Co to jest ISO 27701

Jak może pomóc twojej organizacji

ISO 27701 to międzynarodowy standard dotyczący ochrony danych osobowych i bezpieczeństwa informacji, który służy do ustalenia, utrzymania i doskonalenia ochrony danych osobowych w organizacji. Standard ten jest rozszerzeniem ISO 27001 i uzupełnia go o wymagania dotyczące ochrony danych osobowych zgodnie z rozporządzeniem o ochronie danych osobowych (RODO).

ISO 27701 zapewnia organizacji narzędzia do identyfikowania i zarządzania ryzykiem związanym z ochroną danych osobowych oraz pozwala na zapewnienie ochrony danych osobowych zgodnie z obowiązującymi przepisami prawnymi. Wdrożenie tego standardu wymaga odpowiedniego przygotowania i zaangażowania całego zespołu. W procesie tym należy opracować dokumentację, taką jak polityka ochrony danych osobowych, procedury i instrukcje, a także przeprowadzić szkolenia dla pracowników. Ważne jest również regularne monitorowanie i ocena skuteczności systemu oraz ciągłe doskonalenie go.

Certyfikacja ISO 27701 jest coraz częściej wymagana przez klientów i stanowi ważny element budowania wizerunku organizacji jako dbającej o ochronę danych osobowych i bezpieczeństwo informacji. Wdrożenie systemu zarządzania ochroną danych osobowych ISO 27701 może przynieść wiele korzyści, takich jak zwiększenie zaufania klientów i partnerów biznesowych, poprawa ochrony danych osobowych, a także zwiększenie efektywności działania organizacji poprzez lepsze zarządzanie ryzykiem.

ISO 27701 jest obecnie jednym z najczęściej stosowanych standardów ochrony danych osobowych na świecie i jest uznawany za międzynarodowy wzorzec w tej dziedzinie. Wdrożenie systemu zarządzania ochroną danych osobowych ISO 27701 jest więc ważnym krokiem dla każdej organizacji, która chce zapewnić ochronę swoich danych osobowych i zmniejszyć ryzyko ich utraty czy nieuprawnionego dostępu. Standard ISO 27701 skupia się na ciągłym doskonaleniu procesów i działań oraz promowaniu kultury ochrony danych osobowych w organizacji.

Zapytaj jak uzyskać wybrany certyfikat
Skontaktuj się z nami Bezpłatna wycena  Przetestuj swoją wiedzę

Wymagane dokumenty ISO 27701

ISO 27701 to międzynarodowa norma dotycząca zarządzania prywatnością w systemach informatycznych. Norma ta zawiera wymagania dotyczące tworzenia i utrzymywania dokumentacji oraz zapisów, które są niezbędne do zarządzania prywatnością w systemach informatycznych.

  • Oto lista wymaganych dokumentów i zapisów według normy ISO 27701:
  • Polityka prywatności: dokument określający zasady zarządzania prywatnością w organizacji.
  • Procedury zarządzania prywatnością: dokumenty określające sposób postępowania w konkretnych sytuacjach dotyczących prywatności.
  • Rejestr zdarzeń dotyczących prywatności: zapis wszystkich zdarzeń, które mogą mieć wpływ na prywatność w systemie informatycznym.
  • Rejestr przetwarzania danych osobowych: zapis wszystkich operacji przetwarzania danych osobowych w systemie informatycznym.
  • Rejestr zabezpieczeń: zapis wszystkich zabezpieczeń stosowanych w systemie informatycznym, aby chronić dane osobowe.
  • Rejestr incydentów dotyczących prywatności: zapis wszystkich incydentów związanych z prywatnością, które miały miejsce w systemie informatycznym.
  • Rejestr zgłoszeń dotyczących prywatności: zapis wszystkich zgłoszeń od osób, które składają skargi lub wnioski dotyczące prywatności w systemie informatycznym.
  • Rejestr zezwoleń na przetwarzanie danych osobowych: zapis wszystkich zezwoleń udzielonych na przetwarzanie danych osobowych w systemie informatycznym.
  • Rejestr zmian w systemie informatycznym: zapis wszystkich zmian wprowadzanych w systemie informatycznym, które mogą mieć wpływ na prywatność.
  • Dokumentacja dotycząca zabezpieczeń: dokumenty określające rodzaje i poziomy zabezpieczeń stosowane w systemie informatycznym.
  • Protokoły audytów: zapisy dotyczące przeprowadzonych audytów zarządzania prywatnością w systemie informatycznym.
  • Dokumentacja dotycząca szkoleń: zapisy dotyczące przeprowadzonych szkoleń z zakresu zarządzania prywatnością.
  • Dokumentacja dotycząca testów: zapisy dotyczące przeprowadzonych testów zabezpieczeń i procedur zarządzania prywatnością.
  • Dokumentacja dotycząca wsparcia technicznego: zapisy dotyczące działań podejmowanych w celu zapewnienia wsparcia technicznego w zakresie zarządzania prywatnością.

Norma ISO 27701 wymaga, aby te dokumenty i zapisy były utrzymywane w aktualnym stanie i były dostępne dla osób odpowiedzialnych za zarządzanie prywatnością. Ponadto norma wymaga, aby organizacja prowadziła regularne audyty i testy zarządzania prywatnością w celu zapewnienia, że system jest skutecznie zarządzany i dane osobowe są odpowiednio chronione.

Zasady certyfikacji ISO 27701

Aby przystąpić do certyfikacji ISO 27701, należy wypełnić formularz zgłoszeniowy lub wysłać maila na adres biuro|multicert.pl?subject=Certyfikacja%20&body=Prosz%C4%99%20o%20informacj%C4%99%20dotycz%C4%85c%C4%85%20certyfikacji%20| style="box-sizing: border-box; margin: 0px; background-color: transparent; color: rgb(77, 79, 82); text-decoration-line: none;"|biuro|multicert.pl  Na podstawie analizy przesłanych informacji przedstawimy Państwu wstępną wycenę całego procesu certyfikacji. Po uzyskaniu Państwa akceptacji wypełniamy wspólnie formalny wniosek na certyfikację. Wniosek stanowi podstawę do przygotowania pełnej oferty wraz z umową.

Korzyści z certyfikacji systemu ISO 27701

Wdrożenie ISO 27701 wymusza na organizacji stosowanie odpowiednich narzędzi i procedur służących ochronie prywatności osób, których dane przetwarza. Norma wspiera zatem działania organizacyjne w sposób, który umożliwia racjonalne podniesienie ochrony prywatności, skupiając się na polu organizacyjnym oraz nadzorując obszary zwiększonego ryzyka, takie jak:

  1. dostępność, czyli zapewnienie, że w przypadku potrzeby, osoby upoważnione mają dostęp do informacji i związanych z nią aktywów
  1. integralność, czyli zapewnienie precyzyjności i kompletności informacji oraz metod jej przetwarzania
  1. poufność, czyli zapewnienie dostępu do informacji tylko osobom uprawnionym

Ochrona prywatności ma kluczowe znaczenie dla utrzymania i zwiększenia konkurencyjności organizacji poprzez:

  1. ograniczenie kar zwiżanych z wyciekiem danych osobowych,
  2. wyeliminowanie działań marketingowych sprzecznych z prawem, 
  1. budowanie zaufania wśród klientów do marki 
  1. ograniczenie ryzyk związnych z RODO 
  1. wyróżnienie się na rynku poprzez uzyskanie certyfikatu ISO 27001+ 27701

Proces certyfikacji

ETAP I Przegląd dokumentacji systemowej klienta

ETAP I Przegląd dokumentacji systemowej klienta

  • Przegląd dokumentacji systemowej w zakresie zgodności z wymaganiami normy ISO 27001.
  • Ocena systemu w zakresie spełnienia wymagań prawnych ( np. bezpieczeństwa danych osobowych).
  • Podjęcie decyzji w sprawie kolejnego etapu audytu w miejscu prowadzonej przez klienta działalności.
ETAP II Ocena wdrożonego systemu zarządzania jakością na miejscu u klienta

ETAP II Ocena wdrożonego systemu zarządzania jakością na miejscu u klienta

  • Przegląd dokumentów i zapisów.
  • Rozmowy z pracownikami i osobami zarządzającymi organizacją.
  • Przygotowanie przez audytora raportu z audytu certyfikacyjnego.
  • Ocena sprawozdania z audytu przez jednostkę certyfikującą i wydanie certyfikatu.

Warunki certyfikacji

Certyfikat ISO 27001 wydawany jest na okres 3 lat, jednak co roku przeprowadza się audyt nadzoru, którego wyniki stanowią potwierdzenie ważności dokumentu oraz pozwalają sprawdzić stosowanie przyjętych norm. W przypadku odnotowania istotnych odchyleń (niezgodności z normą)  certyfikat może zostać cofnięty.
Audyt wstępny prowadzony jest bezpośrednio przez audytorów Multicert z odpowiednimi uprawnieniami, nie jest on warunkiem certyfikacji wybranego systemu. Jednakże wyniki audytu są skutecznym i ważnym elementem wyboru jednostki certyfikującej. 

Systemy związane