GDPR: Πώς βοηθάει το ISO 27001 στην συμμόρφωση με το GDPR
Περιεχόμενα
Οι οργανισμοί έχουν μέχρι τις 25 Μαΐου 2018 να συμμορφωθούν με τον κανονισμό γενικής προστασίας δεδομένων της ΕΕ (GDPR) .
Όσοι έχουν μελετήσει τον κανονισμό θα γνωρίζουν ότι υπάρχουν πολλές αναφορές σε συστήματα πιστοποίησης, σφραγίδες και σήματα. Το GDPR ενθαρρύνει τη χρήση συστημάτων πιστοποίησης όπως το ISO 27001 για να επιδείξει ότι ο οργανισμός διαχειρίζεται ενεργά την ασφάλεια των δεδομένων του σύμφωνα με τις διεθνείς βέλτιστες πρακτικές.
GDPR και ISO 27001: Διαχείριση ανθρώπων, διαδικασιών και τεχνολογίας
Το πρότυπο ISO 27001 είναι το διεθνές πρότυπο βέλτιστων πρακτικών για την ασφάλεια των πληροφοριών. Είναι ένα πρότυπο που μπορεί να πιστοποιηθεί, έχει ευρεία βάση και περιλαμβάνει τις τρεις βασικές πτυχές ενός ολοκληρωμένου καθεστώτος ασφάλειας των πληροφοριών: ανθρώπους, διαδικασίες και τεχνολογία.
Με την εφαρμογή μέτρων για την προστασία της πληροφορίας με αυτή την τριπλή προσέγγιση, η εταιρεία μπορεί να υπερασπιστεί όχι μόνο τους κινδύνους που οφείλονται στην τεχνολογία αλλά και άλλους πιο κοινούς κινδύνους, όπως το ανεπαρκώς ενημερωμένο προσωπικό ή αναποτελεσματικές διαδικασίες.
Με την εφαρμογή του ISO 27001, ο οργανισμός θα αναπτύξει ένα ISMS (σύστημα διαχείρισης ασφάλειας πληροφοριών): ένα σύστημα που υποστηρίζεται από σωστή ηγεσία, ενσωματωμένο στην κουλτούρα και τη στρατηγική του οργανισμού και το οποίο παρακολουθείται, ενημερώνεται και ελέγχεται συνεχώς. Χρησιμοποιώντας μια διαδικασία συνεχούς βελτίωσης, ο οργανισμός είναι σε θέση να διασφαλίσει ότι το ISMS προσαρμόζεται στις αλλαγές – τόσο στο περιβάλλον όσο και εντός του οργανισμού – για να εντοπίζει συνεχώς και να μειώνει τους κινδύνους.
Τι λέει το GDPR;
Το GDPR ορίζει με σαφήνεια στο άρθρο 32 ότι “ο υπεύθυνος της επεξεργασίας και ο μεταποιητής εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα για να εξασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, μεταξύ άλλων, κατά περίπτωση:
- την ψευδωνύμοποίηση και κρυπτογράφηση δεδομένων προσωπικού χαρακτήρα ·
- η ικανότητα να εξασφαλίζεται η συνεχής εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών επεξεργασίας·
- την ικανότητα να αποκαθιστά εγκαίρως τη διαθεσιμότητα και την πρόσβαση σε προσωπικά δεδομένα σε περίπτωση φυσικού ή τεχνικού συμβάντος ·
- μια διαδικασία τακτικού ελέγχου, αξιολόγησης και αξιολόγησης της αποτελεσματικότητας τεχνικών και οργανωτικών μέτρων για την εξασφάλιση της ασφάλειας της επεξεργασίας. “
Ας δούμε αυτά τα στοιχεία ξεχωριστά:
GDPR και ISO 27001: Κρυπτογράφηση Δεδομένων
Η κρυπτογράφηση δεδομένων συνιστάται από το ISO 27001 ως ένα από τα μέτρα που μπορούν και πρέπει να ληφθούν για τη μείωση των εντοπισθέντων κινδύνων.
Το ISO 27001: 2013 περιγράφει 114 ελέγχους που μπορούν να χρησιμοποιηθούν για τη μείωση των κινδύνων ασφάλειας της πληροφορίας.Δεδομένου ότι οι έλεγχοι που εφαρμόζει ένας οργανισμός βασίζονται στα αποτελέσματα μιας εκτίμησης κινδύνου σύμφωνα με το πρότυπο ISO 27001, ο οργανισμός θα είναι σε θέση να προσδιορίσει ποια στοιχεία κινδυνεύουν και απαιτούν κρυπτογράφηση για την επαρκή προστασία τους.
Ένας από τους βασικούς στόχους του ISO 27001 είναι η σημασία της διασφάλισης της συνεχιζόμενης εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών. Όχι μόνο η εμπιστευτικότητα είναι σημαντική, αλλά η ακεραιότητα και η διαθεσιμότητα τέτοιων δεδομένων είναι επίσης καθοριστικής σημασίας.
Εάν τα δεδομένα είναι διαθέσιμα αλλά σε μορφή που δεν μπορεί να χρησιμοποιηθεί λόγω διακοπής συστήματος, τότε η ακεραιότητα αυτών των δεδομένων έχει παραβιαστεί. εάν τα δεδομένα προστατεύονται αλλά δεν είναι προσβάσιμα σε εκείνους που πρέπει να το χρησιμοποιήσουν ως μέρος της δουλειάς τους, τότε η διαθεσιμότητα αυτών των δεδομένων έχει διακυβευτεί.
GDPR και ISO 27001: Αξιολόγηση κινδύνου
Το ISO 27001 απαιτεί από τους οργανισμούς να διεξάγουν διεξοδική αξιολόγηση κινδύνου εντοπίζοντας απειλές και τρωτά σημεία που μπορούν να επηρεάσουν τα πληροφοριακά στοιχεία ενός οργανισμού και να λάβουν μέτρα για να διασφαλίσουν την εμπιστευτικότητα, τη διαθεσιμότητα και την ακεραιότητα αυτών των δεδομένων.
Το GDPR απαιτεί συγκεκριμένα μια αξιολόγηση κινδύνου για να διασφαλίσει ότι ένας οργανισμός έχει εντοπίσει κινδύνους που μπορούν να επηρεάσουν τα προσωπικά δεδομένα.
GDPR και ISO 27001: Επιχειρησιακή συνέχεια
Το ISO 27001 εξετάζει τη σημασία της διαχείρισης της συνέχειας των επιχειρήσεων, παρέχοντας ένα σύνολο ελέγχων που θα βοηθήσουν τον οργανισμό να προστατεύσει τη διαθεσιμότητα πληροφοριών σε περίπτωση συμβάντος και να προστατεύσει κρίσιμες επιχειρηματικές διαδικασίες από τις επιπτώσεις μεγάλων καταστροφών για να εξασφαλίσει την έγκαιρη επανάληψη τους.
GDPR και ISO 27001: Δοκιμές και αξιολογήσεις
Τέλος, οι οργανισμοί που επιλέγουν την πιστοποίηση σύμφωνα με το πρότυπο ISO 27001 θα έχουν τα ISMS τους ανεξάρτητα αξιολογημένα και ελεγμένα από διαπιστευμένο οργανισμό πιστοποίησης για να διασφαλίσουν ότι το σύστημα διαχείρισης πληροί τις απαιτήσεις του Προτύπου.
Οι εταιρείες πρέπει να επανεξετάζουν τακτικά το ISMS τους και να διενεργούν τις απαραίτητες εκτιμήσεις, όπως προδιαγράφονται από το Πρότυπο, προκειμένου να διασφαλίσουν ότι θα συνεχίσει να προστατεύει τις πληροφορίες της εταιρείας.
Η επίτευξη διαπιστευμένης πιστοποίησης σύμφωνα με το πρότυπο ISO 27001 παρέχει μια ανεξάρτητη και εξειδικευμένη αξιολόγηση για το αν έχετε εφαρμόσει τα κατάλληλα μέτρα για την προστασία των δεδομένων σας.
Οι απαιτήσεις για την επίτευξη της συμμόρφωσης με το πρότυπο ISO 27001 φυσικά δεν σταματούν εκεί. Ως ευρύ πρότυπο, καλύπτει πολλά άλλα στοιχεία, συμπεριλαμβανομένης της σημασίας της κατάρτισης για την ευαισθητοποίηση του προσωπικού και της υποστήριξης της ηγεσίας. Το ISO 27001 έχει ήδη υιοθετηθεί από χιλιάδες οργανισμούς παγκοσμίως και, δεδομένου του τρέχοντος ποσοστού και της σοβαρότητας των παραβιάσεων δεδομένων, είναι ένα από τα ταχύτερα αναπτυσσόμενα πρότυπα συστήματος διαχείρισης σήμερα.