Managementul Informatiei Confidentiale – ISO/IEC 27701:2019
Lumea noastra digitala, in care acum suntem mai conectati ca niciodata, aduce cu ea bucuriile si riscurile aferente.
Securitatea cibernetica este o preocupare din ce in ce mai mare, atacurile impotriva afacerilor aproape dublandu-se in ultimii ani si reprezentand o amenintare tot mai semnificativa la adresa stabilitatii globale.
In mod surprinzator, se pun rapid in aplicare legi si reglementari pentru a reduce aceste riscuri si a proteja intimitatea/ confidentialitatea noastra digitala. Cum pot organizatiile sa respecte aceste cerinte si sa se protejeze in acelasi timp? Primul standard international din lume care ajuta organizatiile sa gestioneze informatiile despre confidentialitate si sa indeplineasca cerintele de reglementare a fost publicat recent.
Protejarea confidentialitatii noastre digitale este o preocupare semnificativa pentru afaceri.
Conform IBM, costul mediu al unei incalcari a securitatii datelor este de 3.6 milioane USD, iar obligatiile legale sunt din ce in ce mai stricte. Pe masura ce ne conectam mai mult, guvernele din intreaga lume introduc diferite reglementari privind confidentialitatea/ protectia vietii private, cum ar fi Regulamentul Uniunii Europene privind Protectia Datelor (GDPR), la care trebuie sa adere organizatiile. Noile standarde ISO vor ajuta companiile sa indeplineasca aceste cerinte, indiferent de jurisdictia in care lucreaza.
ISO/IEC 27701:2019 “Tehnici de securitate – Extinderea ISO/IEC 27001 si ISO/IEC 27002 pentru gestionarea informatiilor privind confidentialitatea – Cerinte si indrumari” specifica cerintele si ofera indrumari pentru stabilirea, implementarea, mentinerea si imbunatatirea continua a unui Sistem de Management al Informatiilor Private (PIMS) sub forma unei extinderi/completari a standardelor ISO/IEC 27001 si ISO/IEC 27002 pentru gestionarea confidentialitatii in contextul organizatiei. Cu alte cuvinte, un sistem de management pentru protejarea datelor cu caracter personal (PIMS).
Acest document specifica cerintele legate de PIMS si ofera indicatii pentru controlorii PII si persoanele imputernicite de operatorii PII care isi asuma responsabilitatea si raspunderea pentru procesarea PII.
ISO/IEC 27701:2019 se aplica tuturor tipurilor si dimensiunilor organizatiilor, inclusiv companiilor publice si private, entitatilor guvernamentale si organizatiilor non-profit, care sunt controlori PII si/sau persoanele imputernicite de operatorii PII ce proceseaza PII in cadrul unui ISMS.
Cunoscut anterior ca ISO/IEC 27552 in timpul dezvoltarii sale, acesta se bazeaza pe ISO/IEC 27001 “Tehnologia informatiei – Tehnici de securitate – Sisteme de management al securitatii informatiei – Cerinte”, furnizand cerintele suplimentare necesare in ceea ce priveste confidentialitatea.
Aproape fiecare organizatie proceseaza informatii de identificare personala (PII), iar protejarea acestora nu este doar o cerinta legala, ci si o necesitate sociala.
ISO/IEC 27701:2019 defineste procesele si contine indrumari pentru protejarea PII (informatiilor de identificare personala) in permanenta, in continua evolutie. Deoarece este un sistem de management, acesta defineste procesele de imbunatatire continua a protectiei datelor, deosebit de importante intr-o lume in care tehnologia nu sta pe loc.
Microsoft este un participant activ in comisie.
Conform iso.org, Julie Brill, vicepresedinte al companiei si consilier general adjunct pentru chestiuni de confidentialitate si afacerilor de reglementare la Microsoft a declarat:
„Aplaudam comitetul tehnic ISO/IEC pentru dezvoltarea acestui standard inovator pentru confidentialitate, astfel incat organizatiile de toate dimensiunile, jurisdictiile si industriile sa poata proteja si controla eficient datele cu caracter personal pe care le gestioneaza. In urmatoarea etapa a angajamentului Microsoft de a extinde drepturile oferite clientilor nostri la nivel global prevazute in Regulamentul general al Uniunii Europene privind protectia datelor, Microsoft Azure si Office 365 vor implementa standardul IMS si vor ajuta clientii si partenerii nostri in adoptarea acestui model interoperabil.
ISO/IEC 27701:2019 a fost elaborat de grupul de lucru 5 al Comitetului Tehnic ISO/IEC ISO/IEC JTC1/SC 27 „Securitatea informatiilor, securitatea cibernetica si protectia datelor private”, care este format din experti din intreaga lume din partea autoritatilor de protectie a datelor, a agentiilor de securitate, a mediului academic si a industriei.
Matthieu Grall de la Comisia Nationale de l’Informatique et des Libertés, organismul francez independent de supraveghere pentru protectia datelor cu caracter personal, a fost un participant activ al SC 27 si a contribuit la elaborarea standardului. Cu cerinte si legi din ce in ce mai stricte privind protectia datelor, el a afirmat ca exista o nevoie reala de acest standard.
„In ciuda riscurilor de a nu se conforma acestor reglementari, stim ca multe organizatii pur si simplu nu sunt pregatite si au nevoie de indrumare. Avand in vedere ca numarul plangerilor si amenzilor legate de confidentialitate si protectia datelor este in crestere, necesitatea acestui standard este acum evidenta.
In plus, organizatiile trebuie sa confere incredere autoritatilor, partenerilor, clientilor si angajatorilor lor. Un astfel de standard va contribui puternic/ semnificativ la aceasta incredere.”
Sursa: iso.org