نظام إدارة المعلومات السرية (الخصوصية ) - آيزو 27701

نظام إدارة المعلومات السرية (الخصوصية ) - آيزو 27701

وهو نظام يضمن  إنشاء وتنفيذ وصيانة وتحسين نظام إدارة معلومات الخصوصية (PIMS) بشكل مستمر , يعتمد هذا المعيار على متطلبات وضوابط وأهداف نظام إدارة أمن المعلومات (ISO/IEC27001 :2013)      

بالإضافة إلى ذلك ، يصنع هذا النظام إطار عمل للمساعدة في تقليل مخاطر الخصوصية في معالجة البيانات الشخصية أو معلومات التعريف الشخصية (PII) أي تلك المعلومات أو البيانات التي تحدد هوية الشخص أو يمكن أن تعمل على تحديده

 تم تصميم هذا المعيار للاستخدام من قبل المسؤولين عن معالجة البيانات الشخصية. 

له العديد من الفوائد اهمها :

  • توفير ضمانات أمنية على معالجة البيانات الشخصية.
  • دمج إدارة الخصوصية في إدارة مخاطر الأعمال.
  • السيطرة على وجود آليات للإبلاغ عن انتهاكات الخصوصية.
  • وضع أدوارًا ومسؤوليات واضحة في إدارة الخصوصية.
  • تحسين إدارة العقود مع معالجي البيانات ومستخدميها
  • يضمن أن يُسمح لأصحاب البيانات الشخصية بممارسة حقوقهم بالسرية
  • يوفر الشفافية للعملاء والكفاءة عند إدارة معالجة البيانات الشخصية.

ISO-27701-Infographic-01]

نسخة الإصدار:

ولمواكبة أحدث التطورات سيتم العمل على النسخة الاحدث لمعيار ISO/IEC27701  وهي نسخة 2019.

الجهات التي يمكنها الحصول على شهادة إدارة الخصوصية

– يمكن تطبيق هذا النظام  على جميع أنواع المنظمات ، بغض النظر عن حجمها أو القطاع الذي تنتمي إليه ، بما في ذلك الشركات في كل من القطاعين العام والخاص ، أو المنظمات الحكومية أو غير الهادفة للربح. 

ولكن يجب عليها  ان تكون طبقت  بالفعل معيار إدارة امن المعلومات (ISO/IEC27001:2013) في اداراتها

– فالمعيار ISO 27701 الجديد  جاء لتعزيز أو توسيع الجهود للحفاظ على خصوصية البيانات التي تديرها نظام إدارة امن المعلومات. سيساعد هذا في تحسين سمعة المنظمة وصورتها ، حيث إنه يعزز التزامها بأمن المعلومات والامتثال لقوانين حماية البيانات ، مثل RGPD أو LOPDGDD ،

– اما المنظمات التي ليس لديها نظام إدارة أمن المعلومات (( ISMS  وترغب في الحصول على شهادة ، يجب عليها أن تطبق بشكل مشترك

(ISO/IEC 27001) و( ISO/IEC 27701) وذلك لأن اللائحة الجديدة هي امتداد لمتطلبات( ISO 27001) وقواعد الممارسة الجيدة ISO 27002))

بالإضافة إلى ذلك ،

– يوفر هذا المعيار الجديد لأمن المعلومات إرشادات للمؤسسات التي ترغب في الامتثال لمتطلبات القانون العام لحماية البيانات (GDPR) والمتطلبات الأخرى المتعلقة بخصوصية البيانات

–  يوفر( ISO/IEC 27701) ، المعروف أيضًا باسم نظام إدارة المعلومات السرية (IQAS) ، إطارًا لمراقبة ومعالجة معلومات التعريف الشخصية.

ويقلل من المخاطر المتعلقة بحقوق الخصوصية للأفراد والمؤسسات من خلال تحسين نظام إدارة أمن المعلومات الحالي.

يعد هذا المعيار طريقة جيدة لإثبات للعملاء وأصحاب المصلحة الداخليين والخارجيين أن أنظمة الإدارة الفعالة قد تم تنفيذها لتحقيق الامتثال للقانون العام لحماية البيانات (GDPR) وقوانين الخصوصية الأخرى.

نظرة عامة على نظام إدارة معلومات الخصوصية (PIMS)والبيانات الشخصية

أدخلت اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي حقبة جديدة من تنظيم الخصوصية والامتثال على مستوى العالم حيث تم سن المزيد من لوائح الخصوصية ، نتيجة لذلك  يجب على المؤسسات تنفيذ السياسات والإجراءات لضمان الامتثال لهذه  لوائح الخصوصية 

بالإضافة إلى ذلك  العالم كله حاليا  في خضم تحول رقمي سريع حيث يتزايد جمع البيانات ومعالجتها بشكل كبير فإن النمو المتزامن في حجم البيانات والمتطلبات التنظيمية المتعلقة بهذه البيانات يجعل الامتثال معقدًا بشكل متزايد بالنسبة للمؤسسات من جميع الأنواع.

يساعد المعيار الدولي الجديد (ISO / IEC 27701  )نظام إدارة معلومات الخصوصية (PIMS)  المعروف سابقًا باسم ISO / IEC 27552 المؤسسات على التوفيق بين متطلبات تنظيم الخصوصية والضوابط التشغيلية .

البيانات الشخصية

البيانات الشخصية هي أي معلومات (بما في ذلك الآراء والنوايا) التي تتصل بشخص طبيعي محدد الهوية أو من الممكن تحديد هويته. البيانات الشخصية خاضعة لضمانات قانونية محددة وغيرها من اللوائح التنظيمية، والتي تفرض قيودًا على الكيفية التي من الممكن أن تتبعها المؤسسات لمعالجة البيانات الشخصية. وتسمى المؤسسة التي تتعامل مع البيانات الشخصية وتتخذ قرارات بشأن استخدام تلك البيانات باسم “مراقب البيانات”.

تحديات الامتثال

 تتناول (ISO / IEC 27701) ثلاثة تحديات رئيسية تتعلق بالامتثال:

  • الكثير من المتطلبات التنظيمية التي لا يمكن التوفيق بينها: إن التوفيق بين المتطلبات التنظيمية المتعددة من خلال استخدام مجموعة عالمية من الضوابط التشغيلية يتيح التنفيذ المتسق والفعال.
  • مكلفة للغاية للتدقيق من خلال اللوائح التنظيمية: يمكن للمدققين ، الداخليين والطرف الثالث على حد سواء ، تقييم الامتثال التنظيمي باستخدام مجموعة رقابة تشغيلية شاملة ضمن دورة تدقيق واحدة.
  • يعد الوعد بالامتثال دون دليل محفوفًا بالمخاطر: قد تتطلب الاتفاقيات التجارية التي تتضمن نقل المعلومات الشخصية شهادة الامتثال.

المتطلبات التنظيمية كثيرة جدًا بحيث لا يمكن التوفيق بينها

يشتمل معيار ISO / IEC 27701 على ملحق يحتوي على عناصر التحكم التشغيلية للمعيار والتي تم تعيينها وفقًا للمتطلبات ذات الصلة في اللائحة العامة لحماية البيانات لوحدات التحكم والمعالجات. هذا التعيين هو مجرد مثال على كيفية تفعيل لوائح الخصوصية مع. مع توفر خرائط إضافية مع اللوائح الأخرى والتحقق من صحتها ، يمكن نقل الضوابط التشغيلية من المعيار مباشرة من المراجعة التنظيمية إلى التنفيذ. يسمح إطار العمل العالمي هذا للمؤسسات بتفعيل المتطلبات التنظيمية ذات الصلة بشكل موثوق دون “إعادة اختراع العجلة”. مشروع مفتوح المصدر قيد التنفيذ لتمكين مجتمع الخصوصية من تعيين لوائح أخرى والتحقق من صحة التعيينات الحالية

مكلفة للغاية لمراجعة اللوائح التنظيمية تلو الأخرى

مع دخول المزيد من لوائح الخصوصية حيز التنفيذ ، سيزداد الضغط لتقديم دليل على الامتثال. لكن تكاليف الشهادات التنظيمية المتباينة تصبح باهظة إذا دعت كل لائحة إلى تدقيق فريد خاص بها. من خلال تحديد مجموعة من الضوابط التشغيلية العالمية ، يحدد نظام إدارة المعلومات (PIMS) أيضًا إطارًا عالميًا للامتثال للتدقيق مقابل ، وربما المصادقة ، على المتطلبات التنظيمية المتعددة.

من المهم أن ندرك أن شهادة اللائحة العامة لحماية البيانات الرسمية تتطلب اتخاذ قرارات الموافقة المعلقة من قبل المنظمين الأوروبيين. في حين أن التوافق بين PIMS و GDPR واضح ، يجب اعتبار شهادة PIMS كدليل على الامتثال للائحة العامة لحماية البيانات ، وليس كشهادة رسمية لـ GDPR حتى يتم الانتهاء من القرارات التنظيمية.

إن الوعود بالامتثال دون دليل محفوفة بالمخاطر

تشارك المؤسسات الحديثة في عمليات نقل البيانات المعقدة مع شبكة عميقة من شركاء الأعمال بما في ذلك المنظمات الشريكة أو وحدات التحكم المشتركة والمعالجات مثل موفري السحابة والمعالجات الفرعية مثل البائعين الذين يدعمون نفس المعالجات. قد يؤدي عدم الامتثال للوائح في أي جزء من هذه الشبكة إلى مشكلات امتثال متتالية عبر سلسلة التوريد. هذا هو المكان الذي يمكن أن يكون فيه التحقق من الامتثال ذا قيمة تتجاوز الضمان الذي توفره الشروط التعاقدية بين هذه المنظمات. نظرًا لأن الاقتصاد العالمي يفرض أن معظم هذه المنظمات منتشرة في جميع أنحاء العالم ، فمن العملي استخدام معيار دولي من ISO لإدارة الامتثال عبر الشبكة.

هذا الاعتماد على الامتثال يزيد من أهمية الشهادة للمعيار. في حين لا تحتاج جميع الشركات والمؤسسات إلى الحصول على مثل هذه الشهادة ، إلا أن معظمها سيستفيد من الشركاء والبائعين الذين يفعلون ذلك ، خاصةً عند مشاركة أحجام معالجة البيانات الحساسة أو الكبيرة.

اللبنات الأساسية للمعيار

تم بناء( PIMS) على رأس أحد المعايير الدولية الأكثر اعتمادًا على نطاق واسع لإدارة أمن المعلومات ، ISO / IEC 27001 . إذا كانت مؤسستك على دراية بالفعل بـ ISO / IEC 27001 ، فمن المنطقي والأكثر كفاءة دمج عناصر التحكم الجديدة في الخصوصية لنظام PIMS وهذا يعني أن تنفيذ ومراجعة كلاهما سيكون أقل تكلفة وأسهل في التنفيذ

النقاط الرئيسية في ISO / IEC 27001 و PIMS:

  • يعد ISO / IEC 27001 أحد أكثر معايير ISO استخدامًا في العالم ، حيث تم اعتماد العديد من الشركات بالفعل.
  • يشتمل نظام إدارة المعلومات (PIMS) على عناصر تحكم جديدة خاصة بوحدة التحكم والمعالج والتي تساعد في سد الفجوة بين الخصوصية والأمان وتوفر نقطة تكامل بين وظيفتين منفصلتين في المؤسسات.
  • تعتمد الخصوصية على الأمان. وبالمثل ، يعتمد PIMS على ISO / IEC 27001 لإدارة الأمن. يجب الحصول على شهادة PIMS كامتداد لشهادة ISO / IEC 27001 ولا يمكن الحصول عليها بشكل مستقل.