Nueva ISO / IEC 27701: 2019

¿Qué es la norma ISO 27701?

Este mes de agosto de 2019 ha sido publicada la norma ISO 27701, como una guía de extensión a los requerimientos y controles establecidos en el estándar ISO 27001 y la guía de buenas prácticas ISO 27002, que está diseñado para permitir la adición de requisitos específicos del sector, sin la necesidad de desarrollar un nuevo Sistema de Gestión, aportando a las organizaciones los requisitos para administrar, gestionar los datos y proteger la privacidad de la información de identificación personal (PII).

El estándar está destinado a ser utilizado por todo tipo de organizaciones, independientemente de su tamaño, complejidad o el país donde operan.

El tratamiento de información personal no es algo nuevo hoy en día, pero sí el uso exponencial que se está dando debido a la necesidad de intercambio entre departamentos de una misma empresa o más si cabe, entre diferentes organizaciones para una correcta prestación de los servicios, lo que hace necesario verificar que esta información esté debidamente gestionada y protegida mediante un Sistema de Gestión de Información de Privacidad (PIMS), acorde con la legislación y regulaciones específicas de cada país.

Estructura de la norma ISO 27701

De una manera más detallada la ISO 27701 amplía los requisitos de la ISO 27001 e ISO 27002 para tener en cuenta la protección de la privacidad, potencialmente afectada por el tratamiento y procesamiento de información de carácter personal, en los siguientes apartados:

  • Cláusula 5: Los requerimientos establecidos en este apartado tienen trazabilidad con los apartados 4 al 10 de la norma ISO 27001, ampliando los requerimientos sobre protección de la información específicamente para el apartado 4 sobre el contexto organizacional y el apartado 6 relativo a la planificación de la gestión de riesgos, no aportando necesidades adicionales en el resto de los apartados.
  • Cláusula 6: Este apartado amplía los requerimientos establecidos en la guía de buenas prácticas ISO 27002 y los controles establecidos en el Anexo A de la ISO 27001, haciendo un repaso de los 114 controles y ampliando los requisitos sobre la protección de la información en controles puntuales de los dominios 5 al 18, con excepción del dominio 17 (Seguridad de la información en la continuidad del negocio) donde no se establecen medidas adicionales a las ya existentes.
  • Cláusula 7: Determina controles adicionales y la guía de implementación de estos para los propietarios de la Información de identificación personal (PII). Estos controles no han de ser implementados en su totalidad, sino que su aplicabilidad o exclusión deben ser debidamente justificadas.
  • Cláusula 8: De manera similar a los requerimientos de la cláusula 7, este apartado establece controles adicionales y una recomendación de implantación para los encargados de tratar información personal de terceros contratados, teniendo en cuenta también si éstos, a su vez, subcontratan servicios.

La ISO 27701, como se comenta anteriormente, hace referencia a la legislación sobre protección de datos vigente en el país donde se implemente, los que supone una base ideal para todas aquellas organizaciones que quieran aportar una confianza en sus clientes, apoyado en un proceso de mejora continua y transparencia de sus procesos y procedimientos, ya que se estima que esta norma pueda cubrir futuras certificaciones asociadas al Reglamento General de Protección de Datos (RGPD) al ser una norma certificable asociada a la ISO 27001.

Desde AUDISEC, con el soporte del software GlobalSUITE®, ofrecemos la ayuda y el soporte necesarios para la completa adecuación de su organización a la nueva norma ISO 27701 y obtener así la certificación correspondiente.

El software, íntegramente desarrollado por nuestro equipo, permite la implantación, gestión y mantenimiento de todos los requisitos exigidos por la norma en todo tipo de organizaciones y sectores. Convierta la gestión de normas ISO en un proceso sencillo con el software de gestión GlobalSUITE®