Новый международный стандарт ИСО по конфиденциальности информации

В августе 2019 года Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) выпустили новый стандарт конфиденциальности, ставший эталоном, помогающим организациям соблюдать международные нормы и законы о конфиденциальности. Стандарт ISO/IEC 27701:2019  расширяет рассмотрением вопросов конфиденциальности другой международно признанный стандарт ISO/IEC 27001 по менеджменту информационной безопасностью.

ISO 27701 предназначен для применения по всему миру организациями, которые производят сбор и обработку персональной информации (PII), стандарт был разработан, чтобы помочь организациям соблюдать ключевые законы о конфиденциальности, такие как Общее положение о защите данных (GDPR).

Законы о неприкосновенности частной жизни, принятые в течение последних лет, такие как GDPR, Закон Великобритании о защите данных 2018 года и CCPA (Закон о защите прав потребителей в Калифорнии), доказывают, что органы власти и регулирующие органы поднимают планку базовой безопасности информации и конфиденциальности данных и могут наложить значительные штрафы на несоответствующие таким требованиям организации. В настоящее время организации сталкиваются с все более значительными последствиями нарушений, возникающих в результате несоблюдения требований законодательства.

Стандарт ISO 27701 определяет структуру, которая помогает организациям внедрять, поддерживать и постоянно улучшать систему менеджмента конфиденциальной информации (PIMS). Он устанавливает положения для реализации PIMS, расширяя требования и руководящие указания, представленные в ISO 27001 и рекомендуемые им меры контроля. В новом стандарте изложены требования к расширению систем управления информационной безопасностью для управления конфиденциальностью.

ISO 27001 предназначен для того, чтобы помочь организациям управлять процессами информационной безопасности в соответствии с передовой международной практикой при оптимизации затрат. Он содержит спецификацию для управления информационной безопасностью с помощью рабочих механизмов, политик, процедур и других средств контроля, связанных с людьми, процессами и технологиями, чтобы помочь организациям защитить свои данные и управлять ими.

В сочетании со стандартом ISO 27001 стандарт ISO 27701 помогает организациям продемонстрировать то, как их механизмы управления поддерживают соблюдение ключевых законов о конфиденциальности, что является критически важным преимуществом, когда надзорный орган запрашивает свидетельства использования надежных методов защиты данных после обнаружения утечки данных.