Řízení bezpečnosti informací a soukromí dle ISO/IEC 27701

G+
linkedin

Systémy řízení bezpečnosti informací a soukromí dle ISO/IEC 27701

Norma ISO/IEC 27701 byla zveřejněna v srpnu 2019. Jedná se o první mezinárodní normu, která se zabývá řízením osobních údajů, mj. pro zajištění shody s požadavky GDPR. Norma pomáhá organizacím ustavit, udržovat a neustále zlepšovat systém řízení osobních údajů (PIMS = Privacy Information Management System) zlepšováním stávajícího ISMS dle ISO/IEC 27001 a ISO/IEC 27002. Norma ISO/IEC 27701 může být používána všemi typy organizací bez ohledu na jejich velikost, složitost nebo zemi, ve které působí. 

Přínosy řízení osobních údajů

  • Budování důvěry a zvýšení spokojenosti zákazníků
  • Zlepšení transparentnosti procesů a postupů organizace
  • Udržení integrity informací o zákaznících a dalších zúčastněných stranách
  • Podpora procesu neustálého zlepšování systému správy osobních údajů v organizacích
  • Ochrana pověsti organizace

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta. 

Analýza kontextu, rozsahu ISMS, prohlášení o aplikovatelnosti ISMS a ustavení PIMS projektu

Stanovení role správce a/nebo zpracovatele. Přezkoumání externího a interního kontext. Identifikace a analýza zúčastněných stran. Analýza rozsahu ISMS a ananýza prohlášení o aplikovatelnosti (SoA). Stanovení cílů PIMS. Plán projektu PIMS.

Rozsah PIMS

Určení rozsahu PIMS. Stanovení a popis organizačních a fyzických hranic i hranic informačních systémů. Navržení rozsahu ISMS a prohlášení o rozsahu. Určení výjimek z rozsahu.

Politika bezpečnosti informací a soukromí

Dokumentace cílů PIMS. Definování zásad na ochranu osobních údajů. Určení rolí a odpovědností. Stanovení očekávaných výsledků ochrany osobních údajů apod.

Posouzení rizik bezpečnosti informací a soukromí, DPIA a Prohlášení o aplikovatelnosti

Identifikace, analýza a hodnocení rizik bezpečnosti informací a soukromí. Posouzení vlivu na ochranu osobních údajů. Doporučení k ošetření rizik bezpečnosti informací a soukromí. Prohlášení o aplikovatelnosti (SoA) opatření bezpečnosti informací a soukromí.

Opatření bezpečnosti informací a soukromí

Návrh a dokumentace opatření z Prohlášení o aplikovatelnosti (SoA) bezpečnosti informací a soukromí dle článku 6 ISO/IEC 27701, která rozšiřují opatření bezpečnosti informací z normy ISO/IEC 27002.

Opatření pro správce a zpracovatele osobních údajů

Návrh a dokumentace opatření pro správce a zpracovatele z prohlášení o aplikovatelnosti (SoA) bezpečnosti informací a soukromí dle článků 7 a 8 ISO/IEC 27701 - podmínky shromažďování a zpracování osobních údajů; povinnosti vůči subjektům údajů; standardní a záměrná ochrana; sdílení, předávání a zveřejnění osobních údajů.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Monitorování a měření

Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit

Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Činnosti při narušení zabezpečení osobních údajů. Definování postupu pro nápravná a preventivní opatření. Vypracování návrhů akčních plánů.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 a ISO 20700, bezpečnosti informací dle ISO/IEC 27001 a projektového řízení dle ISO 21500.

Kompetence našich konzultantů:

  • Certified ISO/IEC 27001 Lead Implementer *
  • Certified ISO/IEC 27701 Lead Implementer
  • Certified ISO/IEC 27005 Lead Risk Manager *
  • Certified ISO/IEC 27002 Lead Manager
  • Certified ISO/IEC 27032 Lead Cybersecurity Manager
  • Certified Data Protection Officer *

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normou ISO 19011 a ISO/IEC 27006.

Kompetence našich auditorů:

  • Certified ISO/IEC 27001 Lead Auditor *

* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA. 

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*