Стандарт разработан объединённым техническим комитетом CEN/CLC/JTC13 «Кибербезопасность и защита данных» (Cybersecurity and Data Protection) Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) и Европейского комитета электротехнической стандартизации CENELEC (от фр. Comité Européen de Normalisation Électrotechnique).
«Настоящий документ вносит уточнения, необходимые для применения международного стандарта ISO/IEC 27701 в европейском контексте.
Мой комментарий: На данный момент действующей является редакция ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines), см. https://www.iso.org/standard/71670.html и https://www.iso.org/obp/ui/#!iso:std:71670:en (а также мой пост http://rusrim.blogspot.com/2019/08/isoiec-277012019.html ). В данный момент подходит к концу работа над новой редакцией этого стандарта ISO/IEC DIS 27701, https://www.iso.org/standard/85819.html и https://www.iso.org/obp/ui/#!iso:std:85819:en (а также мой пост http://rusrim.blogspot.com/2023/03/isoiec-dis-27701-isoiec-27001-isoiec.html ).
Данный документ применим к тем же организациям, что и стандарт ISO/IEC 27701: а именно, к организациям любого типа и размера, включая государственные и частные компании, государственные учреждения и некоммерческие организации, которые являются операторами и/или обработчиками персональных данных (ПДн), обрабатывающими ПДн в рамках системы менеджмента информационной безопасности (СМИБ).
Организация может использовать данный документ для реализации типовых требований, а также мер и средств контроля и управления, предусмотренных стандартом ISO/IEC 27701, с учётом особенностей условий своей деятельности и применимых обязательств.
Органы по сертификации могут использовать содержащиеся в данном документе спецификации в качестве основы для критериев сертификации на предмет соответствия стандарту ISO/IEC 27701.
Критерии сертификации, основанные на данных спецификациях, могут сформировать модель сертификации в соответствии со стандартом ISO/IEC 17065 для операций обработки ПДн, выполняемых в рамках системы менеджмента персональных данных (Privacy Information Management System, PIMS), соответствующей стандарту ISO/IEC 27701, которую можно объединить с требованиями к сертификации на соответствие стандарту ISO/IEC 27701, проводимой согласно стандарту ISO/IEC 17021.
Мой комментарий: Здесь упомянут международный стандарт ISO/IEC 17065:2012 «Оценка соответствия - Требования к органам по сертификации продукции, процессов и услуг» (Conformity assessment - Requirements for bodies certifying products, processes and services, см. https://www.iso.org/standard/46568.html и https://www.iso.org/obp/ui/#!iso:std:46568:en ). В России данный стандарт был адаптирован как ГОСТ Р ИСО/МЭК 17065-2012 «Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг», см. http://protect.gost.ru/v.aspx?control=8&baseC=-1&id=175726
Органы по аккредитации и регуляторы могут использовать положения настоящего документа в качестве критериев при создании механизмов сертификации.»
Содержание стандарта следующее:
Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура настоящего документа
5. Система менеджмента персональных данных для операций по обработке персональных данных
6. Требования к операциям по обработке персональных данных
Приложение А (нормативное): Меры и средства контроля и управления для обеспечения информационной безопасности и защиты персональных данных
Приложение B (нормативное): Специфические для PIMS типовые цели управления и меры и средства контроля и управления (для операторов ПДн)
Приложение C (нормативное): Специфические для PIMS типовые цели управления и меры и средства контроля и управления (для обработчиков ПДн)
Приложение D (справочное): Модель сочетания сертификации системы менеджмента, регламентируемой сертификационными требованиями стандарта ISO/IEC 17021, с сертификацией системы менеджмента для нематериальной продукции, регламентируемой сертификационными требованиями стандарта ISO/IEC 17065.
Приложение E (справочное): Взаимосвязь между настоящим европейским стандартом и европейским законом GDPR (General Data Protection Regulation - «Общие правила защиты персональных данных», см. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ) о защите персональных данных.
Библиография
Мой комментарий: Здесь упомянут стандарт ISO/IEC 17021-1:2015 «Оценка соответствия - Требования к органам, проводящим аудит и сертификацию систем менеджмента - Часть 1: Требования» (Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements, см. https://www.iso.org/standard/61651.html и https://www.iso.org/obp/ui/en/#!iso:std:61651:en ), который в России адаптирован как ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования», см. https://protect.gost.ru/document.aspx?control=7&id=218000
Источники: сайт Genorma / ITEX.ai / сайты голландского и шведского национальных органов по стандартизации
https://genorma.com/en/project/show/cenelec:proj:73645
https://standards.iteh.ai/catalog/standards/cen/5f522641-f343-4ab6-bf8a-704403204aee/en-17926-2023
https://www.nen.nl/en/nen-en-17926-2023-en-318520
https://www.sis.se/api/document/preview/80047799/
Комментариев нет:
Отправить комментарий