¿En qué consiste la norma ISO/IEC 27701?
ISO/IEC 27701
La norma ISO/IEC 27701 se utiliza para gestionar la privacidad. Es una ampliación de la norma ISO/IEC 27001 y la norma ISO/IEC 27002. Proteger la privacidad es cada día más necesario, ya que vivimos en una sociedad cada vez más conectada. El Reglamento General de Protección de Datos (GDPR) se introdujo por los gobiernos, y se exige a las organizaciones que respondan. Las normas internacionales (ISO), como la ISO/IEC 27701, facilitarán la labor de la empresa a la hora de cumplir con todos los requisitos establecidos en cuanto a la privacidad y la información personal.
Los clientes cada día están más preocupados y las empresas tienen que ofrecer confianza y responsabilidad frente a la información personal. El riesgo es mucho más amplio que el cumplimiento de la norma. Las organizaciones deben contar con las competencias, los sistemas y los procesos adecuados. Con el gran incremento de quejas y multas que se encuentran relacionadas con la privacidad y la protección de los datos, podemos determinar que existe una necesidad imperiosa de proteger la información.
Si nos basamos en los requisitos de la norma ISO/IEC 27001, la nueva ISO/IEC 27701 ofrece requisitos y ofrece ayuda a las organizaciones que desean gestionar los riesgos de privacidad que se encuentran relacionados con la información a la hora de identificar el personal. También se pueden ofrecer ayuda a las organizaciones para que cumplan con el GDPR. Las dos normas se pueden certificar de forma integrada.
¿En qué consiste la ISO/IEC 27701?
La norma ISO/IEC 27701 establece todos los requisitos y especifica la orientación que se debe seguir para implementar, mantener y mejorar de forma continua un Sistema de Gestión de la Privacidad de la Información (SGPI). Se encuentra basado en los requisitos que establece la norma ISO 27001 y las buenas prácticas para los controles de seguridad que ofrece la norma ISO 27002.
La norma ISO/IEC 27701 ofrece un marco del Sistema de Gestión con el que se protege la información de identificación personal (IIP). Engloba la manera en la que las empresas tiene que realizar la gestión de la información personal y ampara la muestra del cumplimiento de las normas de privacidad que se puedan aplicar.
Si en su empresa tiene implementada la norma ISO 27001, la ISO/IEC 27701 incrementa los esfuerzos que se realizan para cubrir la gestión de la privacidad. Esto se introduce en el proceso de la IIP con el que poder demostrar el cumplimiento de las normas de protección de datos, como puede ser el GDPR.
Para las empresas que no cuenten con la norma ISO 27001, es factible que se puedan implantar las dos normas, ISO 27001 e ISO/IEC 27701, en un único proyecto.
¿Quiénes tendrían que implantar la norma ISO/IEC 27701?
La norma ISO/IEC 27701 ofrece orientación a cualquier empresa que se encargue de procesar información de identificación personal dentro de un Sistema de Gestión de Seguridad de la Información. Por este motivo todas las empresas, aunque tengan diferente tamaño, sean de ámbito público o privado, gubernamentales o privadas, etc. se pueden beneficiar de lo que ofrece la norma ISO/IEC 27701.
Al ofrecer un enfoque que se encuentra basado en riesgos, refuerza a las empresas que quieren abordar los riesgos específicos de privacidad a los que se enfrenta, además de los riesgos a los que se tienen que hacer frente en cuanto a los datos personales y a la privacidad de los clientes.
¿Qué beneficios nos puede ofrecer la norma ISO/IEC 27701?
El Sistema de Gestión de Privacidad de la Información (SGPI) basado en la norma ISO/IEC 27701 nos puede ofrecer una serie de beneficios, como:
- Incrementar la confianza de los clientes y los empleados, en cuanto a que la empresa pueda gestionar la información personal de una forma eficaz.
- Ofrece soporte para el cumplir con el GDPR.
- Establece los roles y las responsabilidades dentro de la empresa.
- Mejora la competencia interna y los procesos que establecen para evitar infracciones.
- Suministra transparencia en cuanto a los controles que se establecen para gestionar la privacidad.
- Facilita los acuerdos a los que se pueden llegar con los socios comerciales. En este caso, el tratamiento de la información personal es relevante de forma mutua.
- Se puede integrar con la norma ISO 27001 de una forma fácil y rápida.
¿Cómo debo prepararme para obtener el certificado en ISO/IEC 27701?
Ya sea porque esté pensando en implantar la norma ISO/IEC 27701, o como realizar una ampliación de su actual Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 o incluso, si ya ha comenzado a hacerlo, podemos ofrecerle algunos consejos:
- Realizar un GAP Analisis con el que verificar que se encuentra preparado para la certificación.
- Realizar curso de formación con respecto a la norma ISO 27001. Puede revisar un curso muy interesante sobre esta temática pulsando aquí.
- Certificar su Sistema de Gestión según la norma ISO 27001 o ISO/IEC 27701.
Para conseguir la certificación, lo primero que debe implementar es un Sistema de Gestión eficiente que cumpla con todos los requisitos que establecen las normas ISO. Resulta de vital importancia que en su organización se encuentren totalmente comprometidos y establezcan los objetivos que quieren conseguir de forma clara. Antes de obtener la certificación, es muy recomendable que su organización lleve a cabo auditorías internas con la que poder identificar posibles mejoras. Una de las cosas más importantes que se debe recordar es que el desarrollo, la implantación y la certificación del sistema de gestión en proceso de mejora continua, por lo que la auditoría de certificación supone una representación de un elemento en el proceso de mejora continua.
Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013
¿Necesita proteger su información y sus datos sensibles? Puede aprender a manejarse en seguridad de la información, formándose con la Escuela Europea de Excelencia, siendo una formación 100% online que se adapta a sus necesidades.
Para conocer más información sobre el Diplomado de Seguridad de la Información con la ISO/IEC 27001:2013, haga clic aquí.