ما هو ISO/IEC 27701؟
ISO/IEC 27701:2019 هو امتداد لمعياري ISO 27001 وISO 27002 يحدد المتطلبات والإرشادات لإنشاء وتطبيق وصيانة والتحسين المستمر لنظام إدارة معلومات الخصوصية (PIMS). يربط المعيار ضوابط الخصوصية بأدوار كل من مراقبي المعلومات الشخصية (PICs) ومعالجي المعلومات الشخصية (PIPs).
العلاقة مع ISO 27001
لا يُعد ISO 27701 معيارًا مستقلًا — بل هو امتداد لمعيار ISO 27001. يجب أن تحمل المؤسسات شهادة ISO 27001 (أو تسعى للحصول عليها في الوقت ذاته) قبل الحصول على شهادة ISO 27701. يتشارك البرنامج المتكامل إطار إدارة ISMS، مما يقلل بشكل ملحوظ من جهد التطبيق وتكلفة التدقيق مقارنة بالمشاريع المنفصلة.
من يحتاج إلى ISO 27701؟
- المؤسسات التي تعالج البيانات الشخصية للاتحاد الأوروبي بموجب التزامات GDPR
- مزودو الخدمات السحابية ومعالجو البيانات الذين يتعاملون مع البيانات الشخصية للعملاء
- منصات تقنيات الرعاية الصحية والموارد البشرية
- شركات الخدمات المالية الخاضعة لمتطلبات خصوصية في ولايات قضائية متعددة
- أي مؤسسة تسعى لإثبات المساءلة بموجب المادة 5(2) من GDPR
ISO 27701 والامتثال لـ GDPR
على الرغم من أن شهادة ISO 27701 لا تشكل دليلًا قانونيًا على الامتثال لـ GDPR، إلا أنها توفر إطارًا موثقًا ومدققًا بشكل مستقل يرتبط مباشرة بالتزامات المساءلة في GDPR. تعترف السلطات الإشرافية ومسؤولو حماية البيانات على نطاق واسع بمعيار ISO 27701 كإجراء مساءلة قوي بموجب المادة 24 من GDPR.
مجالات الضوابط الرئيسية
- شروط الخصوصية لجمع ومعالجة المعلومات الشخصية
- الالتزامات تجاه الأفراد (أصحاب البيانات): الشفافية، الوصول، التصحيح، الحذف
- الخصوصية بالتصميم وبشكل افتراضي في تصميم الأنظمة والعمليات
- ضوابط نقل البيانات بما في ذلك آليات النقل عبر الحدود
- إدارة المعالجين والمعالجين الفرعيين بموجب المادة 28 من GDPR
- إجراءات الإخطار بخرق البيانات المتوافقة مع متطلب الـ 72 ساعة في GDPR
الجدول الزمني المعتاد
للمؤسسات الحاصلة بالفعل على ISO 27001: من 2 إلى 3 أشهر لإضافة شهادة ISO 27701. للمؤسسات التي تسعى للحصول على ISO 27001 + ISO 27701 في آن واحد: من 4 إلى 6 أشهر.