وهو نظام يضمن إنشاء وتنفيذ وصيانة وتحسين نظام إدارة معلومات الخصوصية (PIMS) بشكل مستمر , يعتمد هذا المعيار على متطلبات وضوابط وأهداف نظام إدارة أمن المعلومات (ISO/IEC27001 :2013)
بالإضافة إلى ذلك ، يصنع هذا النظام إطار عمل للمساعدة في تقليل مخاطر السرية
في معالجة البيانات الشخصية أو معلومات التعريف الشخصية (PII) أي تلك المعلومات أو البيانات التي تحدد هوية الشخص أو يمكن أن تعمل على تحديده
تم تصميم هذا المعيار للاستخدام من قبل المسؤولين عن معالجة البيانات الشخصية.
أهم الفوائد التي يقدمها نظام إدارة المعلومات السرية (الخصوصية ) -آيزو 27701
- توفير ضمانات أمنية على معالجة البيانات الشخصية.
- دمج إدارة السرية في إدارة مخاطر الأعمال.
- السيطرة على وجود آليات للإبلاغ عن انتهاكات السرية.
- وضع أدوار ومسؤوليات واضحة في إدارة السرية.
- تحسين إدارة العقود مع معالجي البيانات ومستخدميها
- يضمن أن يُسمح لأصحاب البيانات الشخصية بممارسة حقوقهم بالسرية
- يوفر الشفافية للعملاء والكفاءة عند إدارة معالجة البيانات الشخصية.
نسخة الإصدار:
ولمواكبة أحدث التطورات سيتم العمل على النسخة الأحدث لمعيار ISO/IEC27701 وهي نسخة 2019.
الجهات التي يمكنها الحصول على شهادة إدارة الخصوصية
– يمكن تطبيق هذا النظام على جميع أنواع المنظمات ، بغض النظر عن حجمها أو القطاع الذي تنتمي إليه ، بما في ذلك الشركات في كل من القطاعين العام والخاص ، أو المنظمات الحكومية أو غير الهادفة للربح.
ولكن يجب عليها ان تكون طبقت بالفعل معيار إدارة أمن المعلومات (ISO/IEC27001:2013) في إداراتها
– فالمعيار ISO 27701 الجديد جاء لتعزيز أو توسيع الجهود للحفاظ على خصوصية البيانات التي يديرها نظام إدارة أمن المعلومات. سيساعد هذا في تحسين سمعة المنظمة وصورتها ، حيث أنه يعزز التزامها بأمن المعلومات والامتثال لقوانين حماية البيانات ، مثل RGPD أو LOPDGDD ،
– أما المنظمات التي ليس لديها نظام إدارة أمن المعلومات (ISMS) وترغب في الحصول على شهادة ، يجب عليها أن تطبق بشكل مشترك
(ISO/IEC 27001) و( ISO/IEC 27701) وذلك لأن اللائحة الجديدة هي امتداد لمتطلبات( ISO 27001) وقواعد الممارسة الجيدة (ISO 27002)
بالإضافة إلى ذلك ،
– يوفر هذا المعيار الجديد لأمن المعلومات إرشادات للمؤسسات التي ترغب في الامتثال لمتطلبات القانون العام لحماية البيانات (GDPR) والمتطلبات الأخرى المتعلقة بخصوصية البيانات
– يوفر( ISO/IEC 27701) ، المعروف أيضاً باسم نظام إدارة المعلومات السرية (IQAS) ، إطاراً لمراقبة ومعالجة معلومات التعريف الشخصية.
ويقلل من المخاطر المتعلقة بحقوق السرية للأفراد والمؤسسات من خلال تحسين نظام إدارة أمن المعلومات الحالي.
يعد هذا المعيار طريقة جيدة ليثبت للعملاء وأصحاب المصلحة الداخليين والخارجيين أن أنظمة الإدارة الفعالة قد تم تنفيذها لتحقيق الامتثال للقانون العام لحماية البيانات (GDPR) وقوانين الخصوصية الأخرى.
نظرة عامة على نظام إدارة معلومات الخصوصية (PIMS) والبيانات الشخصية
أدخلت اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي حقبة جديدة من تنظيم السرية والامتثال على مستوى العالم حيث تم سن المزيد من لوائح السرية، نتيجة لذلك يجب على المؤسسات تنفيذ السياسات والإجراءات لضمان الامتثال للوائح السرية هذه.
بالإضافة إلى ذلك العالم كله حالياً في خضم تحول رقمي سريع حيث يتزايد جمع البيانات ومعالجتها بشكل كبير فإن النمو المتزامن في حجم البيانات والمتطلبات التنظيمية المتعلقة بهذه البيانات يجعل الامتثال معقداً بشكل متزايد بالنسبة للمؤسسات من جميع الأنواع.
يساعد المعيار الدولي الجديد (ISO / IEC 27701 )نظام إدارة معلومات الخصوصية (PIMS) المعروف سابقاً باسم ISO / IEC 27552 المؤسسات على التوفيق بين متطلبات تنظيم السرية والضوابط التشغيلية .
البيانات الشخصية
البيانات الشخصية هي أي معلومات (بما في ذلك الآراء والنوايا) التي تتصل بشخص طبيعي محدد الهوية أو من الممكن تحديد هويته. البيانات الشخصية خاضعة لضمانات قانونية محددة وغيرها من اللوائح التنظيمية، والتي تفرض قيوداً على الكيفية التي من الممكن أن تتبعها المؤسسات لمعالجة البيانات الشخصية. وتسمى المؤسسة التي تتعامل مع البيانات الشخصية وتتخذ قرارات بشأن استخدام تلك البيانات باسم “مراقب البيانات”.
تحديات الامتثال
تتناول (ISO / IEC 27701) ثلاثة تحديات رئيسية تتعلق بالامتثال:
- الكثير من المتطلبات التنظيمية التي لا يمكن التوفيق بينها: إن التوفيق بين المتطلبات التنظيمية المتعددة من خلال استخدام مجموعة عالمية من الضوابط التشغيلية يتيح التنفيذ المتسق والفعال.
- مكلفة للغاية للتدقيق من خلال اللوائح التنظيمية: يمكن للمدققين ، الداخليين والطرف الثالث على حد سواء ، تقييم الامتثال التنظيمي باستخدام مجموعة رقابة تشغيلية شاملة ضمن دورة تدقيق واحدة.
- يعد الوعد بالامتثال دون دليل محفوفاً بالمخاطر: قد تتطلب الاتفاقيات التجارية التي تتضمن نقل المعلومات الشخصية شهادة الامتثال.
المتطلبات التنظيمية كثيرة جداً بحيث لا يمكن التوفيق بينها
يشتمل معيار ISO / IEC 27701 على ملحق يحتوي على عناصر التحكم التشغيلية للمعيار والتي تم تعيينها وفقاً للمتطلبات ذات الصلة في اللائحة العامة لحماية البيانات لوحدات التحكم والمعالجات. هذا التعيين هو مجرد مثال على كيفية تفعيل لوائح السرية مع توفر خرائط إضافية مع اللوائح الأخرى والتحقق من صحتها ، يمكن نقل الضوابط التشغيلية من المعيار مباشرة من المراجعة التنظيمية إلى التنفيذ. يسمح إطار العمل العالمي هذا للمؤسسات بتفعيل المتطلبات التنظيمية ذات الصلة بشكل موثوق دون “إعادة اختراع العجلة”. مشروع مفتوح المصدر قيد التنفيذ لتمكين مجتمع السرية من تعيين لوائح أخرى والتحقق من صحة التعيينات الحالية
مكلفة للغاية لمراجعة اللوائح التنظيمية تلو الأخرى
مع دخول المزيد من لوائح السرية حيز التنفيذ ، سيزداد الضغط لتقديم دليل على الامتثال. لكن تكاليف الشهادات التنظيمية المتباينة تصبح باهظة إذا دعت كل لائحة إلى تدقيق فريد خاص بها. من خلال تحديد مجموعة من الضوابط التشغيلية العالمية ، يحدد نظام إدارة المعلومات (PIMS) أيضاً إطاراً عالمياً للامتثال للتدقيق مقابل ، وربما المصادقة ، على المتطلبات التنظيمية المتعددة.
من المهم أن ندرك أن شهادة اللائحة العامة لحماية البيانات الرسمية تتطلب اتخاذ قرارات الموافقة المعلقة من قبل المنظمين الأوروبيين. في حين أن التوافق بين PIMS و GDPR واضح ، يجب اعتبار شهادة PIMS كدليل على الامتثال للائحة العامة لحماية البيانات ، وليس كشهادة رسمية لـ GDPR حتى يتم الانتهاء من القرارات التنظيمية.
إن الوعود بالامتثال دون دليل محفوفة بالمخاطر
تشارك المؤسسات الحديثة في عمليات نقل البيانات المعقدة مع شبكة عميقة من شركاء الأعمال بما في ذلك المنظمات الشريكة أو وحدات التحكم المشتركة والمعالجات مثل موفري السحابة والمعالجات الفرعية مثل البائعين الذين يدعمون نفس المعالجات. قد يؤدي عدم الامتثال للوائح في أي جزء من هذه الشبكة إلى مشكلات امتثال متتالية عبر سلسلة التوريد. هذا هو المكان الذي يمكن أن يكون فيه التحقق من الامتثال ذا قيمة تتجاوز الضمان الذي توفره الشروط التعاقدية بين هذه المنظمات. نظراً لأن الاقتصاد العالمي يفرض أن معظم هذه المنظمات منتشرة في جميع أنحاء العالم ، فمن العملي استخدام معيار دولي من ISO لإدارة الامتثال عبر الشبكة.
هذا الاعتماد على الامتثال يزيد من أهمية الشهادة للمعيار. في حين لا تحتاج جميع الشركات والمؤسسات إلى الحصول على مثل هذه الشهادة ، إلا أن معظمها سيستفيد من الشركاء والبائعين الذين يفعلون ذلك ، خاصةً عند مشاركة أحجام معالجة البيانات الحساسة أو الكبيرة.
اللبنات الأساسية للمعيار
تم بناء( PIMS) على رأس أحد المعايير الدولية الأكثر اعتماداً على نطاق واسع لإدارة أمن المعلومات ، ISO / IEC 27001 . إذا كانت مؤسستك على دراية بالفعل بـ ISO / IEC 27001 ، فمن المنطقي والأكثر كفاءة دمج عناصر التحكم الجديدة في السرية لنظام PIMS وهذا يعني أن تنفيذ ومراجعة كلاهما سيكون أقل تكلفة وأسهل في التنفيذ
النقاط الرئيسية في ISO / IEC 27001 و PIMS:
- يعد ISO / IEC 27001 أحد أكثر معايير ISO استخداماً في العالم ، حيث تم اعتماد العديد من الشركات بالفعل.
- يشتمل نظام إدارة المعلومات (PIMS) على عناصر تحكم جديدة خاصة بوحدة التحكم والمعالجة والتي تساعد في سد الفجوة بين السرية والأمان وتوفر نقطة تكامل بين وظيفتين منفصلتين في المؤسسات.
- تعتمد السرية على الأمان. وبالمثل ، يعتمد PIMS على ISO 27001 لإدارة الأمن. يجب الحصول على شهادة PIMS كامتداد لشهادة ISO / IEC 27001 ولا يمكن الحصول عليها بشكل مستقل.