Pomimo szybkości i rosnącego komercyjnego wpływu naruszeń bezpieczeństwa, większość instytucji nadal kontroluje bezpieczeństwo cyfrowe w sposób zaprojektowany w celu sprostania wczorajszym atakom poprzez stosowanie uciążliwych ograniczeń, które utrudniają innowacje.
Dodatki
ISO 27001 ustanawia ramy ochrony cennych informacji organizacji – w tym danych osobowych – w bezpieczny i wiarygodny sposób. Norma określa wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) mającego na celu ochronę m.in. przed usunięciem, wyciekiem czy utratą dostępu do danych. Jednocześnie zapewnia, że firmy utrzymują bieżące wysiłki w zakresie bezpieczeństwa, w których ocena ryzyka i obsługa zdarzeń tworzy współczesną ochronę informacji. Jest to zgodne z tekstem legislacyjnym RODO, który m.in. wzywa organizacje do wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia poziomu bezpieczeństwa odpowiadającego ryzyku. Poniżej wymieniono 5 obszarów, w których ISO 27001 bezpośrednio spełnia wymagania RODO:
Pierwsza dokumentacja
Przejście na RODO oznacza, że firmy muszą teraz być w stanie udokumentować swoją zgodność z prawem. Jest to również warunek wstępny zgodności z wymaganiami ISO 27001 – jeśli nie można tego udokumentować, wymagania nie są uważane za spełnione. Ergo: Musi istnieć przegląd danych osobowych, raport dotyczący oceny ryzyka, dziennik zdarzeń itp.
2. Przegląd danych osobowych
Przegląd krytycznych i wrażliwych danych firmy jest w ISO 27001 kluczem do wyznaczenia odpowiednich środków bezpieczeństwa. Jest to również wymóg dotyczący danych osobowych w RODO w celu kontrolowania, gdzie, jak i jak długo dane są przechowywane, kto może uzyskać do nich dostęp itp.
Trzecia ocena ryzyka
RODO wymaga od firm przeprowadzania ocen ryzyka w celu zidentyfikowania ryzyka narażenia na szwank danych osobowych obywateli UE. Dotyczy to również wdrażania nowych systemów lub tworzenia nowych procesów biznesowych. Podobnie, ISO 27001 wymaga od firm ustanowienia odpowiedniej reakcji bezpieczeństwa poprzez zarządzanie ryzykiem, tj. ocenić prawdopodobieństwo wystąpienia różnych zdarzeń i określić odpowiednie konsekwencje dla danych osób, których dane dotyczą.
4. Przerwy
RODO wymaga od firm poinformowania władz w ciągu 72 godzin o możliwej przerwie w działaniu danych. Może również obejmować powiadomienie osób, których dane dotyczą. Podobnie, ISO 27001 określa wymagania dotyczące obsługi odchyleń i proponuje procesy obsługi zdarzeń.
5. Ocena i ciągłe ulepszenia
Jest to podstawowy precedens dla zgodności z RODO, że organizacje ustanawiają pewne przepływy pracy, które zapewniają ciągłą ochronę danych osobowych, niezależnie od obrazu zagrożenia, nowych metod leczenia lub zmian w procesach biznesowych. W tym przypadku ISO 27001 zapewnia zestaw narzędzi, które zapewnią odpowiednią ochronę informacji nawet w przypadku zmiany kontekstu. Ocena środków kontroli bezpieczeństwa, audyty wewnętrzne i ocena zarządzania są kluczowymi elementami utrzymania i ciągłej poprawy ochrony danych.
Wartość
Przedsiębiorstwa są w stanie ustanowić najsurowsze mechanizmy obronne przed kluczowymi zasobami informacyjnymi. Pomagamy klientom zdecydować, co chronić i ile potrzebują, dzięki połączeniu ISO27000, które pomaga firmom nadać priorytet ryzyku biznesowemu i aktywom, a także strategiom i planom taktycznym, które dostosowują możliwości firmy w zakresie ryzyka.