7 августа 2019
BSI опубликовала новый стандарт, добавив менеджмент персональных данных в общепризнанный стандарт информационной безопасности ISO/IEC 27001. Этот пост в блоге познакомит Вас с новым стандартом.
В мире все больше информации оцифровывается и используется в электронном виде. Мы видим это в нашей повседневной жизни. В большей степени среди коммерческих платформ, но и государственные программы также развиваются. Например, электронные карты пациентов в Великобритании, созданные совместно с NHS Digital.
Одним из результатов является то, что обрабатывается больше личной информации, чем когда-либо прежде. В ответ на это растёт и количество правил по обработке персональных данных организациями. Европейский союз, в рамках защиты права на неприкосновенность частной жизни физических лиц, ввел Общие правила о защите данных, и многие страны, включая Корею, Австралию и Китай, ввели аналогичное законодательство о защите персональных данных.
Все это означает, что организации как никогда нуждаются в контроле над управлением персональными данными и их обработкой. Это привело к тому, что международные организации по стандартизации IEC и ISO разработали ISO/IEC 27701:2019 Методы и средства обеспечения безопасности – Расширение ISO/IEC 27001 и ISO/IEC 27002 в области менеджмента персональной информации – Требования и рекомендации.
Что включает новый стандарт?
ISO и IEC посчитали, что имеет смысл представить решение по защите персональных данных на базе существующей и уже устоявшейся и прочной основе ISO/IEC 27001. Фактически этот стандарт был написан для того, чтобы позволить добавлять отраслевые требования.
Новый стандарт предоставляет дополнительные рекомендации и требования для создания, внедрения, обслуживания и постоянного улучшения системы менеджмента персональной информации (СМПИ). Стандарт содержит дополнительные рекомендации для обеспечения возможности его применения организациями всех размеров и типов.
Новый стандарт описывает структуру, которую операторы и обработчики персональных данных могут использовать для менеджмента персональной информации, снижая риски, связанные с неприкосновенностью персональной информации.
В соответствии с ISO/IEC 27701 операторы персональных данных собирают личную информацию и определяют цели, для которых она будет обрабатываться. Обработчики персональных данных обрабатывают персональные данные от лица оператора и в полном соответствии с его требованиями. Обратите внимание, что более чем одна организация может выступать в качестве оператора персональных данных, часто называемые совместными операторами. Это приводит к обязательному оформлению Согласия на обработку персональных данных субъекта и в свою очередь создает возможности для бизнеса за счет повышения доверия между организациями и субъектами.
Почему использование ISO/IEC 27701 так важно?
Организации, соответствующие требованиям нового стандарта, должны иметь документированное подтверждение того, как они обрабатывают персональные данные. Это очень важно, и, как отмечалось выше, может содействовать развитию отношений с другими заинтересованными сторонами и способствовать заключению новых соглашений с деловыми партнерами. Стандарт также устанавливает четкие роли и обязанности, которые также помогают обеспечить прозрачность и установить доверие между заинтересованными сторонами.
Правда заключается в том, что у организаций нет другого выбора, кроме как соответствовать растущими требованиями регулирующих органов. Более того, ситуации, когда организации не могут защитить персональные данные людей, расцениваются как злоупотребление доверием и могут иметь значительные негативные последствия для репутации. Таким образом, появление ISO/IEC 27701 представляется очень своевременным и необходимым.
В дополнение к озвученным преимуществам, можно сказать, что создание стандарта на основе системного подхода обеспечивает надежный и в то же время относительно простой способ разработки и внедрения международно-признанного подхода по управлению персональными данными и именно его, вероятнее всего, выберут многие организации.
