ISO 27001'in bir uzantısı olarak ISO 27701
Süreçler ve iletişim giderek daha fazla dijital formda gerçekleşmekte ve bu da bilgi güvenliğini çok önemli hale getirmektedir. Bu nedenle birçok kuruluş bu alanda iyi bir yönetim sisteminin gerekli olduğunu düşünmektedir.
ISO 27001 bunun için mükemmel bir temel sağlar ve değerli bilgilerinizin uygun şekilde korunduğunu göstermenize olanak tanır.
Ancak yakın zamanda ISO 27001'in bir uzantısı olarak yeni bir standart, yani ISO 27701 yayınlandı. Bu standart sadece kendi bilgilerinizi korumakla kalmaz, aynı zamanda başkalarının gizliliğini de koruduğunuzu gösterir.
TÜV NORD, 2022 yılından bu yana ISO 27701 için bir belgelendirme kuruluşu olarak akredite edilmiştir; bu da hem ISO 27001 hem de ISO 27701 için resmi olarak belgelendirme yapabileceğimiz anlamına gelmektedir.
Veri koruma yönetiminde tanımlanmış roller
ISO 27701'de tanımlanan roller Kontrolör (PII - kişisel olarak tanımlanabilir bilgilerden sorumlu kuruluş) ve İşlemcidir (başka bir kuruluş adına PII işlemeden sorumlu). Bu roller GDPR'nin 4. Maddesinde ve ISO 29100'de tanımlanmıştır:
ISO 27701'in İçeriği
ISO 27001 ve ISO 27002, Bilgi Güvenliği Yönetim Sistemi (BGYS) için gereklilikleri ve yönergeleri içerir. ISO 27701 gizliliğe özel gereklilikler ve yönergeler ekler ve bunları Özel Bilgi Yönetim Sistemine (PIMS) genişletir.
ISO 27701, ISO 27001'in gerekliliklerinin ve kontrollerinin ve ISO 27002'nin uygulama kılavuzlarının bir uzantısı olarak hareket eder ve tek başına işlev görmez. Bu nedenle, dayandığı ISO 27001 yönetim sistemi ile aynı veya daha küçük bir kapsama sahip olması gerekir.
PIMS'in ilk önemli bölümü 5. bölümdür ve gizliliği (ISO 27701) bilgi güvenliğine (ISO 27001) (zaten mevcut olan) bilgi güvenliği yönetim sisteminin gerekliliklerinin üzerine özel gizlilik gereklilikleri vasıtasıyla bağlar. PIMS'e özgü bu ek gereklilikler 4. (Kuruluşun Bağlamı) ve 6. (Planlama) bölümlerle sınırlıdır. Örneğin, kişisel olarak tanımlanabilir bilgilerin (PII) ilgili olduğu kişiler, PII sorumluları olarak adlandırılan kişiler de artık ihtiyaçları ve beklentileriyle birlikte ilgili taraflara dahil edilmelidir. Daha da önemlisi, risk yönetimi yaklaşımı artık bu sorumluların mahremiyeti üzerindeki potansiyel etkiyi de içermelidir. Artık bilgi güvenliğinin yanı sıra gizlilik riskleri de olan riskleri azaltmak için kurumun eklerde belirtilen ek gizlilik kontrollerini dikkate alması gerekmektedir. Kontrolörler için Ek A ve işleyiciler için Ek B. Kuruluşun (mevcut) BGYS'de aşina olduğu şekilde bir uygulanabilirlik beyanında (SOA) temsil edilir.
Bölüm 6, ISO 27002'deki uygulama kılavuzlarının üzerine gizliliğe özel ek rehberlik sağlamaya adanmıştır. Gizliliği (zaten mevcut olan) bilgi güvenliği kontrollerine entegre ederek kuruluşa yardımcı olmak. Örneğin, kuruluşların rol ve sorumluluklarının uygulanmasının bir parçası olarak bağımsız bir gizlilik uzmanının atanması.
Bölüm 7 ve 8, ISO 27701'in A ve B eklerindeki kontroller için uygulama kılavuzları olarak işlev görür. ISO 27001'in Ekine yönelik ISO 27002'nin eşdeğeri. ISO 27702 diye bir şey yoktur. Hepsi ISO 27701'de ele alınmıştır.