22 Августа, 2019

Краткий обзор ISO 27701-2019 (Privacy Information Management)

Andrey Prozorov
В августе 2019 вышел новый стандарт ISO/IEC 27701:2019 "Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines", который я, как большой любитель GDPR и ISMS по 27001, никак не мог пропустить... 

Документ довольно большой, 76 страниц, но, если кратко, то в нем рассказывается как построить Privacy Information Management System (PIMS), которая по сути своей является ISMS (Information security management systems) с добавление вопросов privacy. 

Официальный термин звучит так:
Privacy Information Management System (PIMS) - information security management system which addresses the protection of privacy as potentially affected by the processing of PII (Personally Identifiable Information).
Во введении документа описывается зачем все это надо, предлагается использовать его Контроллерам и Процессорам (компаниям, обрабатывающим персональные данные):
Almost every organization processes Personally Identifiable Information (PII). Further, the quantity and types of PII processed is increasing, as is the number of situations where an organization needs to cooperate with other organizations regarding the processing of PII. Protection of privacy in the context of the processing of PII is a societal need, as well as the topic of dedicated legislation and/or regulation all over the world.
The Information Security Management System (ISMS) defined in ISO/IEC 27001 is designed to permit the addition of sector specific requirements, without the need to develop a new Management System. ISO Management System standards, including the sector specific ones, are designed to be able to be implemented either separately or as a combined Management System.
...
This document can be used by PII controllers (including those that are joint PII controllers) and PII processors (including those using subcontracted PII processors and those processing PII as subcontractors to PII processors).
An organization complying with the requirements in this document will generate documentary evidence of how it handles the processing of PII. Such evidence can be used to facilitate agreements with business partners where the processing of PII is mutually relevant. This can also assist in relationships with other stakeholders. The use of this document in conjunction with ISO/IEC 27001 can, if desired, provide independent verification of this evidence.
Сам документ по содержанию очень похож и выровнен с ISO 27001: главы  1-4 стандартные, 5 и 6 выровнены с 27001 и 27002, в них рассказывается как рассматривать их положения с точки зрения privacy. Стоит отметить, что типовые для ISO 27001 главы 5.Leadership, 7.Support, 8.Operation, 9.Performance evaluation, 10.Improvement не содержат дополнительных требований (в документе даны перекрестные ссылки), дополнительные комментарии появляются лишь в 4.Context of the organization и 6.Planning. Аналогично и в главе 6 в основном идут просто отсылки к стандарту 27002 с минимальными комментариями. Т.е. читать 27701 без доступа к текстам 27001 и 27002 не имеет смысла...

Для себя самыми ценными считаю главы 7 и 8, в которых говориться про дополнительные требования к Контроллеру и Процессору. Ну, а приложения - маппинги просто удобные справочники. Сделал для себя вот такую таблицу с дополнительными контролями, с ней удобнее работать, чем просто с оглавлением или приложениями:
В целом, стандарт доволно интересный. Защитникам ПДн и любителям GDPR читать обязательно...