Il est essentiel qu'avant de mettre en œuvre un PIMS, les organisations obtiennent une image claire de leurs objectifs spécifiques en matière de protection de la vie privée et d'informations personnelles, à tous les niveaux de leurs opérations de sécurité des informations.
L'évaluation des risques doit être un élément clé de tous les protocoles de protection de la vie privée à l'échelle de l'organisation, y compris la compréhension de la manière d'évaluer et d'analyser les risques, ainsi que le « traitement des risques » – le processus de modification des risques par une série de mesures techniques.
La norme ISO 27701 5.4 traite des étapes que les organisations doivent suivre lors de la planification d'un PIMS ou d'une politique de protection de la vie privée.
L'ISO 27701 5.4 s'appuie sur les lignes directrices de l'ISO 27001 6.1 (Actions pour faire face aux risques et aux opportunités) et contient des lignes directrices supplémentaires dans quatre sous-paragraphes principaux :
Deux sous-paragraphes (5.4.1.2 et 5.4.1.3) contiennent tous deux des orientations directement liées à l'article 32 du RGPD, plus précisément, les articles (1)(b), (2).
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
De manière générale, les organisations doivent adopter une approche spécifique aux risques pour planifier un PIMS qui :
Lors de l’élaboration d’un plan, les organisations doivent :
Les lignes directrices contenues dans la norme ISO 27701 5.4.1.1 sont étroitement liées à la capacité d'une organisation à comprendre ses exigences et les attentes du personnel interne et externe et des sujets PII dont l'organisation détient les données.
Les organisations doivent définir et mettre en œuvre un processus d’évaluation des risques en matière de protection de la vie privée qui :
Les organisations doivent concentrer leurs activités d’évaluation des risques sur la sécurité des informations, mais aussi sur la mise en œuvre d’un PIMS, ainsi que sur le traitement et le stockage des informations personnelles.
Les organisations doivent garder à l’esprit les conséquences, non seulement pour l’entreprise elle-même, mais aussi pour tous les responsables des informations personnelles, si des problèmes surviennent.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Les organisations doivent rédiger et mettre en œuvre un « processus de traitement des risques » en matière de protection de la vie privée et d’informations personnelles qui :
Les objectifs organisationnels en matière de protection de la vie privée devraient :
Tout au long du processus de planification, les organisations doivent établir les éléments suivants :
Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27001 | Articles associés au RGPD |
---|---|---|---|
5.4.1.1 | Général | 6.1.1 – Aspects généraux de la planification autour des risques pour la norme ISO 27001 | Aucun |
5.4.1.2 | Évaluation des risques liés à la sécurité de l'information | 6.1.2 – Évaluation des risques liés à la sécurité de l'information pour la norme ISO 27001 | Article (32) |
5.4.1.3 | Traitement des risques liés à la sécurité de l’information | 6.1.3 – Traitement des risques liés à la sécurité de l’information pour la norme ISO 27001 | Article (32) |
5.4.2 | Objectifs de sécurité de l’information et planification pour les atteindre | 6.2 – Objectifs de sécurité de l’information et planification pour les atteindre pour la norme ISO 27001 | Aucun |
Vous devez créer un système de gestion des informations confidentielles (PIMS) afin de respecter la norme ISO 27701. Avec notre système de gestion des informations confidentielles (PIMS) prédéfini, vous pouvez organiser et gérer rapidement et efficacement les informations sur les clients, les fournisseurs et les employés pour satisfaire aux exigences de la norme ISO 27701.
Les évaluations de confidentialité peuvent être configurées et exécutées facilement, allant des évaluations d'impact sur la protection des données aux évaluations de préparation à la réglementation ou à la conformité.
Découvrez notre gamme complète de fonctionnalités en réserver une démo.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo