ISO 27701:2019 - Sistema de Gestión de Privacidad de la Información
Introducción
Toda organización procesa información de identificación personal (PII). Las técnicas de seguridad de la norma ISO 27701:2019 son una extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 y especifican los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de la privacidad de la información (SGPI) dentro del contexto de la organización y se integra con el sistema de gestión de la seguridad de la información (SGSI).
Certificación ISO 27701
Los beneficios de la ISO 27701 son que se centra tanto en los requisitos de los controladores como de los procesadores con controles definidos en la ISO 27701. La norma reducirá las cargas de trabajo al reducir la necesidad de múltiples certificaciones y cumple con las leyes de privacidad globales y, por lo tanto, generará más confianza entre la organización y sus partes interesadas.
Las organizaciones certificadas en la ISO 27701 pueden promocionarse como titulares de certificados en sus materiales promocionales y pueden incluir el logotipo de certificación URS de forma gratuita.
¿Por qué certificarse con la ISO 27701 - Sistema de Gestión de Privacidad de la Información?
- Cumplimiento Normativo: Facilita el cumplimiento con leyes de privacidad como el GDPR.
- Protección de Datos: Mejora la gestión y seguridad de datos personales.
- Confianza del Cliente: Refuerza la confianza al demostrar compromiso con la privacidad.
- Reducción de Riesgos: Identifica y mitiga riesgos de privacidad.
- Ventaja Competitiva: Ofrece diferenciación en el mercado.
¿Qué es la norma ISO 27701?
La norma ISO 27701 se centra en los requisitos de los responsables y encargados del tratamiento dentro de los controles definidos en la norma. La aplicación de esta norma reduce la carga de trabajo al reducir la necesidad de múltiples certificaciones, a la vez que cumple con las leyes globales de privacidad.
Esta norma también proporciona orientación a las organizaciones que establecen, implementan, mantienen y mejoran su Sistema de Gestión de la Información de Privacidad (SGPI).
Una vez certificadas, las organizaciones pueden promocionarse con orgullo como titulares de la certificación en cualquiera de sus materiales promocionales e incluir el logotipo de certificación URS de forma gratuita.
¿Quién necesita una certificación ISO 27701?
Cualquier organización que recopile, almacene o procese información de identificación personal (PII) debería considerar obtener la certificación ISO 27701. Los sectores aplicables incluyen:
- Empresas públicas/privadas
- Divisiones gubernamentales
- Organizaciones sin fines de lucro
¿Cómo puede la ISO 27701 beneficiar a su negocio?
Obtener la certificación ISO 27701 puede aportar una amplia gama de beneficios a su organización, entre ellos:
- Mitigación de riesgos
- Concientizando a sus empleados
- Mejorar la confianza de los clientes en su organización
- Creación de un proceso estructurado para gestionar la privacidad de los datos personales
¿Cómo puedes prepararte para una certificación ISO 27701?
Si bien la idea de iniciar el proceso de certificación puede parecer desalentadora, hay una variedad de pasos que puede seguir para que el proceso de certificación sea mucho más ágil:
- Familiarícese con la norma ISO 27701
- Realizar una evaluación de riesgos de privacidad
- Implementar controles de privacidad
- Realizar un análisis de brechas para resaltar áreas de mejora
¿Cuáles son los requisitos clave de la norma ISO 27701?
Al trabajar para obtener la certificación ISO 27701, la auditoría se centrará en diversas áreas. Estas áreas incluyen:
- Controles de protección de datos
- Respuesta a incidentes
- Desarrollo de la política de privacidad
- Formación y concienciación
¿Qué cláusulas componen la estructura de la norma ISO 27701?
Cláusulas 1-4 – Cláusulas introductorias:
Las primeras cuatro cláusulas de la norma ISO 27701 presentan el alcance y la aplicación de la norma, y destacan las normas adicionales a las que se hace referencia.
La cláusula 3, en particular, desempeña un papel importante al definir los términos técnicos utilizados en la norma, mientras que la cláusula 4 presenta la estructura del documento y resume el contenido de cada una de sus cláusulas.
Cláusula 5 – Requisitos específicos de PIMS relacionados con la norma ISO/IEC 27001:
La cláusula 5 proporciona requisitos específicos del PIMS que se basan en los requisitos de seguridad de la información establecidos en la norma ISO/IEC 27001. Estos puntos de orientación adicionales cubren el contexto de la organización y los medios para determinar el alcance del SGSI.
Cláusula 6 – Orientación específica de PIMS relacionada con la norma ISO/IE 27002:
La cláusula 5 describe los requisitos para la alta dirección y el liderazgo involucrados en el ciclo de vida del sistema de gestión de la inocuidad alimentaria. Esta cláusula también proporciona orientación sobre la creación de políticas de inocuidad alimentaria y la asignación de funciones y responsabilidades.
Cláusula 7 - Orientación adicional ISO/IEC 27002 para controladores de PII:
La cláusula 7 proporciona requisitos adicionales de la norma ISO/IEC 27002 para los controladores de PII y amplía las subcláusulas relacionadas con la recopilación y el procesamiento, la obtención y el registro del consentimiento y las evaluaciones del impacto en la privacidad.
Cláusula 8 – Orientación adicional ISO/IEC para procesadores de PII:
La cláusula 8 se centra en los requisitos adicionales específicos del esquema para el procesador de PII que se han introducido junto con la norma ISO/IEC 27002. Estos requisitos incluyen la recopilación y el procesamiento, los acuerdos con los clientes y el marketing y la publicidad.
¿Cuánto tiempo será válido su certificado ISO 27701?
Su certificado ISO 27701 será válido por al menos tres años, dependiendo del tipo de sitio que se esté certificando.
