iso 27701:2019 privacidad de la información · 2019-10-03 · iso/iec 27701 es un estándar...
TRANSCRIPT
ISO 27701:2019Privacidad de la Información
Introducción
Más allá de las innegables ventajas que la conocida como Sociedad de la Información nos aporta, la actual tecnificación que vivimos ha introducido nuevos retos. De todos ellos, la protección de los datos de carácter personal, es hoy en día los principales.
Estos datos de carácter personal son todos aquellos relativos a una persona física identificada o identi-ficable y que permitirían conocer alguno de los elementos propios de su identidad, ya se de tipo ideoló-gico, cultural, personal, etc.
Es por ello que los diferentes gobiernos y agencias han creado una serie de nuevas regulaciones enca-minadas a la protección de esta información.
Las organizaciones tienen por delante la tarea de dar respuesta a estos nuevos derechos y garantizar tanto un tratamiento adecuado de los datos de carácter personal como una protección suficiente de los mismos.
ISO/IEC 27701
Es un estándar internacional pensado para ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal que gestionan las orga-nizaciones.
Se ha configurado como una extensión del estándar ISO/IEC 27001 de Seguridad de la Información, beneficiándose de los procesos de seguridad que este estándar establece.
Permite la integración de la gestión de la información de carácter personal con otros estándares.
Facilita el cumplimiento de las normativas legales vinculadas a los datos de carácter personal como el RGPD y la LOPDGDD.
Establece diferentes requisitos en función del rol que desempeñe la organización, ya sea como responsable o como encargado del tratamiento.
Permite certificar el cumplimiento de las buenas prácticas en materia de gestión de datos de carácter personal.
Integración con ISO/IEC 27001
Es necesario la existencia o desarrollo de un SGSI conforme a ISO/IEC 27001.
La implantación del Sistema de Gestión de Privacidad de la Información (SGPI) requerirá:
Una ampliación de los requisitos del cuerpo normativo de ISO/IEC 27001Una ampliación de los requisitos de algunos de los controles del anexo A de ISO/IEC 27001La implantación de nuevos controles de seguridad del anexo A de ISO/IEC 27701 en el caso de los responsables del tratamientoLa implantación de nuevos controles de seguridad del anexo B de ISO/IEC 27701 en el caso de los encargados del tratamiento
SGSI Clásico
ISO/IEC 27001
Anexo AISO/ IEC 27001
Dominio 5
Dominio 6
Dominio 7
...
...
Dominio 18
SGSPI
ISO/IEC 27001
Anexo AISO/ IEC 27001
Dominio 5
Dominio 6
Dominio 7
...
...
Dominio 18
ISO/IEC27701 §6
ISO/IEC 27701Anexo A
ISO/IEC 27701Anexo B
ISO/IEC 27701 §5
Cambios en el SGSI para la implantación de un SGPI
ISO 27001 ISO 27701 Cambios Resumen
4 5.2 SíLa organización debe realizar un análisis del contexto tratando de comprender el rol de la organización como gestor de datos de carácter personal dentro de su contexto.
5 5.3 No ---
6 5.4 Sí
La organización debe realizar un análisis de riesgos vinculado a la ges ón de datos de carácter personal (autónomo o integrado en el análisis de riesgos de seguridad de la información), determinar los controles de los anexos A y B que debe implantar y crear una declaración de aplicabilidad del SGPI.
7 5.5 No ---
8 5.6 No ---
9 5.7 No ---
10 5.8 No ---
Cambios en el SGSI para la implantación de un SGPI
ISO 27001 ISO 27701 Cambios ISO 27001 ISO 27701 CambiosA 5 6.2 Sí A 12 6.9 Sí
A 6 6.3 Sí A 13 6.10 Sí
A 7 6.4 Sí A 14 6.11 Sí
A 8 6.5 Sí
A 9 6.6 Sí A 16 6.13 Sí
A 10 6.7 Sí A 17 6.14 No
A 11 6.8 Sí A 18 6.15 Sí
A 15 6.12 Sí
Cambios en el SGSI para la implantación de un SGPI (A.5)
ISO 27001 ISO 27701 CambiosA.5.1.1 6.2.1.1 Es necesario la creación de una Polí ca rela va a Privacidad de la Información, autónoma o
integrada con la Polí ca de Seguridad de la InformaciónA.5.1.2 6.2.1.2 Sin cambios
ISO 27001 ISO 27701 CambiosA.6.1.1 6.3.1.1 Se debe establecer un punto de contacto rela vo a datos personales para los clientes y
responsables de protección de datos independientes.A.6.1.2 6.3.1.2 Sin cambios
A.6.1.3 6.3.1.3 Sin cambios
A.6.1.4 6.3.1.4 Sin cambios
A.6.1.5 6.3.1.5 Sin cambios
A.6.2.1 6.3.2.1 La organización debe asegurarse que el uso disposi vos móviles no afecta a la protección de datos personales.
A.6.2.2 6.3.2.2 cambios
Cambios en el SGSI para la implantación de un SGPI (A.6)
Cambios en el SGSI para la implantación de un SGPI (A.7)
ISO 27001 ISO 27701 CambiosA.7.1.1 6.4.1.1 Sin cambios
A.7.1.2 6.4.1.2 Sin cambios
A.7.2.1 6.4.2.1 Sin cambios
A.7.2.2 6.4.2.2 Se deben realizar acciones de concienciación y formación específicas vinculadas a privacidad de la información y los incidentes de privacidad.
A.7.2.3 6.4.2.3 Sin cambios
A.7.3.1 6.4.3.1 Sin cambios
ISO 27001 ISO 27701 CambiosA.8.1.1 6.5.1.1 Sin cambios
A.8.1.2 6.5.1.2 Sin cambios
A.8.1.3 6.5.1.3 Sin cambios
A.8.1.4 6.5.1.4 Sin cambios
A.8.2.1 6.5.2.1 Deben incluirse los datos de carácter personal dentro del sistema de clasificación de la información implementado en la organización.
A.8.2.2 6.5.2.2 La organización debe asegurarse que la información de carácter personal sea reconocible.
A.8.2.3 6.5.2.3 Sin cambios
A.8.3.1 6.5.3.1 Se deben implementar medidas especiales para los disposi vos extraíbles que contengan datos de carácter personal, con especial atención al uso de la criptogra a.
A.8.3.2 6.5.3.2 Deben documentarse y aplicarse procedimientos de destrucción/eliminación segura de los disposi vos extraíbles vinculados a datos de carácter personal.
A.8.3.3 6.5.3.3 Se debe implementar un registro de los medios sicos en tránsito vinculados a datos de carácter personal, además de valorar la implementación de sistemas de protección criptográficos.
Cambios en el SGSI para la implantación de un SGPI (A.8)
ISO 27001 ISO 27701 CambiosA.9.3.1 6.6.3.1 Sin cambios
A.9.4.1 6.6.4.1 Sin cambios
A.9.4.2 6.6.4.2 Si es necesario, se debe proveer al cliente de métodos de inicio de sesión a los sistemas vinculados a los datos de carácter personal.
A.9.4.3 6.6.4.3 Sin cambios
A.9.4.4 6.6.4.4 Sin cambios
A.9.4.5 6.6.4.5 Sin cambios
ISO 27001 ISO 27701 CambiosA.9.1.1 6.6.1.1 Sin cambios
A.9.1.2 6.6.1.2 Sin cambios
A.9.2.1 6.6.2.1 El proceso de registro y baja de usuarios debe implementar procesos especiales para los usuarios vinculados a los datos de carácter personal, especialmente en lo referido a situaciones en la que la información pueda verse comprome da.
A.9.2.2 6.6.2.2 Se deben registrar los usuarios y privilegios de las personas vinculadas a datos de carácter personal, así como proveer al cliente de un acceso de ges ón en caso de ser necesario.
A.9.2.3 6.6.2.3 Sin cambios
A.9.2.4 6.6.2.4 Sin cambios
A.9.2.5 6.6.2.5 Sin cambios
A.9.2.6 6.6.2.6 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.9)
Cambios en el SGSI para la implantación de un SGPI (A.10)
ISO 27001 ISO 27701 CambiosA.10.1.1 6.7.1.1 Se deben implementar los sistemas criptográficos requeridos por la legislación aplicable, así
como aportar al cliente, en caso de ser necesario, la información sobre la propia implementación de la criptogra a para la protección de los datos de carácter personal.
A.10.1.2 6.7.1.2 Sin cambios
ISO 27001 ISO 27701 CambiosA.11.2.1 6.8.3.1 Sin cambios
A.11.2.2 6.8.3.2 Sin cambios
A.11.2.3 6.8.3.3 Sin cambios
A.11.2.4 6.8.3.4 Sin cambios
A.11.2.5 6.8.3.5 Sin cambios
A.11.2.6 6.8.3.6 Sin cambios
A.11.2.7 6.8.3.7 Se deben implementar salvaguardas para asegurar que los espacios de almacenamiento de información u lizados previamente para almacenar datos de carácter personal no permiten acceder a esta información posteriormente.
A.11.2.8 6.8.3.8 Sin cambios
A.11.2.9 6.8.3.9 La organización debe limitar el uso de copias impresas de información de carácter personal al mínimo imprescindible para la operación.
ISO 27001 ISO 27701 CambiosA.11.1.1 6.8.3.1 Sin cambios
A.11.1.2 6.8.3.2 Sin cambios
A.11.1.3 6.8.3.3 Sin cambios
A.11.1.4 6.8.3.4 Sin cambios
A.11.1.5 6.8.3.5 Sin cambios
A.11.1.6 6.8.3.6 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.11)
Cambios en el SGSI para la implantación de un SGPI (A.12)
ISO 27001 ISO 27701 CambiosA.12.1.1 6.9.1.1 Sin cambios
A.12.1.2 6.9.1.2 Sin cambios
A.12.1.3 6.9.1.3 Sin cambios
A.12.1.4 6.9.1.4 Sin cambios
A.12.1.5 6.9.1.5 Sin cambios
A.12.2.1 6.9.2.1 Sin cambios
A.12.3.1 6.9.3.1 Se debe crear una polí ca vinculada al proceso de copia de seguridad de datos de carácter personal, e informar de los aspectos relevantes al cliente en caso de ser el responsable del proceso. Las restauraciones deben registrarse y el proceso de restauración debe asegurar que se devuelve la información a un estado anterior en el que se garan ce la integridad.
Cambios en el SGSI para la implantación de un SGPI (A.12)
ISO 27001 ISO 27701 CambiosA.12.4.1 6.9.4.1 Es necesario registrar todos los eventos relevantes para la protección de los datos de
carácter personal, así como revisar los mismos de forma periódica.A.12.4.2 6.9.4.2 La organización debe implementar medidas para garan zar que el acceso a los registros de
eventos son u lizados solo para los fines para los que fueron almacenados, en la medida en que estos registros pueden contener datos de carácter personal. Se debe dar prioridad a los sistemas automa zados de borrado o anonimizado.
A.12.4.3 6.9.4.3 Sin cambios
A.12.4.4 6.9.4.4 Sin cambios
A.12.5.1 6.9.5.1 Sin cambios
A.12.6.1 6.9.6.1 Sin cambios
A.12.6.2 6.9.6.2 Sin cambios
A.12.7.1 6.9.7.1 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.13)
ISO 27001 ISO 27701 CambiosA.13.1.1 6.10.1.1 Sin cambios
A.13.1.2 6.10.1.2 Sin cambios
A.13.1.3 6.10.1.3 Sin cambios
A.13.2.1 6.10.2.1 La organización debe asegurarse que las normas vinculadas al procesamiento de datos de carácter personal tanto dentro como fuera del sistema cuando sea necesario.
A.13.2.2 6.10.2.2 Sin cambios
A.13.2.3 6.10.2.3 Sin cambios
A.13.2.4 6.10.2.4 Los acuerdos alcanzados deben contener obligación de confidencialidad con mención expresa a la vigencia del deber, estos acuerdos deben incluir a los trabajadores de la tercera en dad y a otros relacionados.
Cambios en el SGSI para la implantación de un SGPI (A.14)
ISO 27001 ISO 27701 CambiosA.14.1.1 6.11.1.1 Sin cambios
A.14.1.2 6.11.1.2 La información enviada a través de redes inseguras debe cifrarse.
A.14.1.3 6.11.1.3 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.14)
ISO 27001 ISO 27701 CambiosA.14.2.1 6.11.2.1 La polí ca de desarrollo seguro debe contemplar las obligaciones de la organización
rela vos a datos de carácter personal, incluyendo principios de privacidad en el ciclo de vida, incluyendo la privacidad como un requisito de la fase de diseño, obje vos de privacidad como hitos del desarrollo, requiriendo conocimientos sobre privacidad y minimizando al máximo el procesamiento de datos de carácter personal.
A.14.2.2 6.11.2.2 Sin cambios
A.14.2.3 6.11.2.3 Sin cambios
A.14.2.4 6.11.2.4 Sin cambios
A.14.2.5 6.11.2.5 El desarrollo debe contemplar el principio de privacidad por diseño y privacidad por defecto.
A.14.2.6 6.11.2.6 Sin cambios
A.14.2.7 6.11.2.7 Los encargados del desarrollo externalizado deben respetar los principios anteriores.
A.14.2.8 6.11.2.8 Sin cambios
A.14.2.9 6.11.2.9 Sin cambios
A.14.3.1 6.11.3.1 Se debe evitar el uso de datos de carácter personal como datos de prueba, prefiriéndose en su lugar datos falso o generados ad-hoc. En caso de no ser posible, se deben implementar medidas para minimizar el riesgo derivados del uso de datos de carácter personal.
Cambios en el SGSI para la implantación de un SGPI (A.15)
ISO 27001 ISO 27701 CambiosA.15.1.1 6.12.1.1 Sin cambios
A.15.1.2 6.12.1.2 En el caso de acuerdos en los que haya tratamiento de datos de carácter personal, el contrato debe especificar las medidas técnicas y organiza vas mínimas que el proveedor debe respetar. Estos acuerdos deben especificar las responsabilidades de las partes, así como especificar las formas en que cada una de ellas puede verificar el cumplimiento por parte de las otras.
A.15.1.3 6.12.1.3 Sin cambios
A.15.2.1 6.12.2.1 Sin cambios
A.15.2.2 6.12.2.2 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.16)
ISO 27001 ISO 27701 CambiosA.16.1.1 6.13.1.1 Los procedimientos vinculados a incidentes de seguridad de la información deben incluir
procedimientos y responsabilidades específicos para caso de incidentes de privacidad de la información.
A.16.1.2 6.13.1.2 Sin cambios
A.16.1.3 6.13.1.3 Sin cambios
A.16.1.4 6.13.1.4 Sin cambios
A.16.1.5 6.13.1.5 Los incidentes que afectes a datos de carácter personal deben generar una respuesta específica y procedimentada de la organización, teniendo en cuenta los requisitos legales aplicables para estos casos; incluyendo la no ficación a las autoridades y partes afectadas y los registros de la inves gación.
A.16.1.6 6.13.1.6 Sin cambios
A.16.1.7 6.13.1.7 Sin cambios
Cambios en el SGSI para la implantación de un SGPI (A.17)
ISO 27001 ISO 27701 CambiosA.17.1.1 6.14.1.1 Sin cambios
A.17.1.2 6.14.1.2 Sin cambios
A.17.1.3 6.14.1.3 Sin cambios
A.17.2.1 6.14.2.1 Sin cambios
ISO 27001 ISO 27701 CambiosA.18.1.1 6.15.1.1 La organización debe iden ficar las posibles sanciones derivadas del procesamiento de
datos de carácter personal.A.18.1.2 6.15.1.2 Sin cambios
A.18.1.3 6.15.1.3 Se deben guardar registros históricos de las polí cas vinculadas a datos de carácter personal.
A.18.1.4 6.15.1.4 Sin cambios
A.18.1.5 6.15.1.5 Sin cambios
A.18.2.1 6.15.2.1 La organización que actúe como encargado del tratamiento debe permi r la revisión del cumplimiento de todas sus obligaciones rela vas a seguridad de los datos de carácter personal.
A.18.2.2 6.15.2.2 Sin cambios
A.18.2.3 6.15.2.3 Dentro de la revisión técnica del cumplimiento, se debe incluir la revisión de las herramientas y componentes del sistemas vinculados a tratamiento de datos personales, incluyendo la verificación directa, los test de penetración y los test de vulnerabilidades.
Cambios en el SGSI para la implantación de un SGPI (A.18)
Anexo A del SGPI – Responsables del tratamiento
Dominios Controles ContenidoA.7.2 8 Condiciones para la recolección y el tratamiento
A.7.3 10 Obligaciones respecto de los propietarios de los datos
A.7.4 9 Privacidad por diseño y privacidad por defecto
A.7.5 4 Compar ción, transferencia y revelación de datos de carácter personal
Anexo B del SGPI – Encargados del tratamiento
Dominios Controles ContenidoA.8.2 6 Condiciones para la recolección y el tratamiento
A.8.3 1 Obligaciones respecto de los propietarios de los datos
A.8.4 3 Privacidad por diseño y privacidad por defecto
A.8.5 8 Compar ción, transferencia y revelación de datos de carácter personal
Camino de la Zarzuela, 15 | Bloque 2, 1ª Planta | 28023 Madrid902 44 9001 · +34 91 307 86 48 | Fax: 91 357 40 28
www.eqa.es | [email protected]
Andalucía | Cataluña | C. Valenciana | Galicia | Madrid