Біз туралыСтандарттарБлог ✦ ЖИ бағалауБаға алу →

Басты бет  ›  Блог  ›  ISO 27701 және GDPR құпиялылық сертификаттауы

ISO 27701 — құпиялылық сертификаттауы GDPR сәйкестігін қалай қолдайды

ISO 27701 сіздің ақпараттық қауіпсіздікті басқару жүйеңізді құпиялылықты қамтитындай кеңейтеді, GDPR талаптарына тікелей сәйкес келетін және реттеушілерге есеп берушілікті көрсететін құрылымдық, аудитталатын шеңберді ұсынады.

Құпиялылық 2025 жылғы 20 қараша 7 мин оқу

ISO 27701 дегеніміз не?

ISO/IEC 27701:2019 — Құпиялылық ақпаратын басқару жүйесін (PIMS) құру, іске асыру, қолдау және үнемі жетілдіру бойынша талаптарды белгілейтін және нұсқаулық беретін халықаралық стандарт. Ол ISO 27001 мен ISO 27002-нің кеңейтімі ретінде жеке сәйкестендірілетін ақпаратты (PII) басқаруды қарастыратын құпиялылыққа тән бақылаулар мен нұсқаулықтарды қосу арқылы әзірленді.

Стандарт 2019 жылдың тамызында сертификатталатын құпиялылық басқару шеңберіне арналған жаһандық сұраныстың артуына тікелей жауап ретінде жарияланды. GDPR заңды міндеттемелерді белгілесе, ISO 27701 ұйымдарға сол міндеттемелерді құрылымдық, қайталанатын және аудитталатын тәсілмен орындауға көмектесетін операциялық басқару жүйесін ұсынады.

PIMS: ISMS-тің құпиялылық кеңейтімі

ISO 27701 оқшаулануда жұмыс істемейді. Ол бар ISO 27001-ге сертификатталған ISMS-тің кеңейтімі ретінде нақты жобаланған. Бұл ұйымдардың ISO 27701-ді іске асыру және сертификаттау алдында алдымен ISO 27001-ге ие болуы керек екенін білдіреді. PIMS ISMS-тің үстіне мыналарды қосу арқылы құрылады:

  • Құпиялылыққа тән тараулар. PII өңдеу контекстін, құпиялылық тәуекелін бағалауды және құпиялылыққа тән көшбасшылық жауапкершіліктерін қарастыратын ISO 27001 4-тен 10-ға дейінгі тарауларға кеңейтімдер.
  • PII контроллерлеріне арналған қосымша бақылаулар. ISO 27701-дің А қосымшасы PII өңдеу мақсаттары мен құралдарын анықтайтын ұйымдарға тән бақылауларды ұсынады.
  • PII процессорларына арналған қосымша бақылаулар. B қосымшасы контроллерлер атынан PII өңдейтін ұйымдарға арналған бақылауларды ұсынады.
  • GDPR салыстыру қосымшасы. D қосымшасы ISO 27701 бақылаулары мен GDPR баптары арасындағы ақпараттық салыстыруды ұсынады.

ISO 27701 GDPR-ге қалай сәйкес келеді

ISO 27701 мен GDPR арасындағы қарым-қатынас кездейсоқ емес — ол тікелей болу үшін жобаланған. Стандарттың D қосымшасы оның бақылаулары мен нақты GDPR баптары арасында толық салыстыруды ұсынады. Негізгі сәйкестіктер мыналарды қамтиды:

  • 5-бап — Принциптер. ISO 27701-дің мақсатты шектеу, деректерді минимизация және дәлдік бойынша талаптары GDPR-дің негізгі өңдеу принциптерін тікелей қолдайды.
  • 6-бап — Заңды негіз. Стандарт ұйымдардан әр өңдеу әрекеті үшін заңды негізді құжаттауды және жүргізуді талап етеді.
  • 13-14 баптар — Ашықтық. ISO 27701 тікелей және жанама деректер жинау сценарийлерін қарастыратын нақты құпиялылық хабарламаларын міндеттейді.
  • 15-22 баптар — Деректер субъектісінің құқықтары. Стандарт қол жеткізу сұрауларын, түзетуді, жоюды, тасымалдауды және қарсылықты өңдеу бойынша құжатталған процедураларды талап етеді.
  • 25-бап — Дизайн бойынша деректерді қорғау. ISO 27701-дің тәуекелге негізделген тәсілі деректерді қорғауды өңдеу әрекеттерінің дизайнына ендіреді.
  • 28-бап — Процессор міндеттемелері. B қосымшасы процессорлар іске асыруы тиіс нақты бақылауларды ұсынады.
  • 30-бап — Өңдеу жазбалары. Стандарт PII өңдеу әрекеттерінің жан-жақты жазбаларын талап етеді.
  • 32-бап — Өңдеу қауіпсіздігі. ISO 27001 қауіпсіздік бақылауларына негізделу арқылы ISO 27701 тиісті техникалық және ұйымдық шаралардың PII-ді бүкіл өмірлік циклі бойынша қорғауын қамтамасыз етеді.

Сертификаттау процесі

ISO 27701 сертификаттауына қол жеткізу бар ISO 27001 бағдарламаңызға негізделген құрылымдық жолды ұстанады:

  1. Олқылықтарды талдау. Ағымдағы ISMS және құпиялылық тәжірибелерін ISO 27701 талаптарына қарсы бағалаңыз.
  2. Ауқымды анықтау. PIMS ауқымын, оның ішінде қамтылатын өңдеу әрекеттерін, бизнес бөлімшелерін және деректер санаттарын анықтаңыз.
  3. Іске асыру. ISO 27701 талап ететін қосымша бақылауларды орнатыңыз, тәуекелді бағалауды құпиялылық тәуекелдерін қосу үшін жаңартыңыз.
  4. Ішкі аудит. Бақылаулардың іске асырылғанын, тиімді екенін және дұрыс құжатталғанын тексеру үшін PIMS ішкі аудитін жүргізіңіз.
  5. 1-кезең аудиті. Сертификаттау органы құжаттамаңызды және толық бағалауға дайындығыңызды шолады.
  6. 2-кезең аудиті. Сертификаттау органы PIMS іске асыру мен тиімділігін мұқият бағалайды.
  7. Сертификаттау және бақылау. Сәтті аяқталғаннан кейін ISO 27701 сертификатын аласыз. Жыл сайынғы бақылау аудиттері үздіксіз сәйкестікті қамтамасыз етеді.

Қорытынды

ISO 27701 ақпараттық қауіпсіздік пен құпиялылықты басқару арасындағы алшақтықты жояды, ұйымдарға GDPR сәйкестігін тікелей қолдайтын сертификатталатын шеңберді ұсынады. ISO 27001-ді қолдайтын ұйымдар үшін ISO 27701-ге кеңейту құпиялылықты заңды міндеттемеден басқарылатын, аудитталатын бизнес процесіне айналдыратын логикалық және тиімді қадам.

Реттеу қадағалауы күшейіп, деректер субъектілері өз құқықтарын жақсы біле бастаған кезде, тәуелсіз сертификатпен расталған жұмыс істейтін құпиялылықты басқару жүйесін көрсете білу тек комплаенс талабы ғана емес, бәсекелік артықшылыққа айналуда.