Comprendre la clause 27701 de la norme ISO 5.2 : Contexte de l'organisation
La protection de la vie privée est un sujet législatif complexe qui intègre des orientations non judiciaires et judiciaires provenant d'un large éventail de sources.
Tout au long de sa série de contrôles, l'ISO fait constamment référence aux besoins commerciaux, logistiques et de confidentialité uniques de toute organisation qui traite des informations personnelles.
ISO 27701 5.2 couvre ce qui peut être largement décrit comme une série d'exercices de cartographie pour les organisations cherchant à comprendre leurs obligations envers les employés internes et externes, et la manière dont elles interagissent avec les organisations tierces d'un point de vue perspective de conformité et d’informations personnelles.
Ce qui est couvert par la clause 27701 de la norme ISO 5.2
La norme ISO 27701 5.2 contient quatre sous-clauses relatives à la protection de la vie privée et au traitement/contrôle des informations personnelles, dont chacun correspond à une clause liée au sein de la norme ISO 27001 (qui fait office de document d'orientation principal).
En outre, la norme ISO 27701 contient des points d'orientation supplémentaires pour les organisations cherchant à mettre en œuvre un PIMS, avec des indications sur la manière d'appliquer les lignes directrices ISO 27701 et ISO 27001 à ce sujet spécifique.
Les organisations doivent visualiser et mettre en œuvre la norme ISO 27701 parallèlement aux articles contenus dans les normes gouvernementales. GDPR des lignes directrices. Le cas échéant, nous avons mis en évidence les articles pertinents du RGPD ainsi que leurs paragraphes adjacents.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 5.2.1 – Comprendre l'organisation et son contexte
Références ISO 27001 Contrôle 4.1
Les organisations doivent se soumettre à un exercice de cartographie répertoriant les facteurs internes et externes liés à la mise en œuvre d'un PIMS.
L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.
Conseils supplémentaires sur les PIMS et les PII
Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.
Ce tarif comprend :
- Examiner les lois, réglementations ou « décisions judiciaires » en vigueur sur la protection de la vie privée ;
- Tenir compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise ;
- Tous les facteurs administratifs, y compris la gestion quotidienne de l'entreprise ;
- Accords avec des tiers ou contrats de service susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée.
Articles applicables du RGPD
- Article 24 – Responsabilité du responsable du traitement
- Article applicable – (3)
- Article 25 – Protection des données dès la conception et par défaut
- Article applicable – (3)
- Article 28 – Sous-traitant
- Articles applicables – (5), (6), (10)
- Article 32 – Sécurité du traitement
- Article applicable – (2)
- Article 40 – Codes de conduite
- Articles applicables – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Article 41 – Contrôle des codes de conduite approuvés
- Articles applicables – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Article 42 – Attestation
- Articles applicables – (1), (2), (3), (4), (5), (6), (7), (8)
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 5.2.2 – Comprendre les besoins et les attentes des parties intéressées
Références ISO 27001 Contrôle 4.2
Les informations personnelles et la protection de la vie privée peuvent potentiellement avoir un impact sur un grand nombre d'employés, d'utilisateurs et de clients, tant en interne qu'en externe.
Les organisations doivent acquérir une solide compréhension des besoins de tout personnel concerné et de ce que l'ISO considère comme des « parties intéressées ».
Besoin de l'organisation d'établir et de documenter :
- Toute « partie intéressée » pertinente pour le sujet plus large de la protection de la vie privée ;
- Quelles sont les exigences uniques de ces personnes dans le cadre d'un PIMS ;
Les organisations doivent également prendre en compte toutes les obligations légales, réglementaires ou contractuelles, ainsi que les exigences pratiques et opérationnelles.
Conseils supplémentaires sur les PIMS et les PII
Lors de la mise en œuvre d'un PIMS, les organisations doivent dresser une liste des parties intéressées qui sont soit affectées par un PIMS, soit qui ont un rôle à jouer dans le traitement des informations personnelles.
En ce qui concerne les informations personnelles, une partie intéressée peut être l'une des personnes suivantes (mais sans s'y limiter) :
- Un employé;
- Un client;
- Autorités de régulation, judiciaires ou de contrôle ;
- Autres contrôleurs et processeurs PII.
Il est important de noter que les exigences PII – liées à un PIMS – émanent souvent d'un large éventail de sources, notamment :
- Processus et objectifs internes ;
- Organismes gouvernementaux et/ou réglementaires ;
- Obligations contractuelles avec des organismes tiers.
Il peut souvent être difficile pour les organismes de gouvernance et de réglementation de confirmer le respect des normes publiées en matière de protection de la vie privée par une organisation, dans son rôle de processeur et de contrôleur de données PII.
En tant que telles, les organisations doivent s'attendre à ce que ces organismes demandent des examens indépendants de tout système de gestion pertinent, afin de satisfaire leurs propres exigences d'audit.
Articles applicables du RGPD
- Article 31 – Coopération avec l'autorité de contrôle
- Article 35 – Analyse d’impact sur la protection des données
- Article applicable – (9)
- Article 36 – Consultation préalable
- Articles applicables – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 5.2.3 – Détermination de la portée du système de gestion de la sécurité de l'information
Références ISO 27001 Contrôle 4.3
L'ISO recommande un exercice de définition approfondi, afin que les organisations soient en mesure de produire un PIMS qui, d'une part, répond à ses exigences en matière de protection de la vie privée et, d'autre part, ne s'immisce pas dans des domaines de l'entreprise qui n'ont pas besoin d'attention.
Les organisations doivent établir et documenter :
- Tout problème externe ou interne, tel que décrit dans la norme ISO 27001 4.1 ;
- Exigences de tiers telles que décrites dans la norme ISO 27001 4.2 ;
- Comment l'organisation interagit avec elle-même et avec les organismes externes (par exemple, points de contact client, interfaces TIC).
Conseils supplémentaires sur les PIMS et les PII
Tous les exercices de cadrage qui planifient la mise en œuvre d'un PIMS doivent inclure une évaluation approfondie des activités de traitement et de stockage des informations personnelles.
Articles applicables du RGPD
- Article 32 – Sécurité du traitement
- Article applicable – (2)
ISO 27701 Clause 5.2.4 – Système de gestion de la sécurité de l'information
Références ISO 27001 Contrôle 4.4
Les organisations doivent chercher à mettre en œuvre, gérer et optimiser un PIMS, conformément aux normes ISO publiées.
Articles applicables du RGPD
- Article 32 – Sécurité du traitement
- Article applicable – (2)
Prise en charge des contrôles ISO 27001 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27001 | Articles associés au RGPD |
|---|---|---|---|
| 5.2.1 | Comprendre l'organisation et son contexte |
4.1 – Comprendre l’organisation et son contexte pour la norme ISO 27001 |
Article , , , , , , |
| 5.2.2 | Comprendre les besoins et les attentes des parties intéressées |
4.2 – Comprendre les besoins et les attentes des parties intéressées pour la norme ISO 27001 |
Article , , |
| 5.2.3 | Détermination de la portée du système de gestion de la sécurité de l'information |
4.3 – Détermination du champ d’application du SMSI pour la norme ISO 27001 |
Article |
| 5.2.4 | Système de gestion de la sécurité de l'information |
4.4 – Système de gestion de la sécurité de l’information (ISMS) pour ISO 27001 |
Article |
Comment atteindre la conformité ISO 27701 via ISMS.online
La plateforme ISMS.online offre une fonction PIMS personnalisable qui surveille, rapporte et audite par rapport aux normes ISO 27001 et ISO 27701 en un seul clic.
Notre solution comprend un outil dynamique d'enregistrement des activités de traitement qui supprime les problèmes liés à la cartographie, à l'enregistrement et à l'audit des données, avec une banque de risques intégrée qui offre une assistance pratique tout au long du processus d'évaluation et de gestion.
La norme ISO 27701 5.2 présente une série de points d'orientation sur les normes de confidentialité des tiers et la relation entre un contrôleur de données personnelles et une personne concernée, via une demande de droits des personnes concernées (DRR) mandatée. Notre système de gestion DRR offre un hub d'administration centralisé qui traite tout, des demandes jusqu'aux rapports et analyses.
Découvrez combien de temps et d'argent vous économiserez lors de votre parcours vers une certification combinée ISO 27001 et 27701. en utilisant ISMS.online en réservant une démo.
