Как сообщает сайт ИСО, в настоящее время завершается работа над проектом международного стандарта ISO/IEC DIS 27552 «Меры и средства обеспечения безопасности. Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента неприкосновенности частной жизни – Требования и рекомендации» (Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines) объёмом 71 страница, см. https://www.iso.org/standard/71670.html и https://www.iso.org/obp/ui/#!iso:std:71670:en .
Ранее я уже писала об этом проекте, см. http://rusrim.blogspot.com/2017/10/blog-post_9.html и http://rusrim.blogspot.com/2017/12/2_13.html
В настоящем документе устанавливаются требования и даются рекомендации по разработке, внедрению, эксплуатации и постоянному совершенствованию системы менеджмента информации, относящейся к неприкосновенности частной жизни (Privacy Information Management System, PIMS - или «системы менеджмента персональных данных», что по сути одно и то же – Н.Х.) в виде расширения положений стандартов ISO/IEC 27001 и ISO/IEC 27002 на вопросы менеджмента неприкосновенностью частной жизни в контексте организации.
В частности, данный документ устанавливает связанные с PIMS требования и даёт рекомендации для операторов и обработчиков персональных данных (PII), несущих ответственность и подотчётных за обработку персональных данных.
Данный документ применим в организациях всех типов и размеров, включая государственные и частные компании, государственные органы и учреждения и некоммерческие организации, которые являются операторами персональных данных и/или их обработчиками и ведут обработку персональных данных в рамках системы менеджмента информационной безопасности.
Исключение каких-либо требований, установленных в главе 5 настоящего документа («Специфические для PIMS требования, связанные с ISO/IEC 27001») недопустимо в случае, когда организация заявляет о своём соответствии настоящему стандарту.
Содержание документа следующее:
0. ВведениеМой комментарий: Тема защиты персональных данных, ввиду очень жёсткого европейского законодательства и появляющегося не менее, если не более жёсткого соответствующего законодательства в других юрисдикциях (например, в Китае), становится всё более актуальной, порой непосредственно влияя на применимость в конкретной юрисдикции определенных технологий и методов работы. Соответственно, эта тема рассматривается практически во всех стандартах инновационных технологий, и меня не удивит, если она также станет типовым компонентом всех систем менеджмента ИСО. Появление же этого блока в системе менеджмента информационной безопасности давно назрело и вряд ли кого удивит :)
1. Область применения
2. Нормативные ссылки
3. термины, определения и сокращения
4. Общие положения
5. Специфические для системы менеджмента персональных данных PIMS требования, связанные с ISO/IEC 27001
6. Специфические для системы менеджмента персональных данных PIMS рекомендации, связанные с ISO/IEC 27002
7. Дополнительные рекомендации ISO/IEC 27002 для операторов персональных данных
8. Дополнительные рекомендации ISO/IEC 27002 для обработчиков персональных данных
Приложение A (нормативное): Специфические для PIMS базовые цели и меры управления (для операторов персональных данных)
Приложение B (нормативное): Специфические для PIMS базовые цели и меры управления (для обработчиков персональных данных)
Приложение C (справочное): Сопоставление с положениями европейского закона о защите персональных данных GDPR
Приложение D (справочное): Сопоставление с ISO/IEC 29100
Приложение E (справочное): Сопоставление с ISO/IEC 27018 и ISO/IEC 29151
Приложение F (справочное): Термины и альтернативные термины
Приложение G (справочное): Как применять ISO/IEC 27552 в отношении ISO/IEC 27001 и ISO/IEC 27002
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/71670.html
https://www.iso.org/obp/ui/#!iso:std:71670:en
Комментариев нет:
Отправить комментарий