O que é a norma ISO 27701?
Este mês de agosto de 2019 foi publicada a norma ISO 27701, como um guia de extensão aos requisitos e controlos estabelecidos na norma ISO 27001 e no guia de boas práticas ISO 27002, que foi concebido para permitir a adição de requisitos específicos do setor, sem a necessidade de desenvolver um novo Sistema de Gestão, fornecendo às organizações os requisitos para administrar, gerir os dados e proteger a privacidade da informação de identificação pessoal (PII).
A norma destina-se a ser utilizada por todo o tipo de organizações, independentemente da sua dimensão, complexidade ou do país onde operam.
O tratamento de informação pessoal não é algo novo atualmente, mas sim o uso exponencial que está a ser dado devido à necessidade de intercâmbio entre departamentos de uma mesma empresa ou mais ainda, entre diferentes organizações para uma correta prestação dos serviços, o que torna necessário verificar que esta informação esteja devidamente gerida e protegida mediante um Sistema de Gestão de Informação de Privacidade (PIMS), de acordo com a legislação e regulamentos específicos de cada país.
Estrutura da norma ISO 27701
De uma maneira mais detalhada, a ISO 27701 amplia os requisitos da ISO 27001 e ISO 27002 para ter em conta a proteção da privacidade, potencialmente afetada pelo tratamento e processamento de informação de caráter pessoal, nas seguintes secções:
- Cláusula 5: Os requisitos estabelecidos nesta secção têm rastreabilidade com as secções 4 a 10 da norma ISO 27001, ampliando os requisitos sobre proteção da informação especificamente para a secção 4 sobre o contexto organizacional e a secção 6 relativa ao planeamento da gestão de riscos, não fornecendo necessidades adicionais no resto das secções.
- Cláusula 6: Esta secção amplia os requisitos estabelecidos no guia de boas práticas ISO 27002 e os controlos estabelecidos no Anexo A da ISO 27001, fazendo uma revisão dos 114 controlos e ampliando os requisitos sobre a proteção da informação em controlos pontuais dos domínios 5 a 18, com exceção do domínio 17 (Segurança da informação na continuidade do negócio) onde não se estabelecem medidas adicionais às já existentes.
- Cláusula 7: Determina controlos adicionais e o guia de implementação destes para os proprietários da Informação de identificação pessoal (PII). Estes controlos não têm de ser implementados na sua totalidade, mas a sua aplicabilidade ou exclusão devem ser devidamente justificadas.
- Cláusula 8: De maneira similar aos requisitos da cláusula 7, esta secção estabelece controlos adicionais e uma recomendação de implementação para os encarregados de tratar informação pessoal de terceiros contratados, tendo em conta também se estes, por sua vez, subcontratam serviços.
A ISO 27701, como se comenta anteriormente, faz referência à legislação sobre proteção de dados vigente no país onde se implemente, o que supõe uma base ideal para todas aquelas organizações que queiram fornecer confiança aos seus clientes, apoiado num processo de melhoria contínua e transparência dos seus processos e procedimentos, já que se estima que esta norma possa cobrir futuras certificações associadas ao Regulamento Geral de Proteção de Dados (RGPD) ao ser uma norma certificável associada à ISO 27001.
Desde GlobalSuite Solutions, com o suporte do software GlobalSuite®, oferecemos a ajuda e o suporte necessários para a completa adequação da sua organização à nova norma ISO 27701 e obter assim a certificação correspondente.
O software, integralmente desenvolvido pela nossa equipa, permite a implementação, gestão e manutenção de todos os requisitos exigidos pela norma em todo o tipo de organizações e setores. Converta a gestão de normas ISO num processo simples com o software de gestão GlobalSuite®
