ISO / IEC 27701: 2019, uluslararası bilgi güvenliği yönetim standardı ISO / IEC 27001 için bir gizlilik uzantısıdır (ISO / IEC 27701 Güvenlik teknikleri - Gizlilik bilgileri yönetimi için ISO / IEC 27001 ve ISO / IEC 27002'ye genişletme - Gereksinimler ve yönergeler) .
ISO 27701, bir PIMS (gizlilik bilgi yönetim sistemi) oluşturmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereksinimleri belirtir - ve yol gösterir.
ISO 27701, ISO 27001'in gereksinimlerine, kontrol hedeflerine ve kontrollerine dayanır ve gizliliğe özgü bir dizi gereksinimi, kontrolü ve kontrol hedefini içerir.
Hem AB GDPR (Genel Veri Koruma Yönetmeliği) hem de İngiltere DPA (Veri Koruma Yasası) 2018 , kuruluşların işledikleri kişisel verilerin gizliliğini sağlamak için önlemler almasını gerektirir.
Ancak, her iki düzenleme de bu önlemlerin neye benzemesi gerektiği konusunda fazla rehberlik sağlamamaktadır.
ISO (Uluslararası Standardizasyon Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) bu nedenle bu rehberlik sağlamak için bu yeni bir standart geliştirdi.
Bu standart, GDPR çerçevesinde olan gereklilikleri belirler ve kuruluş kapsamında gizlilik yönetimi için ISO / IEC 27001 ve ISO / IEC 27002'ye genişletme şeklinde bir Gizlilik Bilgi Yönetim Sistemi (PIMS) oluşturmak, uygulamak, sürdürmek ve sürekli olarak iyileştirmek için rehberlik sağlar. Diğer yandan PIMS ile ilgili gereklilikleri belirler ve PII uzmanlarının sorumluluğunu ve sorumluluğunu taşıyan PII denetleyicilerine rehberlik eder. Ayrıca, kamu ve özel şirketler, devlet kurumları ve kar amacı gütmeyen kuruluşlar da dahil olmak üzere, bir ISMS içinde PII işleme yapan PII denetleyicileri ve / veya PII işlemcileri dahil olmak üzere her tür ve boyuttaki kuruluş için geçerlidir.
Sektöre özgü ISO / IEC 27001 varyantı tarzında , ~ 70 sayfalık standart, PIMS ile ilgili 27001 ve 27002 standartlarının yan tümcesi maddelerindeki farklılıklar üzerinde durmaktadır.
Örneğin:
“ISO / IEC 27001: 2013, 6.1.3.c) aşağıdaki gibi revize edilmiştir:
ISO / IEC 27001: 2013'ün 6.1.3 b) 'sinde belirlenen kontroller, gerekli kontrollerin atlanmadığını doğrulamak için bu belgenin ISO / IEC 27001: 2013, Ek A ve / veya Ek B'dekilerle karşılaştırılacaktır.
Risklerin ortadan kaldırılması için ISO / IEC 27001: 2013 Ek A'daki kontrol hedefleri ve kontrollerinin uygulanabilirliği değerlendirilirken, kontrol hedefleri ve kontrolleri, hem bilgi güvenliği riskleri hem de işlenmesi ile ilgili riskler bağlamında dikkate alınacaktır. PII müdürleri için riskler de dahil olmak üzere. ”
Bu, mevcut bir Bilgi Güvenliği Yönetim Sistemini geliştirerek bireylerin ve kuruluşların gizlilik hakları riskini azaltır.
Bu standart, müşterilere, dış paydaşlara ve iç paydaşlara, GSYİH ve diğer ilgili gizlilik mevzuatına uyumu desteklemek için etkili sistemlerin mevcut olduğunu göstermenin harika bir yoludur.
GDPR'ye uymak için ISO 27701 sertifikası almak isteyen kuruluşların ya mevcut bir ISO 27001 sertifikasına sahip olması ya da tek bir uygulama denetimi olarak ISO 27001 ve ISO 27701'i birlikte uygulaması gerekecektir. ISO 27701, ISO 27001'de belirtilen gereksinimlere ve rehberliğe doğal bir genişlemedir.
ISO 27001 standardı, bilgilerin gizliliğinin, bütünlüğünün ve kullanılabilirliğinin yanı sıra yasal uygunluğun devam etmesini sağlayan bir Bilgi Güvenliği Yönetim Sistemleri (ISMS) için bir çerçeve sağlar. Dünya çapında 60.000'den fazla kuruluş bugüne kadar ISO 27001 sertifikasına sahiptir ve sertifikasyonu en hayati varlıklarınızı korumanın önemli bir parçası olarak kanıtlamıştır.
Bir gizlilik bilgi yönetim sistemi ve bir bilgi güvenlik sistemi arasındaki sistem ve teknik gereksinimlerdeki önemli çakışma, ISO 27001 ve ISO 27701'i benimsemek için zorlayıcı bir durum sunmaktadır.
Öncelikle kuruluşun, standardın zorunlu gerekliliklerini karşılayıp karşılamadığı ve bir sonraki aşamaya geçilip geçilmeyeceği belirlenir.
Gerekli prosedür ve denetimlerin geliştirilip geliştirilmediği kontrol edilir ve kurumunuzun değerlendirmeye hazırlığı gözden geçirilir.
İlk iki aşamada ortaya çıkan bulgular değerlendirilir ve yapılan her türlü düzeltici işlem gözden geçirildikten sonra belge hazırlama işlemine geçilir.
Randevu almak, daha detaylı bilgi edinmek yada değerlendirme talep etmek için formumuzu doldurarak size ulaşmamızı isteyebilirsiniz.
