ISO 27701 – La norme pour la gestion des informations confidentielles

Qu'est-ce que l'ISO 27701?

À la suite du Règlement général sur la protection des données (RGPD) de l'UE, du POPIA d'Afrique du Sud, de la LGPD du Brésil, des Principes de confidentialité d'Australie et de nombreuses lois et réglementations similaires en matière de confidentialité en cours d'élaboration dans le monde ; il y a un besoin croissant d’un code de conduite, ou d’une norme, pour démontrer la conformité et la certification des données confidentielles. La norme ISO 27701 vise à fournir une approche véritablement internationale de la protection de la vie privée en tant que composante de la sécurité de l'information.

La norme ISO 27701 a été développée pour fournir une norme pour les contrôles de confidentialité des données qui, lorsqu'elle est associée à un SMSI, permet à une organisation de démontrer une gestion efficace des données confidentielles. Il établit les paramètres d'un PIMS en termes de protection de la vie privée et de traitement des informations personnellement identifiables (PII).

La norme ISO 27701 est un moyen impressionnant de démontrer aux consommateurs, aux organisations externes et aux parties prenantes internes que des mécanismes sont en place pour assurer la sécurité des données et se conformer au RGPD et aux autres lois sur la confidentialité.

La norme ISO 27701, une norme PIMS (Privacy Information Management System), présente un ensemble détaillé de listes de contrôle opérationnelles qui peuvent être adaptées à diverses réglementations, dont le RGPD. Les entreprises documentent leurs politiques, procédures, protocoles et activités conformément aux listes de contrôle opérationnelles de la norme, avec des enregistrements ensuite audités par des auditeurs internes et tiers, aboutissant à une preuve détaillée de conformité à la norme. La norme ISO 27701 aide les entreprises à maintenir un système efficace de confidentialité et de sécurité des informations et à réduire les risques liés à la confidentialité.

Quels sont les éléments constitutifs de la norme ?

La norme ISO 27701 est une extension de la norme ISO/IEC 27001, qui est l'une des normes internationales les plus largement utilisées pour la gestion de la sécurité de l'information. Si votre organisation connaît déjà la norme ISO/IEC 27001, l'intégration des nouveaux contrôles de confidentialité du PIMS peut être relativement simple. L'ISO 27701 est également basée sur d'autres normes, comme l'ISO 27002 et l'ISO 29100. L'ISO 27701 ajoute une couche de confidentialité des données aux normes précédentes de sécurité de l'information. Si vous cochez les cases d’autres normes, vous cochez peut-être déjà certaines cases de l’ISO 27701.

Points importants à retenir concernant la norme ISO 27001 et PIMS :

• PIMS fournit de nouveaux contrôles spécifiques aux contrôleurs et aux processeurs qui aident les organisations à surmonter les défis de confidentialité et de sécurité en établissant un point de convergence entre ce qui pourrait être deux fonctions différentes.
• La sécurité est importante pour la confidentialité. La norme ISO 22701 PIMS s'appuie sur la norme ISO 27001 pour la gestion de la sécurité. La certification IS0 27701 est uniquement disponible en complément de la certification ISO 27001 et ne peut pas être obtenue en tant que certificat autonome.

Les défis de la conformité ISO 27701

Conformément aux directives du RGPD, les organisations sont tenues de protéger toutes les informations personnelles identifiables contre le vol, la perte et les dommages.

Les modifications apportées à la loi britannique depuis mai 2018 signifient désormais que les organisations doivent mettre en place une politique de traitement manuel des données RH, avec la capacité de montrer que les données personnelles non pertinentes sont supprimées de manière appropriée. La norme ISO 27701 aide les organisations à relever ces trois défis importants en matière de conformité :

Trop d’exigences réglementaires pour jongler

L’utilisation de la norme ISO 27701 comme système unifié de contrôle opérationnel de la confidentialité des données élimine le besoin de se concentrer sur plusieurs réglementations. En tant que norme internationale, la norme ISO 27701 est conçue pour répondre aux exigences de protection des données et du RGPD, et pour être suffisamment flexible pour s'adapter aux exigences spécifiques du secteur. Cela permet aux entreprises de travailler dans un cadre unique pour répondre à plusieurs exigences réglementaires.

Trop coûteux de procéder à un audit règlement par règlement

Les auditeurs internes et externes utilisent la norme ISO 27701 pour déterminer la conformité réglementaire en un seul cycle d'audit. Cela permet à l’organisation d’économiser de l’argent par rapport à un processus d’audit décousu, réglementation par réglementation.

Les promesses de conformité sans preuve sont potentiellement risquées

Il ne suffit pas que les entreprises suivent les meilleures pratiques en matière de confidentialité des données ; ils doivent également être en mesure de prouver le respect des lois et réglementations. Cela signifie disposer d’un processus de documentation robuste et intégré. Les entreprises ayant des processus complexes peuvent avoir plusieurs types de contrôleurs de données et de sous-traitants, de fournisseurs de cloud et de fournisseurs partenaires. L’incapacité de prouver la conformité aux lois ou réglementations dans n’importe quelle partie de la chaîne d’approvisionnement pourrait exposer l’entreprise à un risque financier et de réputation.

Avantages d'ISO 27701

Démontrez une protection des données de niveau supérieur avec la norme ISO 27701

La norme ISO 27701 est l'un des moyens de montrer que vous respectez toutes les exigences appropriées en matière de protection des données, de confidentialité et de sécurité de la vie privée.

Établir la confiance lors de la gestion des informations personnelles

Lorsqu'il s'agit de traiter des informations personnelles, vous devez disposer d'un moyen de vous assurer que votre organisation fait tout son possible pour garantir que les informations sont traitées correctement et conformément à la loi. ISO 27701 vous donne la norme nécessaire pour instaurer la confiance lors de la gestion des données. Les fournisseurs, les consommateurs et les partenaires peuvent avoir confiance dans vos politiques, procédures et protocoles lorsque vous travaillez selon une norme internationale comme ISO 27701.

S'intègre aux principales normes de sécurité de l'information

La norme ISO 27701 s'intègre aux principales normes de sécurité de l'information. Cela permet un développement et une mise à jour transparents des politiques et des procédures dans différentes normes, et la certitude que vous ne compromettrez pas votre conformité avec d'autres normes en adoptant les normes ISO 27701.

Prend en charge la conformité avec d’autres réglementations en matière de confidentialité

ISO 27701 est la « norme industrielle » pour se conformer à la nouvelle législation sur la protection des données. Même si la norme ISO 27701 est conforme aux principes du RGPD, elle permet également aux organisations de documenter leur conformité à d'autres lois, réglementations, normes et exigences en matière de confidentialité.

Suffisamment flexible pour s'adapter aux spécificités juridictionnelles

La norme ISO 27701 a été développée pour fournir des normes permettant de travailler avec des informations personnelles identifiables afin que vous puissiez respecter les différentes lois sur la confidentialité. Si votre entreprise opère en dehors de l'UE et que vous souhaitez suivre les directives spécifiques au territoire équivalent équivalentes au RGPD, vous pouvez intégrer ces spécificités juridictionnelles dans la norme ISO 27701.

Assure la transparence entre les parties prenantes

La norme ISO 27701 établit la norme en matière de gestion des données confidentielles. La norme rend les processus transparents pour toutes les parties prenantes, engendrant la confiance et le respect mutuel.

Facilite les accords commerciaux efficaces

Lorsque les entreprises s’engagent à respecter les mêmes normes élevées en matière de confidentialité des données, il est plus facile de conclure des accords et de travailler ensemble. La norme ISO 27701 engendre la confiance et garantit que toutes les parties prenantes sont sur la même longueur d'onde lorsqu'il s'agit d'intégrer des systèmes et de partager des processus métier.

ISO 27701 et ISO 27001 – quelles sont les différences ?

ISO 27701 et ISO 27001 sont deux normes qui sont souvent utilisées de manière interchangeable par les non-professionnels de la sécurité de l'information lorsqu'elles font référence à la sécurité de l'information.

Les normes ISO 27001 et ISO 27701 sont des normes de gestion de la sécurité informatique. La différence entre les deux normes est que l'ISO 27001 se concentre sur l'écart entre la gestion des risques et les contrôles de sécurité, tandis que l'ISO 27701 est une norme axée sur le respect des réglementations et des lois en matière de confidentialité telles que le RGPD et la loi sur la protection des données. La norme ISO 27701 se concentre sur les risques liés à la confidentialité des données.

Comment les normes ISO 27001 et ISO 27701 s'intègrent-elles ?

La norme ISO 27701 est une extension de la norme ISO 27001. C'est l'une des normes de gestion des risques, mais elle garantit que l'entreprise se conforme au RGPD et aux autres réglementations PII pertinentes. Avant de pouvoir bénéficier des avantages de sécurité de la norme ISO 27701, vous devez d'abord mettre en œuvre la norme ISO 27001.

Quel est le lien entre la norme ISO 27701 et le RGPD ?

Les organisations doivent sécuriser et garantir l'intégrité de toutes les données sensibles qu'elles traitent en vertu du Règlement général sur la protection des données (RGPD) et de la loi britannique sur la protection des données de 2018 (DPA). Cependant, ni le RGPD ni la DPA ne fournissent de précisions sur les mesures que les entreprises doivent prendre pour garantir la confidentialité des données. C'est là qu'intervient la norme ISO 27701. La norme ISO 27701 fournit les exigences et les lignes directrices d'un processus de bonnes pratiques pour gérer un système de gestion des informations confidentielles (PIMS) doté de fonctionnalités efficaces de sécurité et de confidentialité des données.

Comment la norme ISO 27001 et le RGPD s'intègrent-ils ?

ISO 27001 est la norme internationale de bonnes pratiques pour un système de gestion de la sécurité de l'information (ISMS) adoptée par de nombreux pays à travers le monde. Plus de 35 pays se sont engagés à mettre en œuvre le RGPD. La norme ISO 27701 peut contribuer à la conformité au RGPD.

Premiers pas avec ISO 27701

Si vous possédez une entreprise qui traite des données personnelles, vous devez comprendre comment la nouvelle norme ISO 27701 s'applique à vous. Comprendre les bases de la norme ISO 27701 peut être un défi. Cela est particulièrement vrai si vous êtes habitué à travailler selon des normes différentes.

Mise en œuvre de la norme ISO 27701

Comme pour la plupart des normes officielles, la norme ISO 27701 peut être un peu difficile à comprendre. ISMS.online vous aide en fournissant une solution basée sur le cloud pour documenter la conformité aux exigences de la norme ISO 27701.
La mise en œuvre de la norme ISO 27701 vous offrira un cadre solide pour le respect des lois et réglementations, depuis les réglementations RGPD jusqu'à la protection de niveau HIPAA.

Démonstration de bonnes pratiques

La mise en œuvre de la norme ISO 27701 consiste à démontrer les « bonnes pratiques » en matière de gestion des informations personnelles. La norme ISO 27701 est devenue partie intégrante du cadre de gestion des données pour les entreprises de nombreux secteurs. Cette norme importante constitue un changement de l'accent mis sur la sécurité de l'information par les techniques et les actifs de la norme ISO 27001 vers une approche commerciale davantage basée sur les risques.

Planifier, faire, vérifier, agir

Planifier, Faire, Vérifier, Agir (PDCA) est un cycle d'amélioration continue utilisé par de nombreuses entreprises progressistes et constitue un élément essentiel dans la mise en œuvre de la norme ISO 27701. D'autres peuvent utiliser des noms différents pour les phases, mais l'idée clé est la même : Planifiez ce qui doit être fait ; faire le meilleur travail possible pour la mise en œuvre et l’exécution de cette tâche ; vérifiez les résultats par rapport à votre plan ; et lorsque les changements nécessaires au plan agissent pour améliorer les performances.

Exigences de la norme ISO 27701

Les exigences pour atteindre la conformité ISO/IEC 27701 comprennent :

• Concevez, construisez et mettez en œuvre un système d’informations personnelles pour votre organisation.
• Suivez les directives ISO 27701 lors de la conception et de la mise en œuvre du PIMS.
• Les PIM doivent définir des systèmes stricts et des contrôles tactiques pour gérer les informations personnelles identifiables, y compris la manière dont ces informations sont obtenues, utilisées, partagées et supprimées.
• Définissez des rôles d'utilisateur stricts et des mots de passe forts pour toutes les parties prenantes traitant et contrôlant les données de confidentialité.

La certification ISO 27701 nécessite que vous soyez certifié ISO 27001. Votre système de gestion des informations personnelles s'appuie sur votre système de gestion de la sécurité de l'information (ISMS). Vous pouvez obtenir la certification ISO 27701 en même temps que la certification ISO 27001. Faire les deux simultanément est normalement plus facile, moins gourmand en ressources et moins cher que de les faire en série.

Structure

L'ISO 27701 est divisée en articles, tout comme les autres normes ISO, les articles 5 à 8 détaillant les exigences supplémentaires et les mises à jour qui doivent être ajoutées à l'ISO 27001 :

• L'article 5 décrit les exigences du PIMS pour la conformité à la norme ISO/IEC 27001.
• L'article 6 présente les lignes directrices PIMS pour l'ISO/IEC 27002.
• L'article 7 présente les orientations PIMS pour les contrôleurs PII.
• L'article 8 du PIMS fournit des lignes directrices pour les processeurs de PII.

Les annexes suivantes sont également incluses dans la norme :

• Les objectifs et les contrôles de contrôle de référence spécifiques au PIMS sont mentionnés dans l'Annexe A. (Contrôleurs PII)
• Les objectifs et contrôles de gestion de référence spécifiques au PIMS sont mentionnés dans l'Annexe B. (Processeurs PII)
• Cartographie de l'Annexe C à la norme ISO/IEC 29100
• Correspondance avec le Règlement Général sur la Protection des Données (RGPD) en Annexe D (RGPD).
• Annexe E à la cartographie ISO/IEC 27018 et ISO/IEC 29151
• Annexe F Quelle est la relation entre l'ISO/IEC 27701, l'ISO/IEC 27001 et l'ISO/IEC 27002 ?

Il est toutefois important que vous connaissiez toutes les politiques, procédures et contrôles en place et qu'ils soient suivis de manière cohérente dans toute votre organisation.

Mise en œuvre de la norme ISO 27701

La mise en œuvre de la norme ISO/IEC 27701 est un moyen solide de démarrer un système de gestion des informations confidentielles au sein de n'importe quelle entreprise. De nombreuses entreprises choisissent de mettre en œuvre la norme ISO 27701 parallèlement à la norme ISO 27001. Cela peut réduire les coûts ainsi que le temps et les efforts globaux nécessaires à la mise en œuvre des deux normes.

Chez ISMS.online, nous proposons des solutions basées sur le cloud que votre organisation peut utiliser pour documenter la conformité à la norme ISO 27001, puis à la norme ISO 27701. Nous éliminons l'incertitude et les incertitudes du processus en fournissant un cadre de conformité aux normes ISO.

Qui doit mettre en œuvre la norme ISO 27701 ?

ISO 27701 propose une norme internationale pour toute organisation gérant des données confidentielles. Toute entreprise détenant des informations personnellement identifiables, quels que soient sa taille et son type, peut bénéficier de la mise en œuvre de la norme ISO 27701. La norme ISO 27701 contribue à atténuer les risques financiers et réglementaires associés aux violations de données confidentielles. La norme ISO 27701 s'adresse aux entreprises privées, publiques et même aux agences gouvernementales qui doivent adopter une approche basée sur les risques en matière de détention et de traitement des informations personnelles.

Quels rôles sont impliqués dans la mise en œuvre de la norme ISO 27701 ?

Compte tenu de la portée et de l’ampleur de la norme ISO 27701, il n’est pas surprenant que différents rôles soient impliqués dans la mise en œuvre de la norme. Ces rôles incluent généralement :

• Le responsable de la mise en œuvre/chef de projet
• Responsable de la confidentialité / Délégué à la protection des données
• Gestionnaire de confidentialité/responsable de la protection des données
• Auditeur Interne
• Auditeur externe
• Analyste de confidentialité - pour prendre en compte les exigences fonctionnelles et les convertir en mise en œuvre technique
• Professionnels des bases de données et des logiciels

Conformité ou certification

La conformité et la certification ISO 27701 peuvent prêter à confusion, car à première vue, elles semblent signifier la même chose.

La conformité ISO 27701 signifie que votre organisation a mis en place les contrôles nécessaires pour satisfaire aux exigences de la norme ISO 27701 ; un ensemble de bonnes pratiques pour la gestion des informations confidentielles. Le respect des normes est important.

Un certificat ISO 27701 est le document qui confirme qu'une organisation particulière a suivi les processus et documenté tout ce qui est nécessaire pour devenir conforme à la norme ISO 27701.

La certification signifie que vous avez démontré votre conformité.

La certification ISO 27701 est-elle faite pour moi ?

Si votre entreprise traite des informations personnellement identifiables, vous devrez peut-être vous tourner vers la certification ISO 27701. La certification ISO 27701 vous permettra de vous démarquer par rapport aux entreprises non certifiées.

De plus, en cas de violation de données, l'Information Commissioner's Office (ICO) du Royaume-Uni a déclaré que les organisations qui mettent en œuvre une certification ou qui disposent d'un système complet pour gérer la sécurité de leurs données peuvent être considérées plus favorablement par les régulateurs.

Processus de certification ISO 27701

Le processus de mise en œuvre de la norme ISO 27701 est relativement simple pour les organisations déjà certifiées ISO 27001.

La certification ISO 27701 peut être obtenue en trois étapes :

Vous devez d’abord faire appel à un organisme de certification qualifié qui réalisera un audit de votre organisation.

Après avoir accepté une proposition, un évaluateur réalisera un audit détaillé de votre organisation. L'évaluateur doit effectuer une visite obligatoire lors de l'audit de certification initial. Ils vérifieront si vous avez mis en place un système de gestion des informations personnelles entièrement fonctionnel.

Une fois l’audit terminé, l’organisme de certification décidera si votre organisation répond aux critères. Si le résultat est positif, ils vous remettront un certificat attestant que votre entreprise respecte les spécifications de la norme. La certification est valable pour les trois prochaines années ou jusqu'à l'expiration de votre certificat ISO 27001, selon la première éventualité.

Si votre entreprise n'est pas encore certifiée ISO 27001, vous devrez d'abord l'obtenir, ou poursuivre simultanément les certifications ISO 27001 et ISO 27701.

Maintenir la certification ISO 27701

Maintenir la certification ISO 27701 ne doit pas être une perspective intimidante, à condition que la mise en œuvre initiale de la norme ISO 27701 ait été correctement réalisée. Cependant, pour conserver la validité de votre ISO 27701, vous devez réaliser des audits de surveillance périodiques en combinaison avec votre audit ISO 27001, puis une réévaluation complète avant le renouvellement de la certification.

La meilleure façon de conserver la certification ISO 27701 est de gérer vos systèmes de manière à pouvoir continuer à procéder à des améliorations continues. L'amélioration continue est l'effort continu déployé par votre organisation pour améliorer la façon dont elle traite les informations personnelles identifiables, en identifiant les risques émergents en matière de conformité et en prenant des mesures systémiques pour y remédier.

Le chemin le plus simple vers la norme ISO 27701

ISMS.online facilite la gestion des informations personnelles grâce à une excellente solution basée sur le cloud pour prendre en charge la conformité ISO 27701 dans votre organisation. De plus, nous disposons d’experts et de ressources en sécurité de l’information pour vous guider tout au long du processus d’accréditation ISO 27701.

Cadres pour ISO 27701

Il peut être difficile de savoir par où commencer avec la norme ISO 27701, surtout si vous n'avez jamais eu à faire quelque chose de pareil auparavant. C'est là qu'ISMS.online entre en jeu. Nos solutions ISO 27701 fournissent des cadres qui permettent à votre organisation de démontrer sa conformité à la norme ISO 27701. Nos experts en sécurité de l'information peuvent travailler avec vous pour garantir que vous développez un processus de mise en œuvre logique qui s'aligne sur le cadre de documentation en ligne. .

Outils de gestion de la chaîne d'approvisionnement

Chez ISMS.online, nous pouvons intégrer la gestion de la sécurité des informations de la chaîne d'approvisionnement dans votre ISMS. Des mesures de performance rapides et pratiques peuvent également être utilisées pour suivre les progrès de vos fournisseurs et d’autres partenariats tiers. Utilisez les clusters ISMS.online pour regrouper l’ensemble de la chaîne d’approvisionnement en un seul endroit pour plus de clarté, d’informations et de contrôle.

Supervision et collaboration de projet très efficaces

Nos solutions ISMS.online permettent aux organisations de superviser facilement les projets, en garantissant que les politiques et procédures du contrôleur de données et du sous-traitant sont conformes à la norme ISO. Notre système en ligne garantit également que les responsables de la mise en œuvre du système disposent d'un seul endroit de référence et de collaboration. Notre méthode de résultats assurés (ARM) vous permet d’être sûr que vous cochez toutes les cases dont vous avez besoin pour vous conformer à la norme.

Aidez et soutenez l’engagement de vos collaborateurs

La norme ISO 27701 n'est pas seulement un cadre que les organisations peuvent adopter ; cela signifie adapter la façon dont les gens comprennent, interagissent et interagissent avec les données. Chez ISMS.online, nous avons conçu notre système pour que vous et votre personnel puissiez profiter de notre interface facile à utiliser pour documenter votre parcours ISO. Nous fournissons également des ressources vidéo et un accès à des professionnels de la sécurité de l'information pour vous aider à intégrer les normes dans votre entreprise.