Certyfikacja ISO 27701

W sierpniu 2019r. została opublikowana międzynarodowa norma ISO/IEC 27701:2019, która pokazuje jak wdrożyć System Zarządzania Ochroną Danych Osobowych (PIMS).

Do tej pory nie istniały żadne kompleksowe wytyczne w zakresie integracji normy ISO 27001 (Systemu Zarządzania Bezpieczeństwem Informacji - SZBI) z RODO. Dostosowanie istniejącego SZBI w organizacji do RODO stało się teraz dużo prostsze i nie wymaga już wyodrębniania dwóch osobnych systemów. Większość organizacji do tej pory nie jest pewna czy projekty wdrożenia RODO przyniosły oczekiwany rezultat, czy spełniają wymogi prawa i czy norma ISO 27701 zawiera wszystkie elementy wymagane przez RODO.

Jak pokazuje praktyka, bardzo mało organizacji posiadających wdrożony SZBI oraz certyfikację zgodności z normą ISO 27001 połączyła z nim wymogi RODO. Jeden spójny system zarządzania zamiast dwóch to o połowę niższe koszty jego utrzymania. Dwukrotne przeprowadzanie tych samych lub bardzo podobnych czynności powoduje niestety chaos i odciąga od pracy personel. Dane identyfikujące osoby (PII) to też informacje tylko o specjalnym rygorze przetwarzania ze względu na istniejące zagrożenia i rygor przewidziany przepisami prawa.

AUDYT ZGODNOŚCI Z ISO 27701

Usługa audytu zgodności z norma ISO 27701 polega na zweryfikowaniu - od strony proceduralnej i faktycznej – scalenia SZBI z PIMS. Wynikiem audytu zgodności jest szczegółowy raport określający poziom zgodności obu systemów wraz z listą rekomendacji co do wdrożenia stanu zgodnego z normą, wdrożenia brakujących procedur lub po prostu możliwości doskonalenia niektórych obszarów organizacji.

AUDYT ZGODNOŚCI Z ISO 27701 + AUDYT zgodnosci z ISO 27002

Usługa audytu zgodności z normą ISO 27701 może być rozszerzona o badanie adekwatności zastosowanych środków technicznych i organizacyjnych wobec przetwarzanych danych osobowych. W tym wariancie usługi zostanie przeprowadzona również weryfikacja zabezpieczeń oparta na normie ISO/IEC 27002. Wynikiem audytu jest nie tylko raport określający poziom zgodności z normą ISO 27701, ale również raport wskazujący słabe punkty zabezpieczeń (gap analysis) stosowanych przez organizację wraz z oszacowanym poziomem ryzyka wystąpienia naruszeń wobec przetwarzanych danych osobowych.

CERTYFIKACJA ISO 27001 + ISO 27701

Usługa ta polega na przeprowadzeniu audytu certyfikującego zgodnie z normą ISO 27001 w połączeniu z normą ISO 27701. W ramach jednego audytu certyfikowana może zostać pośrednio również zgodność z RODO.  Jedna weryfikacja zgodności SZBI z dwiema normami pozwala ograniczyć dodatkowe koszty audytu i potwierdzić w sposób obiektywny i niezależny zgodność organizacji z dwiema normami jednocześnie.

Usługa audytu zgodności z RODO organizacji klienta może zostać dopasowana do jego branżowych potrzeb na przykład w obszarze zgodności z normą ISO/IEC 29151, ISO/IEC 29134, wytycznych KNF, wymogów KRI, KSU czy UKE.

Jak wygląda audyt zgodności z normą ISO 27701

Usługa audytu zgodności z normą ISO 27701 jest poprzedzona zgromadzeniem podstawowych informacji o zakresie audytu tak by wiarygodność sporządzonego raportu z audytu była optymalna.

1. Wspólnie z klientem ustalany jest zakres i plan audytu ISO 27701, który określa terminy i metodyki jego przeprowadzania. Na podstawie podjętych ustaleń przedstawiana jest wycena audytu w poszczególnych lokalizacjach organizacji, które występują po stronie klienta.
2. Po zaakceptowaniu wyceny, planu, zakresu audytu oraz audytorów proponowane są terminy audytu zgodności z ISO 27701. W tym momencie rozpoczyna się proces umawiania audytu tak by w jak najmniejszym stopniu zakłócał on codzienne procesy biznesowe.
3. Po zakończeniu audytu ISO 27701 w każdej lokalizacji klienta sporządzany jest Raport zgodności z normą ISO 27701, który w uzgodnionym terminie jest przesyłany do klienta. W razie potrzeby wyniki audytu zgodności mogą być zaprezentowane klientowi osobiście przez audytora przeprowadzającego audyt.

Korzyści z wdrożenia wymagań ISO 27701

• Redukcja ryzyka niezgodności z RODO.
• Weryfikacja poziomu zgodności organizacji z normą ISO 27701.
• Ujednolicenie poziomu bezpieczeństwa informacji i danych osobowych w organizacji.
• Ograniczenie ryzyka wystąpienia naruszeń ochrony danych osobowych.
• W przyszłości - ułatwienie uzyskania certyfikatu zgodności z RODO.
• Budowa wizerunku odpowiedzialnej organizacji, dbającej o ochronę danych osobowych i bezpieczeństwo informacji.

DLACZEGO BUREAU VERITAS?

• Wiodąca, globalnie uznana jednostka certyfikacyjna (ponad 4 miliony certyfikatów wydawanych rocznie).  
• Doświadczenie audytorów zdobyte podczas wielu audytów zgodności z ISO 27001 i ISO 22301.
• Unikalna metodyka audytowania wynikająca ze standardów bezpieczeństwa informacji.
• Praktyczna znajomość ISO 27701 poparta Kodeksem dobrych praktyk wynikającym z ISO 29151 

DLACZEGO AUDYT ZGODNOŚCI z ISO 27701 JEST WAŻNY?

Znaczna część organizacji jedynie pobieżnie dostosowała swoje procesy i zabezpieczenia do wymogów RODO za co przewidziana jest odpowiedzialność, również karna, którą może ponieść administrator danych zgodnie z Art. 107 Ustawy o ochronie danych osobowych. W związku z tym, że odpowiedzialność za dane osobowe spoczywa na administratorze tych danych organizacja może zostać zmuszona do zapłaty odszkodowania zgodnie z Art. 82 ust. 4 RODO.

DLACZEGO WARTO SCALIĆ SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Z ISO 27701 (PIMS)?

Utrzymywanie dwóch równoległych systemów zarządzania mający ten sam przedmiot ochrony jest nierentowne i wprowadza chaos w organizacji. Niezależny audyt zgodności z ISO 27701 pozwoli wdrożyć PIMS w oparciu o rekomendacje po audytowe. Natomiast po wdrożeniu normy ISO 27701 audyt pozwoli ostatecznie zweryfikować zgodność całego SZBI.

DLACZEGO WARTO SKORZYSTAĆ Z AUDYTU ZGODNOŚCI Z RODO WYKONANEGO BUREAU VERITAS?

Przeprowadzając audyt zgodności z ISO 27701 Bureau Veritas uwzględnia zarówno obowiązki administratora danych osobowych jak i podmiotu przetwarzającego. Innymi słowy racjonalnie i odpowiedzialnie podchodzi do wymogów RODO poprzez normę ISO 27701.