ISO 27701 est une extension des normes ISO/IEC 27001 et ISO/IEC 27002 pour la gestion des informations confidentielles. Nous allons expliquer ce que cela signifie.
La norme ISO/IEC 27701 vous aidera à gérer les informations personnelles identifiables (PII) au sein de votre organisation. Il s'agit d'une nouvelle norme, conçue pour être utilisée par tous responsable des informations personnelles dans tout type d'organisation.
La norme vous montre comment concevoir, configurer, gérer et améliorer continuellement un système de gestion des informations confidentielles (PIMS). Il vous offre une grande flexibilité dans la façon dont vous créez et gérez votre PAR EXEMPLE. La flexibilité de la norme ISO 27701 vous aidera également à respecter toutes les réglementations locales pertinentes en matière d'informations personnelles.
L'ISO 27701 s'appuie sur l'ISO/IEC 27001. Cela signifie que vous pouvez :
La norme ISO 27701 a vu le jour le 6 août 2019. La norme étant si nouvelle, très peu d'organisations l'ont adoptée. Si vous choisissez d'opter pour la certification ISO 27701, vous vous retrouverez en avance sur le pack infosec.
ISO 27001 est la norme de sécurité la plus populaire au monde, mais elle présente certaines lacunes. En particulier, il ne vous indique pas comment configurer Informations personnellement identifiables (PII) mesures de sécurité. Le règlement général sur la protection des données (RGPD) de l'UE a mis en lumière le manque de directives claires en matière d'informations personnelles de la norme ISO 27001. Le RGPD demande des mesures de sécurité PII, mais il ne donne aucune directive ni exigence de mise en œuvre.
Les travaux ont donc commencé sur la norme qui allait devenir ISO 27701. La nouvelle norme de gestion des informations personnelles a d'abord été développée sous le nom d'ISO/IEC 27522. Les travaux techniques sur l'ISO 27522 se sont terminés en 2019, conduisant à la publication de la nouvelle norme le 6 août 2019. Il s'agit d'une extension de l'ISO/IEC 27001. Avant sa publication, l'ISO/IEC 27522 est devenu l'ISO/IEC 27701. En effet, toute norme décrivant comment créer un système de management doit se terminer par 01.
Les informations personnellement identifiables (PII) sont des informations qui révèlent l'identité d'une personne. Les informations personnelles révèlent des identités seules ou en combinaison avec d'autres données. Certaines catégories de données personnelles sont très sensibles. Par exemple, vous pouvez uniquement conserver et données de processus sur les condamnations pénales et les infractions dans des circonstances très limitées.
Presque toutes les organisations détiennent des informations personnelles identifiables (PII) détaillées sur des personnes individuelles. Si des informations personnelles fuient, cela peut être très dommageable. Un système de gestion des informations confidentielles (PIMS) conforme à la norme ISO/IEC 27701 protégera votre PII.
Cela vous aidera à éviter les conséquences négatives des violations de données personnelles, qui peuvent inclure :
L’obtention de la certification ISO 22701 peut également avoir de nombreux impacts positifs, notamment :
La plupart des organisations doivent détenir et traiter des informations sur tout ou partie de leurs :
Ces personnes comptent sur les organisations de collecte de données pour préserver la confidentialité de ces informations. Le risque et les dommages potentiels liés à une violation d’informations confidentielles ou d’informations personnelles identifiables (PII) augmentent rapidement. Les problèmes peuvent inclure :
Ainsi, de plus en plus d’organisations créent des systèmes de gestion des informations confidentielles (ou PAR EXEMPLE). Un PIMS efficace, conforme ou certifié ISO 27701, présente de nombreux avantages potentiels. Ça peut:
Pour augmenter la sécurité, vous pouvez pseudonymer ou anonymiser vos informations personnelles. Les définitions RGPD de ces deux manières de gérer vos données personnelles sont :
Les données pseudonymisées peuvent toujours faire l'objet de PII réglementations et exigences. La plupart des régimes réglementaires ne s'appliqueront probablement pas aux données anonymisées.
La différence entre les données pseudonymisées et anonymisées peut être assez subtile et complexe. Cela peut varier selon les juridictions. Vous devrez vérifier attentivement pour vous assurer que vous appliquez toutes les réglementations pertinentes à vos informations personnelles.
Oh, et si vous détenez des informations sur quelqu'un qui est (très malheureusement) décédé, ce ne seront probablement pas des informations personnelles. Les informations sur le défunt ne sont généralement pas considérées comme personnelles. Les détails des entreprises, des autorités publiques ou d'autres organisations ne sont probablement pas non plus des informations personnelles.
ISMS.online vous fera gagner du temps et de l'argent vers la certification ISO 27001 et simplifiera sa maintenance.
Responsable de la sécurité de l'information, Honeysuckle Health
Un PIMS est un système de gestion des informations personnelles. Il combine :
pour protéger les informations personnelles identifiables (PII) que votre organisation détient et utilise. Un PIMS efficace rassurera les membres de votre organisation :
Votre PIMS vous aidera à stocker et à partager des informations personnelles, tant en interne qu'en externe. Le bon PIMS permettra également aux utilisateurs de mettre à jour et de corriger facilement toutes les données que vous détenez sur eux.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Pour mettre en œuvre la norme ISO 27701, les besoins de votre organisation à:
1. Processus et/ou gérer les informations personnelles identifiables (PII)
2. Avoir un Système de gestion de la sécurité de l'information certifié ISO 27001 (SMSI)
Peu importe le type ou la taille de votre organisation. Les exigences de la norme ISO 27701 s'adaptent pour couvrir tous les types et toutes les tailles d'organisations. Cela comprend (mais sans s'y limiter) :
1. Entreprises publiques et privées
2. Entités gouvernementales
3. Organisations à but non lucratif
Apprenez à connaître la norme ISO 27701. Il vous aidera à définir votre stratégie de gestion de la confidentialité et à planifier votre PIMS. Construisez ensuite votre PIMS, en créant ses systèmes et ses contrôles tactiques. Mettez ensuite en œuvre votre PIMS en vous assurant de respecter toutes les exigences de la norme ISO 27701.
Vous serez prêt pour votre audit une fois que la certification ISO 27701 complète sera possible. À l'heure actuelle, la norme est si nouvelle que personne n'est accrédité pour vous certifier.
Oh, et pour atteindre la norme ISO 27001, vous devrez être soit conforme, soit certifié ISO 27001. Si vous n'avez pas la norme ISO 27001, vous devrez également planifier comment la mettre en œuvre.
La norme ISO/IEC 27701:2019 est si nouvelle qu'elle ne dispose d'aucun organisme de certification accrédité. Ainsi, au moment de la rédaction de cet article, vous ne pouvez pas réellement obtenir la certification ISO 27701.<.p>
Nous recommandons atteindre la conformité ISO 27001, vous serez donc prêt lorsque la certification deviendra possible. Il semble que vous pourrez obtenir la certification ISO 27701 à partir de mi-2021.
Pour atteindre la conformité ISO/IEC 27701:2019, vous devez concevoir, créer et mettre en œuvre un système de gestion des informations personnelles (PIMS) pour votre organisation.
Votre nouveau PIMS devrait suivre :
1. La norme ISO 27701 sous tous ses aspects pertinents
2. Toute réglementation nationale ou internationale applicable à votre organisation
ISO 27701 suppose que vous avez déjà atteint la conformité ou la certification ISO 27001. Cela signifie créer un système de gestion de la sécurité de l'information (ISMS). Vous pouvez configurer votre SMSI avant ou parallèlement à la mise en œuvre de la norme ISO 27701.
Lorsque vous optez pour la certification ISO 27701, vos auditeurs évalueront votre PIMS en :
1. Lire la documentation de votre PIMS
2. Interviewer vos collaborateurs pour vous assurer qu'ils le comprennent et l'utilisent
3. Réaliser des tests pour voir son fonctionnement en pratique
Pour démontrer une bonne pratique ISO 27701, vous aurez besoin de :
1. Documentation PIMS complète
2. Personnel bien formé
3. Politiques et procédures largement comprises et suivies
La norme ISO/IEC 27701:2019 est si nouvelle qu'elle ne dispose d'aucun organisme de certification accrédité. Ainsi, au moment de la rédaction de cet article, vous ne pouvez pas réellement obtenir la certification ISO 27701. Lorsque la certification ISO 27701 deviendra possible, elle suivra un processus similaire à la certification ISO 27001.
Vous devrez d’abord concevoir, créer et mettre en œuvre votre système de gestion des informations personnelles (PIMS). Assurez-vous de respecter les exigences données dans la norme ISO 27701. Inscrivez-vous ensuite auprès d’un organisme de certification indépendant reconnu, qui auditera votre PIMS.
Les auditeurs de votre organisme de certification évalueront votre documentation PIMS. Ensuite, ils testeront votre PIMS, généralement par le biais d'entretiens et d'échantillonnages sur place. Si vous réussissez votre audit, vous êtes certifié. Vous aurez ensuite deux audits de surveillance annuels. Après trois ans, vous devrez obtenir une nouvelle certification.
L'ISO 27701 comble certaines lacunes en matière d'informations d'identification personnelle dans l'ISO 27001. Vous pouvez donc la mettre en œuvre parallèlement ou après l'ISO 27001.
Outre l'ISO 27001, l'ISO 27701 correspond à :
Gardez à l’esprit que vous devrez également respecter les réglementations locales si vous appliquez la norme ISO 27701 à une autre norme.
La norme ISO 27701 est distincte du RGPD. Mais si vous êtes conforme ou certifié ISO 27701, votre système de gestion des informations personnelles sera conforme au RGPD.
L'ISO 27701 a d'abord été développée sous le nom d'ISO/IEC 27522. Le nom de la norme a été changé en ISO 27701 avant son lancement en 2019. ISO 27522 est devenue ISO 27701 car toute norme qui indique comment mettre en place un système de management doit se terminer par 01.
Les Famille de normes ISO 27000 se concentre sur la sécurité de l’information. Chaque norme ISO 27000 a une importance et des exigences différentes en matière de sécurité de l'information. Les organisations de toute taille ou de tout type peuvent les utiliser.
Les membres clés de la famille comprennent :
L'annexe D de la norme ISO 27701 vous indique comment adapter ses contrôles au règlement général sur la protection des données (RGPD) de l'UE.
L'Annexe F de la norme ISO 27701 explique comment étendre la norme ISO IEC 27001 et ISO / IEC 27002 pour protéger les informations personnelles identifiables (PII).
Pour vous simplifier les choses, ISMS.online a construit une plate-forme basée sur le cloud. Cette plateforme adhère aux critères des normes ISO et satisfait également aux exigences de la norme ISO 27701. Cela vous permet de créer et de démontrer la conformité à la norme ISO 27701, simplifiant ainsi la certification.
Notre plateforme basée sur le cloud vous permet d'accéder à toutes vos ressources ISMS en un seul endroit. Nous disposons d'une équipe interne d'experts en sécurité de l'information qui peuvent vous fournir des conseils et répondre à vos questions pour vous aider sur la voie de la mise en œuvre de la norme ISO 27701 afin que vous puissiez démontrer votre engagement envers les meilleures pratiques de gouvernance de la sécurité de l'information. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la façon dont nous pouvons vous aider à obtenir la certification ISO 27701.
Collaborez, créez et montrez facilement que vous êtes au top de votre documentation à tout moment
En savoir plusGérez sans effort les menaces et les opportunités et créez des rapports dynamiques sur les performances.
En savoir plusPrenez de meilleures décisions et montrez que vous avez le contrôle grâce aux tableaux de bord, aux KPI et aux rapports associés.
En savoir plusSimplifiez les actions correctives, les améliorations, les audits et les revues de direction.
En savoir plusMettre en lumière les relations critiques et relier élégamment des domaines tels que les actifs, les risques, les contrôles et les fournisseurs.
En savoir plusSélectionnez des actifs dans la banque d'actifs et créez facilement votre inventaire d'actifs
En savoir plusIntégrations prêtes à l'emploi avec vos autres systèmes commerciaux clés pour simplifier votre conformité
En savoir plusAjoutez judicieusement d'autres domaines de conformité affectant votre organisation pour obtenir encore plus
En savoir plusEngagez le personnel, les fournisseurs et autres avec une conformité dynamique de bout en bout à tout moment
En savoir plusGérer la diligence raisonnable, les contrats, les contacts et les relations tout au long de leur cycle de vie
En savoir plusCartographier visuellement et gérer les parties intéressées pour garantir que leurs besoins sont clairement satisfaits
En savoir plusForte confidentialité dès la conception et contrôles de sécurité adaptés à vos besoins et attentes
En savoir plus100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup