La primera edición de la norma ISO / IEC 27701: 2019 – Tecnología de la información – Técnicas de seguridad – Extensión a ISO / IEC 27001 y a ISO / IEC 27002 para la gestión de la privacidad de la información – Requisitos y directrices se ha publicado en agosto de 2019.
Introducción.
ISO/IEC 27701: 2019 (anteriormente conocida como ISO/IEC 27552 durante el período de redacción) es una extensión de privacidad a la ISO/IEC 27001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos.
Aunque existe una superposición sustancial entre la seguridad de la información y la gestión de la privacidad, ambos campos son más amplios. Esta norma explica cómo mejorar, adaptar y extender un Sistema de Gestión de Seguridad de la Información bajo ISO/IEC 27001 (SGSI, o SIMS por sus siglas en inglés de Information Security Management System) y los controles ISO / IEC 27002 [u otros] asociados para gestionar tanto la privacidad como la seguridad de la información.
Las mayores filtraciones de información y fallos de seguridad suelen estar provocados por las personas.
Alcance de la norma.
El estándar especifica un Sistema de Gestión de Información de la Privacidad, SGIP (Privacy Information Management System, PIMS) basado en ISO/IEC 27001 (SGSI o ISMS), ISO/IEC 27002 (controles de seguridad) e ISO/IEC 29100 (marco de privacidad). Es aplicable tanto a los controladores como a los procesadores de PII, Personally Identifiable Information (información personal, información personalmente identificable o información personal de identificación).
La aplicación prevista de ISO/IEC 27701 es aumentar el SGSI/ISMS existente con controles específicos de privacidad y, por lo tanto, crear PIMS para permitir una gestión de privacidad efectiva dentro de una organización.
Un PIMS robusto tiene muchos beneficios potenciales para los responsables y encargados PII, con al menos tres ventajas significativas:
- Primero, lograr el cumplimiento de los requisitos de privacidad (particularmente leyes y regulaciones, más acuerdos con terceros, políticas de privacidad corporativas, etc.) es una carga, especialmente si los requisitos no están organizados de la manera más efectiva para los controladores y procesadores PII.
Las organizaciones sujetas a múltiples obligaciones de cumplimiento de privacidad (por ejemplo, de varias jurisdicciones en las que operan o viven los interesados) se enfrentan a cargas adicionales para conciliar, satisfacer y vigilar todos los requisitos aplicables. Un enfoque administrado alivia la carga de cumplimiento, por ejemplo, como lo demuestra el Anexo C de la norma: un solo control de privacidad puede satisfacer múltiples requisitos del Reglamento General de Protección de Datos (RGPD). - En segundo lugar, lograr y mantener el cumplimiento de los requisitos aplicables es una cuestión de gobernanza y garantía.
Con base en el PIMS (y, potencialmente, su certificación), los DPOs pueden proporcionar la evidencia necesaria para asegurar, a las partes interesadas (alta gerencia, propietarios, autoridades, etc.) que se cumplen los requisitos de privacidad aplicables. - En tercer lugar, la certificación PIMS puede ser valiosa para comunicar el cumplimiento de la privacidad a clientes y socios. Los responsables PII generalmente exigen pruebas de los encargados PII de que el sistema de gestión de privacidad de éstos (encargados PII) cumple con los requisitos de privacidad aplicables.
Un marco de pruebas uniforme basado en estándares internacionales puede simplificar en gran medida dicha comunicación de transparencia de cumplimiento, especialmente cuando la evidencia es validada por un auditor externo acreditado.
Esta necesidad en la comunicación de la transparencia del cumplimiento también es crítica para las decisiones comerciales estratégicas, como fusiones y adquisiciones, y escenarios de co-responsables que involucran un acuerdo de intercambio de datos. Por último, la certificación PIMS puede servir para indicar confiabilidad al público.
Contenido de la norma
Al estilo de una variante específica del sector de ISO/IEC 27001, el estándar desarrolla las diferencias relacionadas con PIMS con los estándares 27001 y 27002 cláusula por cláusula.
Por ejemplo:
“ISO / IEC 27001: 2013, 6.1.3.c) se refina de la siguiente manera:
Los controles determinados en 6.1.3 b) de ISO / IEC 27001: 2013 se compararán con los de ISO / IEC 27001: 2013, Anexo A y / o Anexo B de este documento para verificar que no se hayan omitido los controles necesarios.
Al evaluar la aplicabilidad de los objetivos de control y los controles de ISO / IEC 27001: 2013 Anexo A para el tratamiento de riesgos, los objetivos y controles de control deben considerarse en el contexto tanto de los riesgos para la seguridad de la información como de los riesgos relacionados con el procesamiento de PII, incluidos los riesgos para los directores de PII «.
Notas.
Alguien familiarizado con ISO 27001 debería tener pocas dificultades para aplicar los principios de gestión de riesgos de la información a la información personal. La norma ofrece 66 páginas de consejos.