תקן 27701 ISO לעמידה בדרישות רגולציה בינלאומית בנושא אבטחת הפרטיות
האם הלקוחות שלכם דורשים מכם להוכיח שאתם עומדים בדרישות אבטחת הפרטיות, כגון: GDPR? הסמכה רשמית לתקן 27701 ISO יכולה לספק מענה לדרישותיהם
להרשמה השאירו פרטים
ארכיון ניוזלטרים >>
תקן 27701:2019 ISO מגדיר דרישות ומספק הנחיות להקמה, יישום, תחזוקה ושיפור של מערכת ניהול והגנה על הפרטיות בארגון, PIMS – Privacy Information Management System, תוך הרחבת מערכת אבטחת מידע של הארגון שמוקמת לפי דרישות תקן 27001:2013 ISO. התקן מגדירה דרישות ובקרות לניהול אבטחת המידע של הארגון, תוך נקיטת האמצעים המתאימים לשמירה על המידע הרגיש והפרטי של הארגון וניהולו בצורה יעילה.
התקן מגדיר מעטפת ניהולית ומתאים לכל הארגונים הנדרשים לעמידה ברגולציה, כגון:
- תקנות הגנת הפרטיות, התשע"ז–2017
- GDPR – General Data Protection Regulation
- CCPA - California Consumer Privacy Act
27701 ISO מרחיב את תקן 27001 ISO ומוסיף מידע ודרישות מיוחדות בתחום אבטחת המידע הרלוונטיות להגנת הפרטיות, כאשר ההסמכה ע"י גוף מסמיך תתבצע ל- 2 התקנים במקביל או שתתבצע הרחבת הדרישות לפי תקן 27701 ISO לארגונים שכבר מוסמכים לתקן 27001 ISO.
לפרטים נוספים ולקביעת פגישה ללא התחיבות צרו עימנו קשר
דרישות מיוחדות של תקן 27701 ISO
תקן 27701 ISO מציג קווים מנחים לבקרות הגנה על הפרטיות, וזאת באמצעות:
- הגדרת מדיניות הגנה על הפרטיות, PIMS - Privacy Information Management System
- הגדרת דרישות מבעלי השליטה במידע, Data controllerלארגון שיוזם ומבקש את איסוף ועיבוד המידע לצורכי הפעילות העסקית שלו
- הגדרת דרישות ממעבדי המידע, Data Processor לארגון אשר מספק שירותים לבעלי המידע, אוסף עבורם את המידע, מעבד אותו או מאחסן אותו (כגון ספקי ענן)
חשוב לציין, שכחלק מהיערכות והטמעת דרישות תקן 27701 ISO חשוב שהארגון יבצע סקר סיכונים טכנולוגי ומבדק חדירה PT ע"מ לוודא רמות הגנה על מאגרי מידע הקיימים בארגון וקיום של כל הבקרות הטכנולוגיות הנדרשות לעמידה בתקן וברגולציה שחלה על הארגון.
מדוע כדאי לארגון לשדרג את תהליכיו לפי התקן ולקבל הסמכה רשמית?
עבודה ע"פ התקן…
- מוכיחה ללקוחות שהחברה עומדת בדרישות רגולטוריות שחלות על הארגון – GDPR, CCPA, תקנות הגנה על הפרטיות וכו'.
- מגבירה את תחושת הביטחון אצל לקוחות החברה ומעלה את מוניטין החברה
- משדרגת את אמצעי הניהול ואבטחה של מאגרי מידע ומערכות מידע של הארגון
- מונעת זליגת מידע רגיש ופרטי של הארגון
- מצמצמת הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו
- מפתחת יכולת התאוששות מאסון והמשכיות עסקית
- מזהה את הסיכונים הקיימים בתחום אבטחת מידע והגנה על הפרטיות ובונה תכנית מניעה
במסגרת הקמת מערכת לניהול אבטחת מידע והגנה על הפרטיות באחריות הארגון לבצע:
- שדרוג מדיניות אבטחת מידע של הארגון
- תיקוף מדיניות הגנה על הפרטיות של הארגון שהוכנה ע"י יועץ משפטי של החברה
- זיהוי, הערכה ובקרת סיכוני אבטחת מידע והגנה על הפרטיות, תוך הגדרת פעילויות למניעת התממשותם
- מעקב יישום בקרות הנדרשות לפי התקן שקשורות להגנה על הפרטיות בחברה
- כתיבת נהלי אבטחת מידע והגנה על הפרטיות של הארגון. במידה והארגון מוסמך לתקן 9001 ISO, או 27001 ISO ניתן לבצע התאמת נהלי האיכות של הארגון לדרישות התקנים ויצירת נהלים של מערכת איכות משולבת
- הגדרת יעדים ומדדים בתחום הגנה על הפרטיות
- הגדרת פעילויות לשיפור מתמיד והגדרת אבטחת מידע כחלק מהתרבות הארגונית
- ביצוע מבדקים פנימיים כהכנה לקראת מבדקי הסמכה ע"י גוף מסמיך
- קיום סקרי ההנהלה בהתאם לדרישות התקן
תהליך הייעוץ להסמכת תקן 27001 ISO ו- 27701 ISO
התהליך מתחיל במפגשים עם אנשי מפתח בארגון כדי להכיר את אופן העבודה בארגונכם. יועץ מחברתנו מאפיין את תהליכי העבודה ומפתח את הנהלים, הוראות העבודה והטפסים, מבצע בשיתוף פעולה עם אנשי הארגון זיהוי סיכוני אבטחת מידע. נהלי החברה שפותחו עוברים אישור מנציג הנהלת הארגון. לאחר שהנהלים אושרו, נסייע לכם בהטמעתם בארגון. תהליך ההטמעה יכול לכלול, בהתאם לצרכיכם, הדרכות, מבדקים פנימיים, הכנה והשתתפות בסקר הנהלה ועוד. אנו מתחייבים שבסיום תהליך הייעוץ תעברו בהצלחה מבדק אובייקטיבי על ידי אחד הארגונים המוסמכים לבדוק את התקן בישראל.
