О насСтандартыБлог✦ ИИ-оценкаПолучить предложение →

Главная  ›  Блог  ›  ISO 27701 и GDPR

ISO 27701 — Как сертификация конфиденциальности поддерживает соответствие GDPR

ISO 27701 расширяет СУИБ для покрытия конфиденциальности, обеспечивая структурированную, аудируемую основу, напрямую соответствующую требованиям GDPR и демонстрирующую подотчётность регуляторам.

Конфиденциальность20 ноября 20257 мин чтения

Что такое ISO 27701?

ISO/IEC 27701:2019 — международный стандарт для Системы управления конфиденциальностью (PIMS). Разработан как расширение ISO 27001 и ISO 27002, добавляя контроли управления персональными данными (PII). Опубликован в августе 2019 года в ответ на глобальный спрос на сертифицируемую систему управления конфиденциальностью.

PIMS: Расширение конфиденциальности для СУИБ

ISO 27701 спроектирован как расширение существующей СУИБ по ISO 27001. Организации сначала должны иметь ISO 27001. PIMS дополняет СУИБ:

  • Разделы конфиденциальности. Расширения разделов 4–10 ISO 27001 для контекста обработки PII и ответственности руководства.
  • Контроли контролёров PII (Приложение A). Для организаций, определяющих цели и средства обработки PII.
  • Контроли обработчиков PII (Приложение B). Для организаций, обрабатывающих PII от имени контролёров.
  • Маппинг GDPR (Приложение D). Сопоставление контролей ISO 27701 со статьями GDPR.

Как ISO 27701 соответствует GDPR

  • Статья 5 — Принципы. Ограничение целей, минимизация данных и точность напрямую поддерживают принципы GDPR.
  • Статья 6 — Правовое основание. Документирование правового основания для каждой деятельности по обработке.
  • Статьи 13–14 — Прозрачность. Чёткие уведомления о конфиденциальности и процедуры коммуникации.
  • Статьи 15–22 — Права субъектов. Процедуры для запросов на доступ, исправление, удаление, переносимость и возражение.
  • Статья 25 — Защита по умолчанию. Риск-ориентированный подход встраивает защиту данных в проектирование обработки.
  • Статья 28 — Обязательства обработчика. Специфические контроли для обработчиков, включая управление субобработчиками.
  • Статья 30 — Записи об обработке. Всесторонний учёт деятельности по обработке PII.
  • Статья 32 — Безопасность обработки. Технические и организационные меры защиты PII на базе контролей ISO 27001.

Статья 42 GDPR и механизмы сертификации

Статья 42 GDPR поощряет создание механизмов сертификации. Хотя ISO 27701 не является одобренным механизмом по Статье 42, он предоставляет надёжную, международно признанную основу, которую надзорные органы учитывают при оценке подотчётности организации.

Контролёры vs обработчики PII

Контролёры (Приложение A): правовое основание, согласие, оценки PIA, права субъектов, трансграничная передача, сроки хранения и удаление.

Обработчики (Приложение B): обработка по инструкциям, субобработчики, содействие с правами субъектов, уведомление об утечках, возврат/удаление PII, поддержка аудитов.

Процесс сертификации

  1. GAP-анализ — оценка СУИБ и практик конфиденциальности по требованиям ISO 27701.
  2. Определение области — деятельность, подразделения, категории данных; роль контролёра/обработчика.
  3. Внедрение — дополнительные контроли, обновление оценки рисков, расширение документации СУИБ.
  4. Внутренний аудит PIMS для проверки внедрения и эффективности.
  5. Аудит Этапа 1 — проверка документации и готовности.
  6. Аудит Этапа 2 — полная оценка внедрения PIMS.
  7. Сертификация и надзор — ежегодные надзорные аудиты.

Преимущества для DPO

  • Демонстрируемая подотчётность — верифицированное третьей стороной свидетельство по Статье 5(2) GDPR.
  • Структурированная основа — комплексное покрытие требований конфиденциальности.
  • Постоянное улучшение — регулярный пересмотр и обновление практик.
  • Гарантии для цепочки поставок — упрощение должной осмотрительности при выборе поставщиков.
  • Диалог с регуляторами — демонстрация серьёзного подхода к конфиденциальности.

Заключение

ISO 27701 соединяет информационную безопасность и управление конфиденциальностью. Для организаций с ISO 27001 расширение до ISO 27701 — логичный шаг, превращающий конфиденциальность из юридического обязательства в управляемый бизнес-процесс. Способность продемонстрировать функционирующую систему конфиденциальности становится конкурентным преимуществом.