În RGPD se fac numeroase referințe la importanța sistemelor de certificare pentru atingerea mai rapidă a conformității.
ISO 27001 este standardul internațional de bune practici pentru securitatea informațiilor și cuprinde cele trei aspecte esențiale ale asigurării securităţii informațiilor: oameni, procese și tehnologie. Prin această abordare, la punerea în aplicare a măsurilor de protecție a informațiilor, organizaţia se poate apăra nu numai de riscurile bazate pe tehnologie, ci și de alte amenințări mai frecvente, cum ar fi personalul prost informat sau procedurile ineficiente.
Paralela dintre RGPD și ISO 27001 este evidentă atunci când vine vorba de securitatea datelor personale identificabile.
Atât pentru respectarea RGPD, cât și pentru ISO 27001 organizațiile sunt obligate să pună în aplicare măsuri de securitate adecvate pentru a asigura confidențialitatea, disponibilitatea și integritatea.
RGPD prevede în mod clar că atât operatorul cât şi împuternicitul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate adecvat riscului.
ISO 27001 oferă mijloacele necesare pentru a asigura această protecție.
Astfel:
- ISO 27001 oferă cadru pentru protecția informațiilor;
- un sistem de management al securităţii informaţiei permite organizaţiilor ce prelucrează date cu caracter personal să demonstreze că riscurile sunt permanent revizuite şi că se iau măsuri pentru tratarea lor;
- criptarea este o măsură de reducere a riscurilor in ISO 27001 cerută alături de pseudomizare şi de RGPD;
- conform ISO 27001 se face o clasificare a informaţiilor;
- ISO 27001 dar şi RGPD cer o evaluare a riscurilor;
- RGPD cere să se ia măsuri pentru reducerea riscurilor iar ISO 27001 cere organizaţiilor să implementeze măsuri şi controale organizaţionale pentru reducere riscuri;
- ISO 27001 cere realizarea unor teste de vulnerabilitate;
- ISO 27001 impune conformarea cu cerinţele legale;
- ISO 27001 prin cerinţa sa de gestionare a incidentelor de securitate asigură o abordare eficientă a oricărui incident de securitate; managementul incidentelor trebuie să facă parte din politicile de securitate ale oricărei organizații, alături de procedurile de backup, continuitate în business, recuperarea în caz de dezastru, gestionarea riscurilor și gestionarea configurației;
- prin gestionarea activelor conform ISO 27001 orice organizaţie poate înţelege exact ce date deţine, cât şi unde le stochează, cât timp, care este originea și cine are acces, care sunt toate cerințe ale GDPR;
- prin tratarea produsului pe tot ciclul să de viaţă conform ISO 27001 se asigură şi confidenţialitatea prin design;
- prin protecţia activelor organizaţiei accesibile către furnizori se asigură şi respectarea rRGPD cu privire la contactele de afaceri.
Securitatea informațiilor nu se referă numai la tehnologie; este vorba de oameni și procese. Pe lângă controalele tehnice adoptate, documentația structurată, monitorizarea și îmbunătățirea continuă, implementarea standardului ISO 27001 promovează o cultură de conștientizare a incidentelor de securitate în cadrul organizațiilor. Angajații acestor organizații sunt mai conștienți și au mai multe cunoștințe pentru a putea detecta și raporta incidentele de securitate.
Cerințele pentru îndeplinirea standardului ISO 27001 nu se opresc aici. Fiind un standard amplu, acesta acoperă multe alte elemente, inclusiv importanța formării profesionale a personalului și sprijinul din partea conducerii.
Sigur există şi cerinţe RGPD neacoperite de ISO 27001 cum ar fi cerinţele referitoare consimțământ, prelucrare echitabilă, minimizarea datelor, limitarea stocării, cerința de a desemna un responsabil cu protecția datelor și susținerea drepturilor indivizilor privind accesul, rectificarea, ștergerea și transferul de date.
Însă ISO 27001 oferă o bază solidă pentru respectarea cerinţelor RGPD.
referinta Cloud Mania