ISO/IEC 27701

מתוך ויקיפדיה, האנציקלופדיה החופשית

ISO/IEC 27701 (נקרא ISO/IEC 27552 בתקופת העריכה הראשונית) הוא תקן בינלאומי שכותרתו: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines המהווה הרחבת פרטיות ל-ISO/IEC 27001. מטרת התכנון היא לשפר את "מערכת ניהול אבטחת המידע" (ISMS) הקיימת עם דרישות נוספות על מנת להקים, ליישם, לתחזק ולשפר ללא הרף "מערכת לניהול מידע פרטי" (PIMS).[1] התקן מתווה מסגרת לבעלי "מידע בעל זהוי אישי" (PII) וכן למעבדי PII, לניהול בקרות פרטיוּת כדי להפחית את הסיכון לזכויות הפרטיות של אנשים פרטיים.[2]

הסמכת ISO/IEC 27701 נועדה להיות הרחבה להסמכת ISO/IEC 27001. במילים אחרות, ארגונים המתכננים להיות מוסמכים ISO/IEC 27701 יצטרכו גם לקבל הסמכת ISO/IEC 27001.

יישום מיועד לתקן[עריכת קוד מקור | עריכה]

היישום המיועד של ISO/IEC 27701 הוא להגדיל את ה-ISMS הקיים באמצעות בקרות ספציפיות לפרטיות, וכך ליצור PIMS כדי לאפשר ניהול פרטיות יעיל בארגון.

ל-PIMS חזק יש יתרונות פוטנציאליים רבים עבור בקרי PII ומעבדי PII, עם לפחות שלושה יתרונות משמעותיים: ראשית, השגת עמידה בדרישות הפרטיות (במיוחד חוקים ותקנות, בתוספת הסכמים עם צדדים שלישיים, בתוספת מדיניות פרטיות תאגידית וכו') מכבידה, במיוחד אם הדרישות אינן מאורגנות בצורה היעילה ביותר עבור בעלי PII ומעבדי PII. ארגונים הכפופים לחיובים רבים לחוקי פרטיות (למשל ממספר תחומי שיפוט שבהם הם פועלים או שבעלי המידע שלהם פרוסים ברחבי העולם בתחומי שיפוט שונים) עומדים בפני נטלים נוספים כדי ליישב, לקיים ולשמור על שלל הדרישות החלות עליהם. גישה מנוהלת מקלה על נטל העמידה בכללים, למשל כפי שמודגם בנספח C לתקן, בקרת פרטיות יחידה עשויה לעמוד בדרישות מרובות מהאסדרה הכללית להגנת נתונים (GDPR) שכל מדינות האיחוד האירופי מחויבות אליה חוקית.[3]

שנית, השגה ושמירה על עמידה בדרישות החלות שייכת לתחום משילות ואבטחה. בהתבסס על ה-PIMS (ובאופן פוטנציאלי, ההסמכה שלו), אחראי פרטיות ואבטחת מידע יכולים לספק את הראיות הדרושות כדי להבטיח לבעלי עניין כגון הנהלה בכירה, בעלים והרשויות, כי דרישות הפרטיות הרלוונטיות מתקיימות.

שלישית, הסמכת PIMS יכולה להיות בעלת ערך בתקשורת ללקוחות ושותפים. בעלי PII דורשים בדרך כלל ראיות ממעבדי PII לכך שמערכת ניהול הפרטיות של מעבדי PII עומדת בדרישות הפרטיות החלות. מסגרת ראיות אחידה המבוססת על תקן בינלאומי יכולה לפשט מאוד תקשורת כזו של שקיפות תאימות, במיוחד כאשר הראיות מאומתות על ידי מבקר צד שלישי מוסמך.[4] הכרח זה בתקשורת של שקיפות ציות הוא קריטי גם להחלטות עסקיות אסטרטגיות כגון מיזוגים ורכישות ותרחישים של בעלות משותפת על מידע, הכוללים הסכם שיתוף נתונים. לבסוף, הסמכת PIMS עשויה לשמש איתות לאמינות לציבור.

היסטוריה של התקן[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]