1. Inicio
  2. Noticias
  3. La norma ISO27701 per a la gestió de la privacitat de la informació

La norma ISO27701 per a la gestió de la privacitat de la informació

8 de mayo de 2023 Noticias

La norma ISO27701 ens presenta un sistema de gestió de seguretat de la informació enfocat a la protecció de dades de caràcter personal.

Els SGPI (Sistema de gestió de la privacitat de la informació) coneguts per les seves sigles en anglès com PIMS (Protection Information Management System) són una herència directa dels SGSI (Sistema de Gestió de Seguretat de la informació) basats en la ISO27001. 

Per això, el compliment de punts de norma i controls de seguretat són la base de la garantia del sistema de gestió per la protecció de les dades de caràcter personal, en aquesta norma es denomina IIP (Informació d’identificació personal) o PII en anglès (Personally Identifiable Information).

A més a més, tenim dues figures claus que emanen del 2016/676 RGPD (Reglament General de Protecció de Dades) que són el responsable del tractament de dades personals i l’encarregat del tractament.

Estructura de la norma

La norma ISO27701 se troba dividida en quatre grans blocs:

  • Capítol 5 Requisits específics del SGPI relacionats amb la norma ISO7001
  • Capítol 6 Guia específica del SGPI relacionades amb la norma ISO27002
  • Capítol 7 Guia addicional de la norma ISO27001 per el responsable de tractament de IIP
  • Capítol 8 Guia addicional de la norma ISO27001 per l’encarregat del tractament de IIP
Capítol 5

En el primer bloc es segueix la mateixa estructura d’alt nivell, comú a les ISO de sistemes de gestió. Composta pels 10 punts de la norma ISO27001. I en aquest cas trobarem ampliacions als punts 4 (5.2 a la ISO27701) i 5 (5.4 a la ISO27701). 

En el primer punt amplia la totalitat dels apartats: comprensió del context, partes interessades, abast i sistema de gestió. 

I en el segon amplia els requisits per l’avaluació i tractament de riscos.

Capítol 6

El segon bloc es compon dels controls de la ISO27002 i les ampliacions necessàries dels mateixos respecte en PII.


Capítol 7

En el tercer bloc ens centrem en els controls específics que afecten als responsables del tractament que són:
  • Condicions per la recollida i tractament de dades personals
  • Obligacions cap a als interessats
  • Privacitat des del disseny i privacitat per defecte
  • Intercanvi, transferència i comunicació de IIP
De tot allò es deriven controls que donen cobertura als aspectes contemplats al Reglament Europeo de Protecció de Dades de Caràcter Personal, com ara el cicle de vida de les dades de captació, conservació i destrucció, les relacions amb parts interessades (clients i autoritats), aspectes en el desenvolupament d’aplicacions i entorns, i finalment la manipulació d’ aquestes dades durant les seves operacions i manteniment.

Tot allò baix el prisma del responsable de tractament, figura que suposa la persona física o jurídica que determina els fins i medis del tractament.

Capítol 8

En el quart bloc es repeteixen els controls del bloc anterior però aquesta vegada centrats en la figura de l’encarregat de tractament, la persona física o jurídica que tracte dades personals per compte del responsable del tractament.

Juanjo Alemany
Consultor, formador i auditor de seguretat i gestió
TOTALRISK

Leer artículo en castellano

© 2017 30Virtual. TODOS LOS DERECHOS RESERVADOS. Aviso legal.