До сих пор не существовало всеобъемлющих руководств по интеграции стандарта ISO 27001 (Система управления информационной безопасностью — ISMS) с GDPR. Адаптация существующей СМИБ в организации к GDPR теперь стала намного проще и больше не требует разделения двух отдельных систем. Большинство организаций пока не уверены, принесли ли проекты внедрения GDPR ожидаемый результат, соответствуют ли они требованиям законодательства и содержат ли стандарт ISO 27701 все элементы, требуемые GDPR.
Как показывает практика, очень немногие организации с внедренной СМИБ и сертификацией на соответствие стандарту ISO 27001 от https://ims-cert.com/mezhdunarodnaya-sertifikacziya/iso-27701.html совместили с ней требования GDPR. Одна непротиворечивая система управления вместо двух означает половину затрат на ее содержание. Выполнение одних и тех же или очень похожих действий дважды, к сожалению, приводит к хаосу и отвлекает персонал от работы. Данные, идентифицирующие личность, также являются информацией только об особом режиме обработки в связи с существующими угрозами и строгостью, предусмотренной законодательством.
Ответственность за эффективность системы безопасности
Сосуществование двух систем не оправдано в свете возникающих рисков. Стоит проверить соответствие СМИБ стандарту ISO 27701 и приступить к слиянию обеих систем. Ответственность за управление безопасностью несет вся организация, следует помнить об этом.
Аудит соответствия ISO 27701
Услуга аудита соответствия стандарту ISO 27701 заключается в проверке — с процедурной и фактической стороны — интеграции СМИБ. Результатом аудита соответствия является подробный отчет с указанием уровня соответствия обеих систем вместе с перечнем рекомендаций по реализации состояния соответствия стандарту, реализации отсутствующих процедур или просто возможности улучшения некоторых областей системы.
Услуга аудита соответствия стандарту ISO 27701 может быть расширена за счет проверки соответствия применяемых технических и организационных мер обрабатываемым персональным данным. В этом варианте услуги также будет проводиться проверка безопасности на основе стандарта ISO/IEC 27002. Результатом аудита является не только отчет, определяющий уровень соответствия стандарту ISO 27701, но и отчет, указывающий на слабые стороны безопасности (gap-анализ), применяемые организацией, вместе с предполагаемым уровнем риска нарушения обрабатываемых персональных данных.
Сертификация ISO 27701
Эта услуга заключается в проведении сертификационного аудита в соответствии с ISO 27001 совместно с ISO 27701. В рамках одного аудита также может быть косвенно сертифицировано соответствие GDPR. Одна проверка на соответствие двум стандартам позволяет снизить дополнительные затраты на аудит и объективно и независимо подтвердить соответствие организации двум стандартам одновременно.
Услуга аудита соответствия GDPR организации клиента может быть адаптирована к ее отраслевым потребностям, например, в области соответствия требованиям ISO/IEC 29151, ISO/IEC 29134.
Как вам статья?