ИСО и МЭК: В скором времени ожидается публикация новой редакции стандарта ISO/IEC 27701:2024 «Системы менеджмента персональных данных - Требования и рекомендации»

Данная заметка немецкого специалиста Арона Ланге (Aron Lange – на фото)  была опубликована 11 сентября 2024 года в социальной сети LinkedIn.

На горизонте нас ждёт захватывающее обновление стандарта, важного для специалистов по защите персональных данных и обеспечению неприкосновенности частной жизни.

Стандарт ISO 27701 был переработан таки образом, чтобы сделать систему менеджмента персональных данных автономной, и он должен быть опубликован в конце этого года. В отличие от предыдущей редакции, стандарт больше не нужно внедрять совместно со стандартом ISO 27001, что делает его полноценным стандартом системы менеджмента.

Используя ISO 27701, организации могут создать у себя систему менеджмента персональных данных (Privacy Information Management System, PIMS), которая будет направлять обработку персональных данных.

Стандарт может быть использован:

• Операторами персональных данных (PII controllers),
  
  
• Совместными операторами персональных данных (Joint PII controllers),
  
  
• Обработчиками персональных данных (PII processors),
  
  
• Суб-обработчиками персональных данных (Sub-PII processors).

Как стандарт системы менеджмента, документ имеет стандартизированную высокоуровневую внутреннюю структуру, а также включает приложения, в которых описаны типовые меры и средства контроля и управления и цели управления.

Предусмотрены следующие меры и средства контроля и управления:

• Меры защиты персональных данных для операторов ПДн,
  
  
• Меры защиты персональных данных для обработчиков ПДн,
  
  
• Меры безопасности для операторов и обработчиков ПДн.

Арон Ланге (Aron Lange)

Мой комментарий: Я уже рассказывала о работе над данным стандартом здесь: https://rusrim.blogspot.com/2024/08/isoiec-dis-27701.html .

Как сообщает сейчас сайт Международной организации по стандартизации (ИСО), завершается работа над новой редакцией стандарта ISO/IEC DIS2 27701 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Системы менеджмента персональных данных - Требования и рекомендации» (Information security, cybersecurity and privacy protection — Privacy information management systems - Requirements and guidance) объёмом 72 страницы основного текста, см. https://www.iso.org/standard/85819.html и https://www.iso.org/obp/ui/en/#!iso:std:85819:en

Документ должен заменить первую редакцию стандарта ISO/IEC 27701:2019 «Меры и средства обеспечения безопасности - Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента информации, затрагивающей неприкосновенность частной жизни – Требования и рекомендации» (Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines), о которой я рассказывала здесь: http://rusrim.blogspot.com/2019/08/isoiec-277012019.html

Над стандартом работает технический подкомитет ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

В аннотации на документ, в частности, отмечается следующее:

«В настоящем документе устанавливаются требования и даются рекомендации по разработке, внедрению, эксплуатации и непрерывному совершенствованию системы менеджмента персональных данных (Privacy Information Management System, PIMS). Даны рекомендации, помогающие внедрять меры и средства контроля и управления, описанные в данном документе.

Данный документ адресован операторам и обработчикам персональных данных, несущих ответственность и подотчётных за обработку персональных данных.

Данный документ применим в организациях всех типов и размеров, включая государственные и частные компании, государственные органы и учреждения и некоммерческие организации, которые являются операторами персональных данных и/или их обработчиками и ведут обработку персональных данных в контексте системы менеджмента информационной безопасности.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общие положения
5. Специфические для системы менеджмента персональных данных PIMS требования, связанные с ISO/IEC 27001
6. Специфические для системы менеджмента персональных данных PIMS рекомендации, связанные с ISO/IEC 27002
7. Дополнительные рекомендации ISO/IEC 27002 для операторов персональных данных  
8. Дополнительные рекомендации ISO/IEC 27002 для обработчиков персональных данных  
Приложение A: Специфические для PIMS базовые цели и меры управления (для операторов персональных данных)
Приложение B: Специфические для PIMS базовые цели и меры управления (для обработчиков персональных данных)
Приложение C: Сопоставление с ISO/IEC 29100
Приложение D: Сопоставление с положениями европейского закона о защите персональных данных GDPR
Приложение E: Сопоставление с ISO/IEC 27018 и ISO/IEC 29151
Приложение F: Как применять ISO/IEC 27701 в отношении ISO/IEC 27001 и ISO/IEC 27002
Приложение G: Сопоставление с ISO/IEC 27701:2019
Библиография

Источник: сайт LinkedIn / сайт ИСО
https://www.linkedin.com/posts/aronlange_coming-soon-isoiec-277012024-there-is-activity-7239516287779893248-4BYv
https://www.iso.org/standard/85819.html
https://www.iso.org/obp/ui/en/#!iso:std:85819:en