כדי לעזור לך בדרך להטמעת ISO 27701, כך שתוכל להפגין את מסירותך לשיטות עבודה מומלצות של ממשל אבטחת מידע. התקשר ל-ISMS.online + 44 (0) 1273 041140 למידע נוסף על איך אנחנו יכולים לעזור לך לקבל הסמכה ל-ISO 27701.
קבל החלטות טובות יותר והראה שאתה בשליטה עם לוחות מחוונים, מדדי KPI ודיווח קשור
למידע נוסףהאיר אור על מערכות יחסים קריטיות וקשר באלגנטיות בין תחומים כמו נכסים, סיכונים, בקרות וספקים
למידע נוסףאינטגרציות מחוץ לקופסה עם מערכות עסקיות מפתח אחרות שלך כדי לפשט את התאימות שלך
למידע נוסףהוסף בצורה מסודרת תחומים אחרים של תאימות המשפיעים על הארגון שלך כדי להשיג עוד יותר
למידע נוסף100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה