Vernd persónuupplýsinga – hagnýtar aðferðir samkvæmt ISO/IEC 27701

Almenna persónuverndarreglugerðin (GDPR) tók gildi innan EES-svæðisins 25. maí 2018. Hún leggur allskonar skyldur á skipulagsheildir, hvort sem það eru opinberar stofnanir eða fyrirtæki. Persónuvernd og upplýsingaöryggi eru nátengd og annað getur ekki annað án hins verið. Það var því eðlilegt að litið væri til þess hvernig ákvæði persónuverndarreglugerðarinnar pössuðu við upplýsingaöryggisstaðlana ISO/IEC 27001 og ISO/IEC 27002. Það hefur nú verið gert með útgáfu nýs alþjóðlegs staðals.

Handhæg og kærkomin viðbót
Alþjóðlegu staðlasamtökin ISO og IEC gáfu í sumar út staðalinn ISO/IEC 27701 Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines. Eins og nafnið gefur til kynna inniheldur staðallinn viðbótarkröfur og leiðbeiningar þegar ISO/IEC 27001 og ISO/IEC 27002 eru notaðir sem grunnur að stjórnunarkerfi persónuverndar (e. privacy information management, eða PIM). Staðallinn skiptist í átta greinar (eða kafla) og sex viðauka. Fjórar greinar, 5-8, skipta mestu máli og tveir af viðaukunum (A og B).


Marinó G. Njálsson, sérfræðingur í stjórnun upplýsingaöryggis.

Fyrir þá sem hafa innleitt stjórnunarkerfi upplýsingaöryggis samkvæmt kröfum ISO/IEC 27001 er kærkomið að fá þessa viðbót sem felst í ISO/IEC 27701. Tvennt kemur til. Annars vegar staðfestir staðallinn það sem flesta hafði grunað, að stjórnunarkerfi upplýsingaöryggis samkvæmt ISO/IEC 27001, og þar með stýringar í viðauka A/ISO/IEC 27002, er auðvelt að aðlaga svo það falli að kröfum GDPR. Hins vegar gefur ISO/IEC 27701 leiðbeiningar (í greinum 5-8) um það hvernig er best að standa að þeirri aðlögun.

Leið til vottaðs persónuverndarkerfis samkvæmt ISO/IEC 27701
Í grein 5 er farið í gegnum kröfur til stjórnunarkerfisins og hvaða áherslubreytinga er þörf til að dekka kröfur GDPR til viðbótar við þær sem eru í ISO/IEC 27001. Gert er ráð fyrir að greinar 4.1, 4.2, 4.3, 4.4, 6.1.2 c) og d) og 6.1.3 c) og d) séu endurskoðaðar með hliðsjón af persónuverndarsjónarmiðum.

Í grein 6 eru greinar ISO/IEC 27002 skoðaðar og bætt við leiðbeiningum um það sem hafa þarf í huga við innleiðingu öryggisreglna með tilliti til persónuverndar. Alls er mælt með því að viðbótaröryggisatriði séu skoðuð í 32 tilfellum fyrir undirgreinar staðalsins svo þær uppfylli stýringar sem eru í viðauka A í ISO/IEC 27001 og þar með í greinum ISO/IEC 27002. Samkvæmt þessu gæti þurft að endurskoða stefnur, öryggisreglur og verklag sem þegar hefur verið útbúið.

Í grein 7 er fjallað um viðbótarstýringar sem snúa að ábyrgðaraðila persónuupplýsinga. Þetta eru atriði sem ekki eru sérstaklega nefnd í ISO/IEC 27001 og 27002, en þarf að vera hluti af PIM hjá ábyrgðaraðilanum. Alls eru þetta 35 greinar, ýmist markmið eða stýringar, sem bætast við þær sem þegar eru hluti af hinum stöðlunum, eða hátt í þriðjungs viðbót. Allar viðbæturnar eru fengnar beint úr persónuverndarreglugerðinni. Hafi ábyrgðaraðili unnið sína vinnu af nákvæmni, þá er hér ekkert nýtt á ferð. Þetta er hins vegar góður gátlisti til að tryggja að brugðist hafi verið við öllum kröfum.

Grein 8 er sambærileg við grein 7, nema núna er verið að horfa til vinnsluaðila. Í þetta sinn eru viðbótarmarkmið og -stýringar 28 talsins. Að öðru leyti gildir það sama og sagt var um grein 7.

Viðaukar A og B innihalda síðan hvor sína töfluna með markmiðum og stýringum sem getið er um í greinum 7 og 8. Þessar töflur þurfa að vera hluti af yfirlýsingu um nothæfi (e. Statement of applicability eða SOA). Fyrir þá sem eru með vottun samkvæmt ISO/IEC 27001, þá er hægt að bæta þessu við SOA fyrir vottunarkerfið.

Hugsanlegt er að vottað öryggiskerfi með viðbótum úr ISO/IEC 27701 gæti talist uppfylla kröfur 42. gr. persónuverndarreglugerðarinnar sem vottað persónuverndarkerfi. Það skal þó tekið skýrt fram að ekki eru gefin nein fyrirheit um slíkt í staðlinum og því eru þetta ályktanir höfundar.

Menu
Top