O que é a norma ISO 27701?
Este mês de agosto de 2019 foi publicada a norma ISO 27701, como um guia de extensão aos requisitos e controlos estabelecidos na norma ISO 27001 e no guia de boas práticas ISO 27002, que foi concebido para permitir a adição de requisitos específicos do setor, sem a necessidade de desenvolver um novo Sistema de Gestão, fornecendo às organizações os requisitos para administrar, gerir os dados e proteger a privacidade da informação de identificação pessoal (PII).
A norma destina-se a ser utilizada por todo o tipo de organizações, independentemente da sua dimensão, complexidade ou do país onde operam.
O tratamento de informação pessoal não é algo novo atualmente, mas sim o uso exponencial que está a ser dado devido à necessidade de intercâmbio entre departamentos de uma mesma empresa ou mais ainda, entre diferentes organizações para uma correta prestação dos serviços, o que torna necessário verificar que esta informação esteja devidamente gerida e protegida mediante um Sistema de Gestão de Informação de Privacidade (PIMS), de acordo com a legislação e regulamentos específicos de cada país.
Estrutura da norma ISO 27701
De uma maneira mais detalhada, a ISO 27701 amplia os requisitos da ISO 27001 e ISO 27002 para ter em conta a proteção da privacidade, potencialmente afetada pelo tratamento e processamento de informação de caráter pessoal, nas seguintes secções:
- Cláusula 5: Os requisitos estabelecidos nesta secção têm rastreabilidade com as secções 4 a 10 da norma ISO 27001, ampliando os requisitos sobre proteção da informação especificamente para a secção 4 sobre o contexto organizacional e a secção 6 relativa ao planeamento da gestão de riscos, não fornecendo necessidades adicionais no resto das secções.
- Cláusula 6: Esta secção amplia os requisitos estabelecidos no guia de boas práticas ISO 27002 e os controlos estabelecidos no Anexo A da ISO 27001, fazendo uma revisão dos 114 controlos e ampliando os requisitos sobre a proteção da informação em controlos pontuais dos domínios 5 a 18, com exceção do domínio 17 (Segurança da informação na continuidade do negócio) onde não se estabelecem medidas adicionais às já existentes.
- Cláusula 7: Determina controlos adicionais e o guia de implementação destes para os proprietários da Informação de identificação pessoal (PII). Estes controlos não têm de ser implementados na sua totalidade, mas a sua aplicabilidade ou exclusão devem ser devidamente justificadas.
- Cláusula 8: De maneira similar aos requisitos da cláusula 7, esta secção estabelece controlos adicionais e uma recomendação de implementação para os encarregados de tratar informação pessoal de terceiros contratados, tendo em conta também se estes, por sua vez, subcontratam serviços.
A ISO 27701, como se comenta anteriormente, faz referência à legislação sobre proteção de dados vigente no país onde se implemente, o que supõe uma base ideal para todas aquelas organizações que queiram fornecer confiança aos seus clientes, apoiado num processo de melhoria contínua e transparência dos seus processos e procedimentos, já que se estima que esta norma possa cobrir futuras certificações associadas ao Regulamento Geral de Proteção de Dados (RGPD) ao ser uma norma certificável associada à ISO 27001.
Desde GlobalSuite Solutions, com o suporte do software GlobalSuite®, oferecemos a ajuda e o suporte necessários para a completa adequação da sua organização à nova norma ISO 27701 e obter assim a certificação correspondente.
O software, integralmente desenvolvido pela nossa equipa, permite a implementação, gestão e manutenção de todos os requisitos exigidos pela norma em todo o tipo de organizações e setores. Converta a gestão de normas ISO num processo simples com o software de gestão GlobalSuite®
Mais artigos
Segurança
Como fazer a auditoria interna de um SGSI com base na ISO 27001
Como parte do ciclo do Sistema de Gestão de Segurança da Informação (SGSI) desta norma internacional, as organizações devem realizar…
Leia mais
Segurança
ISO 27000 e o conjunto de normas de Segurança da Informação
O que é ISO 27000? As normas que formam a série ISO/IEC-27000 são um conjunto de padrões criados e geridos pela…
Leia mais
Auditoria
Auditorias de segurança
Por definição, entendemos o conceito de auditoria como uma revisão sistemática de uma atividade…
Leia mais