Biz haqimizdaStandartlarBlog ✦ AI baholashNarx olish →

Bosh sahifa  ›  Blog  ›  ISO 27701 va GDPR maxfiylik sertifikatsiyasi

ISO 27701 — maxfiylik sertifikatsiyasi GDPR muvofiqligini qanday qo'llab-quvvatlaydi

ISO 27701 axborot xavfsizligini boshqarish tizimingizni maxfiylikni qamrab olish uchun kengaytiradi, GDPR talablariga bevosita mos keladigan va tartibga soluvchilarga javobgarlikni namoyish etadigan tuzilgan, tekshiriladigan doirani taqdim etadi.

Maxfiylik 2025-yil 20-noyabr 7 daq o'qish

ISO 27701 nima?

ISO/IEC 27701:2019 maxfiylik axborotini boshqarish tizimini (PIMS) yaratish, joriy etish, saqlash va doimiy yaxshilash uchun talablarni belgilash va ko'rsatmalar beruvchi xalqaro standart. U ISO 27001 va ISO 27002 ga kengaytma sifatida ishlab chiqilgan bo'lib, shaxsiy identifikatsiya ma'lumotlari (PII) ni boshqarishga oid maxfiylikka xos nazorat choralari va ko'rsatmalarni qo'shadi.

Standart 2019-yil avgustida nashr etilgan, sertifikatsiyalanadigan maxfiylikni boshqarish doirasiga bo'lgan global talabga javoban. GDPR huquqiy majburiyatlarni belgilagan bo'lsa, ISO 27701 tashkilotlarga ushbu majburiyatlarni tuzilgan, takrorlanadigan va tekshiriladigan tarzda bajarishga yordam beradigan operatsion boshqaruv tizimini taqdim etadi.

PIMS: AXBT ga maxfiylik kengaytmasi

ISO 27701 alohida ishlamaydi. U mavjud ISO 27001 sertifikatlangan AXBT ga kengaytma sifatida aniq ishlab chiqilgan. Bu tashkilotlar ISO 27701 ga sertifikatsiyalanishdan oldin avvalo ISO 27001 ga ega bo'lishlari kerakligini anglatadi. PIMS AXBT ga quyidagilarni qo'shish orqali quriladi:

  • Maxfiylikka xos bandlar. PII qayta ishlash konteksti, maxfiylik xavfini baholash va maxfiylikka xos yetakchilik mas'uliyatlarini qamrab oluvchi ISO 27001 bandlariga 4 dan 10 gacha kengaytmalar.
  • PII nazoratchilar uchun qo'shimcha nazorat choralari. ISO 27701 ning A ilovasi PII ni qayta ishlash maqsadlari va vositalarini belgilaydigan tashkilotlarga (GDPR terminologiyasida nazoratchilar) xos nazorat choralarini taqdim etadi.
  • PII qayta ishlovchilar uchun qo'shimcha nazorat choralari. B ilovasi nazoratchilar nomidan PII ni qayta ishlaydigan tashkilotlar (GDPR terminologiyasida qayta ishlovchilar) uchun nazorat choralarini taqdim etadi.
  • GDPR xaritalash ilovasi. D ilovasi ISO 27701 nazorat choralari va GDPR moddalari o'rtasidagi informativ xaritalashni taqdim etadi.

ISO 27701 GDPR ga qanday mos keladi

ISO 27701 va GDPR o'rtasidagi munosabat tasodifiy emas — u to'g'ridan-to'g'ri bo'lishi uchun ishlab chiqilgan. Standartning D ilovasi uning nazorat choralari va muayyan GDPR moddalari o'rtasida batafsil xaritalashni taqdim etadi. Asosiy moslashuvlar quyidagilarni o'z ichiga oladi:

  • 5-modda — Tamoyillar. ISO 27701 ning maqsadni cheklash, ma'lumotlarni minimallashtirish va aniqlik talablari to'g'ridan-to'g'ri GDPR ning asosiy qayta ishlash tamoyillarini qo'llab-quvvatlaydi.
  • 6-modda — Qonuniy asos. Standart tashkilotlardan har bir qayta ishlash faoliyati uchun huquqiy asosni hujjatlashtirish va saqlashni talab qiladi.
  • 13 va 14-moddalar — Shaffoflik. ISO 27701 to'g'ridan-to'g'ri va bilvosita ma'lumot yig'ish stsenariylarini qamrab oluvchi aniq maxfiylik bildirishnomalari va aloqa protseduralarini majburiy qiladi.
  • 15 dan 22 gacha moddalar — Ma'lumotlar sub'ektining huquqlari. Standart kirish so'rovlari, tuzatish, o'chirish, ko'chirish va e'tirozni ko'rib chiqish uchun hujjatlashtirilgan protseduralarni talab qiladi.
  • 25-modda — Dizayn bo'yicha ma'lumotlarni himoya qilish. ISO 27701 ning maxfiylik nazorat choralariga xavfga asoslangan yondashuvi qayta ishlash faoliyatining dizayniga ma'lumotlarni himoya qilishni singdiradi.
  • 28-modda — Qayta ishlovchi majburiyatlari. B ilovasi qayta ishlovchilar amalga oshirishi kerak bo'lgan maxsus nazorat choralarini taqdim etadi.
  • 30-modda — Qayta ishlash yozuvlari. Standart PII qayta ishlash faoliyatining keng qamrovli yozuvlarini talab qiladi.
  • 32-modda — Qayta ishlash xavfsizligi. ISO 27001 xavfsizlik nazorat choralariga asoslanib, ISO 27701 tegishli texnik va tashkiliy choralar PII ni butun hayot davri davomida himoya qilishini ta'minlaydi.

Sertifikatsiya jarayoni

ISO 27701 sertifikatsiyasiga erishish mavjud ISO 27001 dasturingizga asoslangan tuzilgan yo'lga amal qiladi:

  1. Bo'shliq tahlili. Joriy AXBT va maxfiylik amaliyotlaringizni ISO 27701 talablariga nisbatan baholang.
  2. Qamrovni aniqlash. PIMS qamrovini aniqlang, shu jumladan qaysi qayta ishlash faoliyatlari, biznes bo'linmalari va ma'lumotlar toifalari qamrab olinishini.
  3. Amalga oshirish. ISO 27701 tomonidan talab qilinadigan qo'shimcha nazorat choralarini joylashtiring.
  4. Ichki audit. Nazorat choralari amalga oshirilganligini, samarali ekanligini va to'g'ri hujjatlanganligini tekshirish uchun PIMS ning ichki auditini o'tkazing.
  5. 1-bosqich audit. Sertifikatsiya organi hujjatlaringizni va to'liq baholashga tayyorligingizni ko'rib chiqadi.
  6. 2-bosqich audit. Sertifikatsiya organi PIMS amalga oshirilishi va samaradorligini puxta baholaydi.
  7. Sertifikatsiya va nazorat. Muvaffaqiyatli yakunlangandan so'ng ISO 27701 sertifikatini olasiz. Yillik nazorat auditlari davomiy muvofiqlikni ta'minlaydi.

Ma'lumotlarni himoya qilish bo'yicha mas'ul shaxslar uchun foyda

  • Namoyish etiladigan javobgarlik. GDPR ning 5(2)-moddasi tashkilotlardan muvofiqlikni namoyish etishni talab qiladi. ISO 27701 sertifikatsiyasi ishlaydigan maxfiylikni boshqarish tizimining aniq, uchinchi tomon tomonidan tasdiqlangan dalillarini taqdim etadi.
  • Tuzilgan doira. DPO lar maxfiylik talablarining keng qamrovli qoplanishini ta'minlash uchun ISO 27701 doirasidan foydalanishlari mumkin.
  • Doimiy yaxshilash. Boshqaruv tizimi yondashuvi maxfiylik amaliyotlarining muntazam ko'rib chiqilishi, yangilanishi va yaxshilanishini ta'minlaydi.
  • Yetkazib berish zanjiri kafolati. Sertifikatsiya yetkazib beruvchini tanlash va shartnoma muzokaralarida maxfiylik tekshiruvini soddalashtiradigan tan olingan hisob ma'lumotlarini taqdim etadi.
  • Tartibga soluvchilar bilan muloqot. Nazorat organlari bilan muloqotda sertifikatsiya tashkilot maxfiylikni jiddiy qabul qilishini namoyish etadi.

Xulosa

ISO 27701 axborot xavfsizligi va maxfiylikni boshqarish o'rtasidagi bo'shliqni ko'prik qiladi, tashkilotlarga GDPR muvofiqligini bevosita qo'llab-quvvatlaydigan sertifikatsiyalanadigan doirani taqdim etadi. Allaqachon ISO 27001 ni saqlaydigan tashkilotlar uchun ISO 27701 ga kengaytirish maxfiylikni huquqiy majburiyatdan boshqariladigan, tekshiriladigan biznes jarayoniga aylantiradigan mantiqiy va samarali qadamdir.