Acasă Standarde Industrii ✦ Evaluare IA Solicitați o ofertă →
AcasăStandarde → ISO 27701

ISO/IEC 27701 — Managementul Informațiilor de Confidențialitate

Standardul internațional pentru Sistemele de Management al Informațiilor de Confidențialitate (PIMS). ISO 27701 extinde ISO 27001 cu controale specifice confidențialității — oferind un cadru structurat și auditabil pentru conformitatea cu GDPR, LGPD, PIPEDA și alte reglementări privind confidențialitatea.

ISO 27701:2019PIMSAliniere GDPRCadru de confidențialitate

Ce este ISO/IEC 27701?

ISO/IEC 27701:2019 este o extensie a ISO 27001 și ISO 27002 care specifică cerințe și ghidare pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui Sistem de Management al Informațiilor de Confidențialitate (PIMS). Mapează controalele de confidențialitate pe rolurile atât de Operatori de Date cu Caracter Personal (PIC), cât și de Persoane Împuternicite cu Prelucrarea Datelor (PIP).

Relația cu ISO 27001

ISO 27701 nu este un standard de sine stătător — extinde ISO 27001. Organizațiile trebuie să dețină certificarea ISO 27001 (sau să o urmărească simultan) înainte de a obține certificarea ISO 27701. Programul integrat partajează cadrul de management ISMS, reducând semnificativ efortul de implementare și costul de audit comparativ cu angajamentele separate.

Cine are nevoie de ISO 27701?

  • Organizații care prelucrează date personale din UE în baza obligațiilor GDPR
  • Furnizori de servicii cloud și persoane împuternicite care gestionează date personale ale clienților
  • Platforme tehnologice din domeniul sănătății și resurselor umane
  • Firme de servicii financiare supuse cerințelor de confidențialitate din mai multe jurisdicții
  • Orice organizație care dorește să demonstreze responsabilitatea conform Articolului 5(2) GDPR

ISO 27701 și conformitatea cu GDPR

Deși certificarea ISO 27701 nu constituie o dovadă legală a conformității cu GDPR, aceasta oferă un cadru documentat, auditat independent, care mapează direct obligațiile de responsabilitate GDPR. Autoritățile de supraveghere și responsabilii cu protecția datelor recunosc pe scară largă ISO 27701 ca o măsură robustă de responsabilitate conform Articolului 24 GDPR.

Domenii cheie de control

  • Condiții de confidențialitate pentru colectarea și prelucrarea informațiilor cu caracter personal
  • Obligații față de persoane (persoane vizate): transparență, acces, rectificare, ștergere
  • Confidențialitate prin proiectare și implicit în proiectarea sistemelor și proceselor
  • Controale de transfer de date, inclusiv mecanisme de transfer transfrontalier
  • Managementul persoanelor împuternicite și sub-împuterniciților conform Articolului 28 GDPR
  • Proceduri de notificare a încălcării datelor aliniate cu cerința GDPR de 72 de ore

Calendar tipic

Pentru organizațiile care dețin deja ISO 27001: 2–3 luni pentru a adăuga certificarea ISO 27701. Pentru organizațiile care urmăresc simultan ISO 27001 + ISO 27701: 4–6 luni.