INTRODUZIONE ALLA NUOVA ISO/IEC 27701: 2019

Di Maurizio Romano

  • Cosa è la ISO/IEC 27701: 2019
  • A chi interessa questa norma?
  • Sintesi dei contenuti
  • Differenze tra privacy e protezione dei dati personali
  • Dimostrare la compliance al GDPR tramite la certificazione ISO/IEC 27701
  • iCONS 27701 package
 
Cosa è la ISO/IEC 27701: 2019

Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.

Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII - Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (cfr. art. 42 - General Data Protection Regulation (EU) 2016/679).

Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.

A chi interessa questa norma?

La ISO/IEC 27701 è stata progettata per essere utilizzata da tutte le organizzazioni, siano esse titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC 27001, la norma è fondata su un approccio basato sul rischio in modo che ciascuna organizzazione che voglia essere e mantenersi conforme affronti i rischi specifici riguardanti il trattamento dei dati personali e la privacy a cui è soggetta.
La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la loro dimensione e il loro settore di attività.

Sintesi dei contenuti

La norma fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).

I requisiti della norma sono suddivisi in quattro capitoli:

  • Clause 5, PIMS requirements related to ISO/IEC 27001
  • Clause 6, PIMS requirements related to ISO/IEC 27002
  • Clause 7, PIMS guidance for PII Controllers
  • Clause 8, PIMS guidance for PII Processors

La norma comprende inoltre i seguenti allegati:

  • Annex A lists all applicable controls for PII Controllers
  • Annex B lists all applicable controls for PII Processors
  • Annex C maps ISO/IEC 27701 controls against ISO/IEC 29100
  • Annex D maps ISO/IEC 27701 controls against ISO/IEC GDPR
  • Annex E maps ISO/IEC 27701 controls against ISO/IEC 27018 and ISO/IEC 29151
  • Annex F provides guidance for applying ISO/IEC 27701 to ISO/IEC 27001 and ISO/IEC 27002.
Dimostrare la compliance al GDPR tramite la certificazione ISO/IEC 27701

Implementare un PIMS conforme alle ISO/IEC 27701 e ISO 27001 consentirà alla vostra organizzazione di soddisfare i requisiti del GDPR e di altre regolamentazioni internazionali e nazionali in materia di protezione dei dati e dimostrerà che sono stati predisposte "misure tecniche e organizzative appropriate" (articolo 32) per proteggere i dati personali che vengono trattati, proteggendo i diritti degli interessati, in linea con il principio di accountability descritto nel Regolamento (articolo 5).

L'articolo 42 del GDPR tratta dei meccanismi di certificazione della protezione dei dati. Anche se non è ancora stata definita e riconosciuta ufficialmente come meccanismo valido in tal senso dalle autorità competenti (EDPB e Garante), tuttavia è possibile ottenere la certificazione ISO 27001 - e per estensione ISO 27701 - accreditata in modo indipendente da un certification body riconosciuto, dimostrando così a tutti gli stakeholder che la vostra organizzazione segue le migliori pratiche internazionali in tema di protezione dei dati personali.

iCONS 27701 package

Nell’implementazione di un PIMS conforme alla ISO/IEC 27701 sappiamo che potreste avere budget limitati e sempre meno tempo, risorse ed energie per gestire le esigenze di conformità tecnico-organizzativa in modo efficiente ed efficace.

Ecco perché abbiamo concepito pacchetti personalizzabili per includere solo i servizi e i prodotti di cui avete bisogno, eliminando costi e complessità non necessari, essere snelli ed ottenere/mantenere o aggiornare la certificazione ISO/IEC 27001 estesa con i controlli della ISO/IEC 27701.

La nostra offerta:

  • Self-assessment gratuito, disponibile per il download e la possibilità di usufruire anche del confronto con un consulente esperto per una web-conference gratuita della durata massima di 1h
  • Fornitura Template dei principali documenti previsti dalla norma
  • Pacchetto di giornate di consulenza specialistica offerta da professionisti certificati ISO/IEC 27001, 27701 e/o GDPR ai massimi livelli (ISO/IEC 27001 Lead auditor, GDPR DPO, ecc.), fruibile on-site o da remoto
  • Conduzione di audit interno
  • Preparazione e supporto durante la visita di sorveglianza dell’ente di certificazione
  • Programmi di awareness ed erogazione di corsi di certificazione ISO/IEC 27001, ISO/IEC 27701, GDPR a tutti i livelli e in diversi formati (classroom, on-line, one-to-one) grazie ai servizi della divisione iLEARN

Un esempio di pacchetto per aziende già in possesso della certificazione ISO/IEC 27001 e che vogliano estenderla alla ISO/IEC 27701:

  • Self-assessment – gratuito + eventuale web-conference con consulente esperto (su richiesta)
  • Fornitura template documenti in formato MS word
  • 10 giornate di consulenza in web-conference
  • 1 giornata di audit interno (in web-conference)
  • 3 giornate di supporto on-site durante la visita di sorveglianza dell’ente di certificazione
  • corso ISO/IEC 27701 Awareness online per due persone, con accesso alla piattaforma LMS di iLEARN per 120 gg ed esame online

a soli 10.999,00 €.

Vantaggi pacchetto iCONS

  • Pacchetto modulare, acquista solo quello di cui hai bisogno, il self-assessment e il confronto con un esperto sono gratuiti
  • Possibilità di copertura end-to-end tutti gli ambiti previsti nel percorso di certificazione: persone, processi, documenti, tool
  • Garanzia di velocità: la durata tipica di un progetto di certificazione è di 1-3 mesi per aziende già in possesso della certificazione ISO/IEC 27001
  • Garanzia del miglior rapporto qualità/prezzo possibile, grazie all’esperienza maturata sul campo dai propri consulenti, alla sistematicità dell’approccio e l’alto livello di innovazione ed automazione, iCONS è in grado di offrire il miglior prezzo possibile senza rinunciare alla qualità elevata di una azienda di consulenza direzionale.

Contattaci per maggiori informazioni! Scrivi a  

CONTATTACI

Attenzione, per scelta, iCONS utilizza SOLO cookie tecnici di sessione necessari per offrire la navigazione ed i servizi del sito. Al fine di tutelare la privacy di chi naviga su questo sito NON effettua quindi alcun tracciamento con cookie persistenti, rinunciando alle funzionalità di profilazione. L'informativa in merito al trattamento dei dati è disponibile al link Politica sulla Privacy di iCONS (innovativeconsulting.eu), mentre quella in merito all’utilizzo dei cookie al link Politica sui cookie (innovativeconsulting.eu).

iCONS - Innovative Consulting S.r.l.
Galleria J.F. Kennedy 10/A
20831 Seregno (MB) - Italy
P.IVA 03334560962

0039 0362 330107

iCONS – Innovative Consulting srl è certificata ISO9001 per i servizi di Consulenza Direzionale e Formazione Manageriale

Logo CSQ

© 2020 - 2023 iCONS - Innovative Consulting Srl All rights reserved.

Lean IT is a trademark of Lean IT Association LLC. ITIL®, PRINCE2®, PRINCE2 Agile®, P3O®, MSP®, MoP®, M_o_R® and MoV® are Registered Trade Marks of AXELOS Limited. The Swirl Logo™ are Trade Marks of AXELOS Limited. TOGAF® and ArchiMate® are registered trademarks of The Open Group in the United States and other countries. COBIT® 5, CISA® and CISM® are Registered Trade Marks of the Information Systems Audit and Control Association and the IT Governance Institute.