תקן 27701 ISO – להגנה על הפרטיות ועמידה בדרישות רגולציה בינלאומית בנושא אבטחת הפרטיות כגון GDPR ו- CCPA

האם הלקוחות שלכם דורשים מכם להוכיח שאתם עומדים בדרישות אבטחת הפרטיות, כגון: GDPR? הסמכה רשמית לתקן 27701 ISO יכולה לספק מענה לדרישותיהם

תקן 27701:2019 ISO מגדיר דרישות ומספק הנחיות להקמה, יישום, תחזוקה ושיפור של מערכת ניהול והגנה על הפרטיות בארגון, PIMS – Privacy Information Management System, תוך הרחבת מערכת אבטחת מידע של הארגון שמוקמת לפי דרישות תקן 27001:2013 ISO. התקן מגדירה דרישות ובקרות לניהול אבטחת המידע של הארגון, תוך נקיטת האמצעים המתאימים לשמירה על המידע הרגיש והפרטי של הארגון וניהולו בצורה יעילה.
התקן נותן מענה לכל הארגונים הנדרשים לעמידה ברגולציה, כגון:

  • תקנות הגנת הפרטיות, התשע"ז–2017 
  • GDPR – General Data Protection Regulation
  • CCPA - California Consumer Privacy Act

27701 ISO מרחיב את תקן 27001 ISO ומוסיף מידע ודרישות מיוחדות בתחום אבטחת המידע הרלוונטיות להגנת הפרטיות, כאשר ההסמכה ע"י גוף מסמיך תתבצע ל- 2 התקנים במקביל או שתתבצע הרחבת הדרישות לפי תקן 27701 ISO לארגונים שכבר מוסמכים לתקן 27001 ISO.

לפרטים נוספים ולקביעת פגישה ללא התחיבות צרו עימנו קשר

דרישות מיוחדות של תקן 27701 ISO

תקן 27701 ISO מציג קווים מנחים לבקרות הגנה על הפרטיות, וזאת באמצעות:

  • הגדרת מדיניות הגנה על הפרטיות, PIMS -  Privacy Information Management System
  • הגדרת דרישות מבעלי השליטה במידע,  Data controllerלארגון שיוזם ומבקש את איסוף ועיבוד המידע לצורכי הפעילות העסקית שלו
  • הגדרת דרישות ממעבדי המידע, Data Processor לארגון אשר מספק שירותים לבעלי המידע, אוסף עבורם את המידע, מעבד אותו או מאחסן אותו (כגון ספקי ענן)

חשוב לציין, שכחלק מהיערכות והטמעת דרישות תקן 27701 ISO חשוב שהארגון יבצע סקר סיכונים טכנולוגי ומבדק חדירה PT ע"מ לוודא רמות הגנה על מאגרי מידע הקיימים בארגון וקיום של כל הבקרות הטכנולוגיות הנדרשות לעמידה בתקן וברגולציה שחלה על הארגון.

מדוע כדאי לארגון לשדרג את תהליכיו לפי התקן ולקבל הסמכה רשמית?

עבודה ע"פ התקן…

  • מוכיחה ללקוחות שהחברה עומדת בדרישות רגולטוריות שחלות על הארגון – GDPR, CCPA, תקנות הגנה על הפרטיות וכו'.
  • מגבירה את תחושת הביטחון אצל לקוחות החברה ומעלה את מוניטין החברה
  • משדרגת את אמצעי הניהול ואבטחה של מאגרי מידע ומערכות מידע של הארגון
  • מונעת זליגת מידע רגיש ופרטי של הארגון
  • מצמצמת הוצאות על נזקים הקשורים באירועי אבטחה, איבוד מידע או אי זמינות שלו
  • מפתחת יכולת התאוששות מאסון והמשכיות עסקית
  • מזהה את הסיכונים הקיימים בתחום אבטחת מידע והגנה על הפרטיות ובונה תכנית מניעה

במסגרת הקמת מערכת לניהול אבטחת מידע והגנה על הפרטיות באחריות הארגון לבצע:

  • הגדרת מדיניות אבטחת מידע של הארגון
  • הגדרת מדיניות הגנה על הפרטיות של הארגון
  • זיהוי, הערכה ובקרת סיכוני אבטחת מידע והגנה על הפרטיות, תוך הגדרת פעילויות למניעת התממשותם
  • הגדרת תהליכים וכללים למניעת זליגת המידע ודרישות אבטחת מידע במסגרת מערכות מידע של הארגון
  • כתיבת נהלי אבטחת מידע והגנה על הפרטיות של הארגון. במידה והארגון מוסמך לתקן 9001 ISO, ניתן לבצע התאמת נהלי האיכות של הארגון לדרישות התקנים ויצירת נהלים של מערכת איכות משולבת
  • הגדרת דרישות והנחיות אבטחת מידע במסגרת נהלים פנימיים של הארגון (נהלים ברמת תהליכי העבודה)
  • הגדרת יעדים ומדדים בתחום אבטחת מידע והגנה על הפרטיות
  • הגדרת פעילויות לשיפור מתמיד והגדרת אבטחת מידע כחלק מהתרבות הארגונית
  • ביצוע מבדקים פנימיים כהכנה לקראת מבדקי הסמכה ע"י גוף מסמיך
  • קיום סקרי ההנהלה בהתאם לדרישות התקן

תהליך הייעוץ להסמכת תקן 27001 ISO ו- 27701 ISO

התהליך מתחיל במפגשים עם אנשי מפתח בארגון כדי להכיר את אופן העבודה בארגונכם. יועץ מחברתנו מאפיין את תהליכי העבודה ומפתח את הנהלים, הוראות העבודה והטפסים, מבצע בשיתוף פעולה עם אנשי הארגון זיהוי סיכוני אבטחת מידע. נהלי החברה שפותחו עוברים אישור מנציג הנהלת הארגון. לאחר שהנהלים אושרו, נסייע לכם בהטמעתם בארגון. תהליך ההטמעה יכול לכלול, בהתאם לצרכיכם, הדרכות, מבדקים פנימיים, הכנה והשתתפות בסקר הנהלה ועוד. אנו מתחייבים שבסיום תהליך הייעוץ תעברו בהצלחה מבדק אובייקטיבי על ידי אחד הארגונים המוסמכים לבדוק את התקן בישראל.

לפרטים נוספים ולקביעת פגישה ללא התחיבות צרו עימנו קשר