استاندارد ISO 27001 و انطباق GDPR
الزامات مدیریت دارایی ISO 27001 به اطمینان از انطباق با GDPR کمک می کند. ISO 27001 داده های شخصی را به عنوان دارایی امنیت اطلاعات در نظر می گیرد. به این ترتیب، آن دارایی ها تحت محدودیت هایی در مورد ذخیره سازی، طول مدت ذخیره سازی، جمع آوری و دسترسی هستند. اینها نیز الزامات GDPR هستند.
در این مقاله به استاندارد ISO 27001 و انطباق GDPR خواهیم پرداخت. حفاظت از داده ها و حفظ حریم خصوصی امروزه مهمترین اولویت برای سازمان هایی است که با داده های حساس و محرمانه سروکار دارند. چارچوب های نظارتی زیادی در اطراف آن ایجاد شده است تا اطمینان حاصل شود که سازمان ها بهترین شیوه های صنعت را برای ایمن سازی محیط خود اتخاذ می کنند.
مقررات GDPR یکی از این چارچوب ها است که در اتحادیه اروپا برای تضمین حفاظت از داده ها و حریم خصوصی ایجاد شده است. با این حال، به دلیل مقررات سختگیرانه و الزامات امنیتی، اکثر سازمان ها برای دستیابی به انطباق با مشکل مواجه هستند.
برای سازمانهایی که به دنبال دستیابی به انطباق با GDPR هستند، اجرای چارچوب ISO/IEC 27001 سفر انطباق شما را بسیار آسانتر میکند. در مقاله امروز، چگونگی کمک به اجرای استاندارد ISO/IEC 27001 در دستیابی به انطباق GDPR را مورد بحث قرار داده ایم.
استاندارد ISO 27001 و انطباق با GDPR
گواهینامه ISO/IEC 27001 یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است. اگرچه این استاندارد منحصر به حفاظت از داده های شخصی نیست، اما بسیاری از الزامات با مقررات GDPR مشترک هستند.
پیاده سازی استاندارد ISO/IEC 27001، دستیابی به انطباق با GDPR را بسیار آسان می کند. اما ISO/IEC 27001 و GDPR به هیچ وجه نمی توانند به جای یکدیگر استفاده شوند. ISO/IEC 27001 به سادگی چارچوبی را برای اطمینان از اجرای برخی اقدامات فراهم می کند که رژیم انطباق با GDPR را نیز تسهیل می کند.
اجازه دهید نگاهی دقیقتر به استاندارد و الزامات قانونی بیندازیم تا بفهمیم ISO 27001 چه مواردی را در انطباق با GDPR پوشش میدهد:
چه چیزی بین استاندارد ISO 27001 و انطباق GDPR مشترک است؟
استانداردهای ISO/IEC 27001 را می توان برای دستیابی به انطباق استفاده کرد. در زیر چند چارچوب استاندارد ارائه شده است که با الزامات انطباق GDPR همپوشانی دارد.
ارزیابی ریسک
ارزیابی ریسک که بخشی جدایی ناپذیر از استاندارد ISO/IEC 27001 را تشکیل میدهد، همچنین بخشی ضروری از انطباق GDPR است. مشابه استاندارد ISO/IEC 27001 که شامل شناسایی ریسک و بکارگیری اقدامات کنترلی برای کاهش خطرات به سطح قابل قبولی است، GDPR سازمان ها را ملزم می کند تا ارزیابی تاثیر حفاظت از داده ها (DPIA) را برای اجرای اقداماتی برای کاهش سطح قرار گرفتن در معرض خطر انجام دهند.
پیادهسازی استاندارد ISO/IEC 27001 بهعنوان بخشی یکپارچه از برنامه مدیریت ریسک به شما کمک میکند تا الزامات ارزیابی ریسک GDPR را برآورده کنید.
اعلام تخلف
مواد 33 تا 34 مقررات GDPR سازمان ها را ملزم می کند که ظرف 72 ساعت از نقض داده های شخصی به مقامات اطلاع دهند. الزامات مشابه در ISO/IEC 27001، که به کنترلهای مدیریت حوادث امنیت اطلاعات میپردازد، سازمانها را ملزم میکند تا حوادث امنیتی را بهسرعت گزارش کنند و رویدادها را بهگونهای که انجام اقدامات اصلاحی و به موقع را تسهیل میکند، در میان بگذارند.
حفاظت از داده ها توسط طراحی
طبق ماده 25 مقررات GDPR، سازمان ها موظفند اقدامات فنی و سازمانی را اجرا کنند که حفاظت از داده ها و حریم خصوصی را با طراحی تضمین می کند. همچنین سازمان ها را ملزم می کند که به طور پیش فرض از حریم خصوصی داده ها محافظت کنند و اطمینان حاصل کنند که فقط اطلاعات ضروری مورد نیاز برای یک هدف خاص باید پردازش و استفاده شوند.
بنابراین، Privacy by Design که یک الزام اجباری GDPR است را می توان با استاندارد ISO/IEC 27001 که همچنین الزامات را برای اطمینان از امنیت اطلاعات بخشی جدایی ناپذیر از سیستم های اطلاعاتی در کل چرخه عمر مشخص می کند، به دست آورد.
حفظ سوابق
ماده 30 مقررات GDPR، سازمانها را ملزم میکند که سوابق فعالیتهای پردازش، از جمله طبقهبندی دادهها، هدف پردازش، و شرح کلی اقدامات امنیتی فنی و سازمانی مربوطه را حفظ کنند. GDPR همچنین خواستار این است که اطلاعات شخصی بیش از زمان مورد نیاز ذخیره نشود.
به طور مشابه، ISO/IEC 27001 سازمانها را ملزم میکند که فرآیندهای امنیتی، و جزئیات ارزیابیهای ریسک امنیتی و درمان ریسک خود را مطابق بند 8 مستند کنند. استفاده از داده ها تعریف شده است.
مدیریت دارایی
ضمیمه A استاندارد ISO/IEC 27001 که بر طبقه بندی و مدیریت دارایی تمرکز دارد، همچنین شامل اطلاعات شخصی به عنوان دارایی های امنیت اطلاعات می شود. این امر سازمانها را به طبقهبندی نوع دادههای شخصی درگیر، محل نگهداری طولانیمدت، منشأ آن و افرادی که میتوانند به آن دسترسی داشته باشند، طبقهبندی میکنند که همه الزامات GDPR هستند. این در زمینه مدیریت، کنترل و/یا پردازش اطلاعات شخصی خواهد بود.
آیا گواهینامه ISO 27001 به تنهایی برای دستیابی به انطباق GDPR کافی است؟
استاندارد ISO/IEC 27001 بهترین روش صنعت در حال توسعه برای امنیت اطلاعات و چارچوبی عالی برای انطباق با GDPR است. سازمانهایی که این استاندارد را پیادهسازی کردهاند به احتمال زیاد به دلیل وجود چارچوبهای متداخل و بهترین شیوهها، دستیابی به انطباق با GDPR را آسان خواهند کرد.
پیاده سازی استاندارد به تضمین حفاظت از داده های شخصی و به حداقل رساندن خطر کمک می کند.
با تداخل بسیاری از الزامات استاندارد، اجرای استاندارد بین المللی شناخته شده ISO/IEC 27001 روند انطباق را تسهیل می کند. اگرچه دستیابی به انطباق با مقررات GDPR همچنین مستلزم اجرای سایر اقدامات امنیتی و حفظ حریم خصوصی است که در چارچوب مقررات GDPR بیان شده است.
نتیجه
سازمان هایی که استاندارد ISO/IEC 27001 را اجرا کرده یا در حال اجرای آن هستند، قطعاً در موقعیت بسیار بهتری برای دستیابی به الزامات GDPR هستند.
اجرای صحیح استاندارد ISO/IEC 27001 به سازمان ها کمک می کند تا تعدادی از الزامات همپوشانی را برآورده سازند.
اگر قصد انجام این مرحله را دارید، به عنوان کارشناسان ایران گواه، ما به سازمانها توصیه میکنیم برای ارزیابی موقعیت فعلی خود، تجزیه و تحلیل شکاف را انجام دهند و بر این اساس، کنترلهای مربوطه را برای مهار خطر مرتبط با محرمانگی، یکپارچگی و در دسترس بودن دادههای شخصی اجرا کنند.
اگرچه استانداردهای ISO ممکن است انطباق با GDPR را تضمین نکنند، اما از آنجایی که چارچوبی عملی برای توسعه استراتژیها و ایجاد سیاستهای جامع برای به حداقل رساندن خطرات امنیتی که منجر به نقض میشوند، مفید است.
سازمانها، به طور کلی، باید به دنبال صدور گواهینامه ISO/IEC 27001 و GDPR برای ایجاد اقدامات امنیتی قوی و مؤثر برای محافظت از دادههای حساس باشند.
