CONFIANZA

SEGURIDAD

FLEXIBILIDAD



ISO 27701 CERTIFICACIÓN DE GESTIÓN DE LA PRIVACIDAD DE LA INFORMACIÓN

ISO / IEC 27701: 2019 es una extensión de privacidad de datos a la norma  ISO/IEC 27001 de seguridad de la información (Norma para establecer un sistema de gestión de seguridad de la información) . Este nuevo estándar, publicado en agosto de 2019, proporciona orientación a las organizaciones que buscan establecer sistemas de gestión para soporte el cumplimiento de la normativa europea en materia de protección de datos (RGPD) y otros requisitos de privacidad de datos.

Por lo tanto, lo primero que debemos tener en cuenta es que las organizaciones que buscan obtener la certificación ISO/IEC 27701 en materia de protección de datos necesitarán disponer ya una certificación ISO/IEC 27001 o implementarlas juntas constituyendo un sistema de gestión de seguridad y privacidad.

Básicamente, ISO/IEC 27701 describe los requisitos para establecer un marco de gestión para los Responsables del tratamiento de datos personales y de los Encargados del tratamiento, especificando y proporcionando orientación para establecer, implementar, mantener y mejorar continuamente, un sistema de gestión de información de privacidad respaldado por el reconocimiento internacional de un estándar ISO.

La certificación ISO 27701 está orientada a organizaciones que ya dispongan de la certificación ISO 27001 o aquellas interesadas en disponer de un Sistema de Gestión de Seguridad de la Información y de la Privacidad, siendo necesaria la implantación integrada de ISO 27001 e ISO 27701. 

Este sistema integrado puede ser especialmente útil para organizaciones cuyo negocio dependa de los sistemas de información, que sean responsables o encargadas del tratamiento de datos personales, que quieran demostrar a sus partes interesadas un enfoque proactivo y sistemático en la gestión integral de los riesgos de seguridad de la información, más allá de los requisitos legales.

Las empresas que ya hayan implementado en su organización la norma ISO 27001 podrán utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión. Esto ayudará a mejorar la reputación e imagen de la empresa, puesto que refuerza su compromiso con la seguridad de la información y con el cumplimiento de las leyes en materia de protección de datos, como es el RGPD o la LOPDGDD, lo que sin duda se convertirá en una ventaja competitiva.

Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, y quieran certificarse tendrán que implementar conjuntamente la ISO 27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.

Adicionalmente, esta normativa es aplicable a todo tipo de organizaciones, sin importar su tamaño o sector al que pertenezcan, incluyendo empresas tanto de ámbito público, como privado u organizaciones gubernamentales o sin ánimo de lucro.

Si además de cumplir con la legalidad vigente, quieres reforzar la privacidad de los datos personales que maneja tu organización, utiliza las certificaciones existentes en materia de protección de la privacidad. Contribuirás a fomentar la seguridad de tus datos y reforzarás tu imagen y reputación, lo que se convertirá en un factor diferencial con respecto a la competencia.

La norma ISO/IEC 27701 se divide en cuatro apartados, dejando de lado los introductorios:

El apartado 5, que establece requisitos específicos del SGPI relacionados con la norma ISO/IEC 27001. Así, aquellos controles recogidos en la mencionada norma son ampliados, con el objetivo de proteger los datos personales manejados por la organización. Entre los aspectos más destacados, es necesario adaptar el contexto de la organización, para tener en cuenta la privacidad.

El apartado 6, que recoge una guía del SGPI relacionada con la norma ISO/IEC 27002. Ésta pretende adecuar la guía de buenas prácticas proclamada por ISO/IEC 27002 a la protección de los datos personales.

El apartado 7, complementado por el Anexo A, reúne nuevos controles que deben ser implementados por los Responsables del Tratamiento. Tales controles están destinados al cumplimiento de las obligaciones de la organización respecto a los interesados.

Por último, el apartado 8, complementado por el Anexo B, donde se agrupan los deberes que deben satisfacer los Encargados del Tratamiento.

Aquellas entidades que logren la certificación en la ISO/IEC 27701, garantizarán el cumplimiento de lo dispuesto por el RGPD. Desde UBT Legal & Compliance, ofrecemos nuestros servicios como expertos en protección de datos y Sistemas de Gestión, tanto para la implementación, como para el mantenimiento y auditoría de los SGPI.

ESTRUCTURA DE LA NORMA ISO 27701


La ISO 27701 requiere de un sistema de gestión existente al que adherirse.

No todas las cláusulas y controles son aplicables en todos los casos.

Los requisitos de la norma se dividen en los cuatro grupos que se enumeran a continuación:

1. Los requisitos del SGIC relacionados con ISO 27001 se describen en la cláusula 5.

2. Los requisitos del SGIC relacionados con ISO 27002 se describen en la cláusula 6.

3. La guía del SGIC para controladores de información personal se describen en la cláusula 7.

4. La guía del SGIC para procesadores de información confidencial se describe en la cláusula 8

Además, los controles aplicables se describen en los anexos del cuerpo principal de la norma. Puede utilizar como guía los siguientes:

1. Anexo A: enumera los controles para controladores.

2.Anexo B: enumera los controles para procesadores.

3. Anexo C: esquematiza las disposiciones de ISO 27701
comparándolas con la ISO 29100.

4. Anexo D: esquematiza las dispociones de ISO 27701 comparandolo con el RGPD.

5. Anexo E: esquematiza las disposiciones de ISO 27701 contra la ISO 27018 e ISO 29151.

6. Anexo F: Proporciona directrices para aplicar la ISO 27701 a la ISO 27001 e ISO 27002.
QUIENES SOMOS                SERVICIOS                CERTIFICACIÓN
Soluciones en certificación, inspección y auditoria enfocadas a la optimización de los negocios. 
SERVICIOS

SERVICIOS FARMACÉUTICOS  

INTERCER SPORT      

ERCA ACADEMY       

PROTECCIÓN A LA INFANCIA        

CERTIFICACIONES ACREDITADAS      
  
UNIÓN EUROPEA         

ALIMENTACIÓN       
     
SERVICIOS INDUSTRIALES   
     
CERTIFICACIONES MERCADO CHINA  
     
MEDICAL DEVICE        

CERTIFICACIÓN Y ACREDITACIÓN

NOTA: ESTA WEB NO UTILIZA COOKIES NI NINGÚN MEDIO DE CONTROL VISITANTES.

INTERCER
Avda. del Conocimiento nº 34,  Parque Tecnológico  de Ciencias de la Salud , 18006 Granada, Spain




Copyright INTERCER. All rights reserved.