V brzké době by měla být vydána nová mezinárodní norma ISO/IEC TS 27006-2, která specifikuje požadavky a poskytuje pokyny orgánům poskytujícím audit a certifikaci systémů řízení informací o soukromí (PIMS) podle ISO/IEC 27701 v kombinaci s ISO/IEC 27001. Začíná tedy být jasnější, co budou muset certifikační orgány splnit a jak se tyto požadavky promítnou do auditů PIMS.
Struktura normy ISO/IEC TS 27006-2 kopíruje strukturu ISO/IEC 27006 a v některých bodech ji rozšiřuje. Základní věcí ale je, že certifikace PIMS dle normy ISO/IEC 27701 je chápána jako rozšíření certifikace ISMS podle normy ISO/IEC 27001. Pojďme se podívat na další podstatné detaily.
Střet zájmů
Nestrannost certifikačního orgánu je jedním z pilířů, který zajišťuje důvěryhodnost vydávaných certifikátů. Proto platí základní pravidlo, že certifikační orgán musí být nestranný a nesmí připustit žádný tlak, který by mohl nestrannost narušit (ISO/IEC 17021-1). Ve vztahu k certifikaci ISMS podle ISO/IEC 27001 se certifikační orgány musí vyvarovat činností, které by mohly být považovány za poradenství, vč. provádění interního auditu. Mohou například vykonávat jen přednáškové a školící činnosti, publikovat interpretaci jednotlivých požadavků norem nebo provádět audity druhých a třetích stran (ISO/IEC 27006).
Nově podle ISO/IEC TS 27006-2 nebude smět certifikační orgán pro danou organizaci poskytovat služby externího pověřence pro ochranu osobních údajů nebo provádět přezkoumání ochrany osobních údajů.
Kompetence osob zapojených do certifikačních auditů a certifikace PIMS
Certifikační orgány musí zajistit, že pracovníci mají vhodné znalosti a dovednosti ve vztahu k systémům řízení i jsou geograficky způsobilí (ISO/IEC 17021-1). Ve vztahu k ISMS dle ISO/IEC 27001 musí mít všichni členové týmu auditorů znalost bezpečnosti informací, systémů řízení, principů auditování, monitorování, měření, analýzy a hodnocení ISMS. Kumulativně pak tým auditorů musí mít technickou znalost činností, které jsou auditovány nebo musí být schopen indikovat incidenty bezpečnosti informací (ISO/IEC 27006).
Norma ISO/IEC TS 27006-2 rozšiřuje požadavky na kompetence auditorů, kteří budou muset mít znalosti specifické pro PIMS. Je zřejmé, že v seznamu požadavků na kompetence bude znalost požadavků a pokynů uvedených v normě ISO/IEC 27701; znalost pokynů uvedených v normě ISO/IEC 29100 nebo schopnost identifikovat PII (PII – Personally Identifiable Information – osobně identifikovatelné informace).
Návrh normy ISO/IEC TS 27006-2 upravuje další požadavky na souhrnné znalosti týmu auditorů. Větší důraz je kladen na znalost struktury, hierarchii a vzájemné vztahy specifické dokumentace pro oblast řízení informací o soukromí; posouzení rizik informací o soukromí, posuzování vlivu na soukromí a řízení rizik; současných technologiích, kde může být ochrana soukromí relevantní nebo problematická či osvědčených postupech a postupech ochrany informací o soukromí v daném odvětví.
Osoby, které budou přezkoumávat zprávy z auditu a přijímat rozhodnutí o certifikaci, budou muset mít pro PIMS specifické znalosti, jako je znalost rámce ochrany soukromí (ISO/IEC 29100), normy ISO/IEC 27701, zákonných a předpisových požadavků na bezpečnost informací a soukromí nebo jak definovat rozsah systémů řízení podle ISO/IEC 27701.
Prokazování znalostí a zkušeností auditorů
Pokud jsou auditoři kvalifikováni pro oblast ISMS a PIMS, splňují požadavky 7.2.1.1 d) normy ISO/IEC 27006, tj. účast na 4 certifikačních auditech v rozsahu alespoň 20 dní, z toho max. 5 dní v rámci dohledových auditů, prostřednictvím auditů v obou oblastech. Podle návrhu budou certifikační orgány také muset zajistit, aby auditor provedl alespoň jeden audit na místě jak v oblasti ISMS, tak v oblasti PIMS.
Auditoři si musí udržovat aktuální znalosti a dovednosti v oblasti informací o soukromí prostřednictvím neustálého profesního rozvoje. Podle návrhu normy ISO/IEC TS 27006-2 musí certifikační orgán prokázat znalosti a zkušenosti auditorů prostřednictvím uznávaných specifických kvalifikací PIMS; účasti auditorů na školeních PIMS a získání příslušných osobních osvědčení; nebo auditů ISMS nebo PIMS osvědčených jiným auditorem ISMS nebo PIMS.
Výběr auditorů
Kromě požadavků na kvalifikaci auditorů uvedených výše budou muset kritéria pro výběr auditorů PIMS zajistit, aby každý auditor měl alespoň čtyři roky praktických zkušeností v oblasti informačních technologií, z nichž alespoň dva roky v roli nebo funkci týkající se soukromí. Obdobně má být tento požadavek platný pro technické experty, kteří se na certifikačním auditu budou případně podílet.
Certifikační dokumenty
Návrh normy ISO/IEC 27006-2 rozšiřuje požadavky na certifikační dokumenty. Ty budou muset identifikovat, že organizace je certifikována jako správce PII anebo zpracovatel PII.
Kromě prohlášení, že organizace vyhovuje ISO/IEC 27701 budou certifikační dokumenty muset uvádět certifikaci ISO/IEC 27001, na níž je certifikace ISO/IEC 27701 založena. V certifikačních dokumentech bude muset být uvedena verze Prohlášení o aplikovatelnosti (SoA) pro ISO/IEC 27701, pokud existuje odděleně od SoA pro ISO/IEC 27001.
Podstatné také je, že datum účinnosti certifikace PIMS dle ISO/IEC 27701 musí být do data účinnosti certifikátu ISMS dle ISO/IEC 27001, na kterém je certifikace PIMS založena. Následný recertifikační audit pak logicky kumulativně pokryje obě oblasti.
Certifikační dokumenty by měly (ale nemusí) obsahovat termín “systém řízení informací o soukromí”, výčet služeb, které jsou zahrnuty do rozsahu certifikace a samozřejmě informaci, že certifikovaná organizace splňuje požadavky normy ISO/IEC 27001 a ISO/IEC 27701.
Rozsah certifikace
Certifikační orgán bude muset zajistit, aby rozsah certifikace ISO/IEC 27701 byl uvnitř rozsahu nebo shodný s rozsahem certifikace ISO/IEC 27001 organizace. Není tedy možné, aby rozsah certifikace ISO/IEC 27701 byl, byť jen zčásti, mimo rozsah certifikace ISO/IEC 27001.
Program auditu ISO/IEC 27701 bude muset identifikovat rozsah ve vztahu k roli správce PII anebo zpracovatele PII. Jak je uvedeno výše, tato informace bude muset být uvedena na certifikačních dokumentech.
Certifikační orgán musí potvrdit, že jsou do rozsahu PIMS klienta zahrnuty procesy zpracování PII.
Certifikační orgán bude muset rovněž zajistit, aby posouzení rizik bezpečnosti informací a soukromí a jejich ošetření řádně odrážedlo činnosti a zasahovalo do hranic těchto činností, jak je definováno v rozsahu certifikace. Certifikační orgány budou muset potvrdit, že se toto odráží v rozsahu PIMS a také v Prohlášení o aplikovatelnosti auditovaného.
Kritéria certifikačního auditu
Kritérii, podle kterých má být PIMS klienta auditován, jsou ISMS dle normy ISO/IEC 27001 rozšířené o PIMS dle normy ISO/IEC 27701.
Doba trvání auditu
Certifikační orgán bude muset stanovit dodatečný čas auditu na certifikační audit ISO/IEC 27701. Návrh normy ISO/IEC TS 27006-2 uvádí dodatečný čas auditu pro specifické aspekty PIMS jako procentní navýšení času auditu vypočteného pro audit ISMS dle přílohy B normy ISO/IEC 27006. V aktuálním návrhu však není konkrétní procento navýšení uvedeno.
Auditní zpráva
Ve zprávě z auditu bude muset být, podobně jako v rozsahu a v certifikačních dokumentech, uvedena role klienta ve vztahu ke zpracování osobních údajů, tedy jestli působí jako správce PII anebo jako zpracovatel PII.
Rozhodnutí o certifikaci
Certifikační orgán bude muset vzít v úvahu dopad, který by neshoda odhalená ve vztahu k ISO/IEC 27701 mohla mít na soulad s normou ISO/IEC 27001. Pokud organizace nesplňuje požadavky specifické pro oblast ochrany soukromí, pak to ovlivňuje pouze soulad s normou ISO/IEC 27701 a nikoli ISO/IEC 27001. Organizace se v takovém případě nemusí obávat, že by byla ohrožena její certifikace dle ISO/IEC 27001.
Pozastavení, odnětí nebo omezení rozsahu certifikace
Obecně platí, že certifikační orgán musí pozastavit certifikaci, např. pokud systém řízení selhává při plnění certifikačních požadavků (ISO/IEC 17021-1). Podle ISO/IEC TS 27006-2 pak certifikační orgán bude muset pozastavit, odejmout nebo snížit rozsah certifikace ISO/IEC 27701, pokud je pozastavena, odejmuta nebo zrušena její základní certifikace ISO/IEC 27001.