ISO 27701 – Hệ thống quản lý thông tin quyền riêng tư

ISO 27701 là khuôn khổ về quyền riêng tư dữ liệu được xây dựng dựa trên ISO 27001. Nó hướng dẫn các tổ chức về các chính sách và thủ tục cần áp dụng để tuân thủ GDPR cũng như các quy định và luật bảo vệ dữ liệu/quyền riêng tư khác.

ISO 27701 là gì?

 

Theo Quy định chung về bảo vệ dữ liệu của EU (GDPR), POPIA của Nam Phi, LGPD của Brazil, Nguyên tắc bảo mật của Úc, nhiều luật và quy định tương tự về quyền riêng tư đang được soạn thảo trên khắp thế giới; nhu cầu về quy tắc ứng xử hoặc tiêu chuẩn để chứng minh sự tuân thủ và chứng nhận dữ liệu về quyền riêng tư ngày càng tăng. ISO 27701 tìm cách cung cấp một cách tiếp cận quốc tế thực sự để bảo vệ quyền riêng tư như một thành phần của bảo mật thông tin.

ISO 27701 được phát triển để cung cấp tiêu chuẩn cho các biện pháp kiểm soát quyền riêng tư dữ liệu, khi kết hợp với ISMS, tiêu chuẩn này sẽ cho phép tổ chức chứng minh khả năng quản lý dữ liệu quyền riêng tư hiệu quả. Nó thiết lập các tham số cho PIMS về mặt bảo vệ quyền riêng tư và xử lý thông tin nhận dạng cá nhân (PII).

ISO 27701 là một cách ấn tượng để chứng minh cho người tiêu dùng, các tổ chức bên ngoài và các bên liên quan nội bộ rằng có sẵn các cơ chế để giữ an toàn cho dữ liệu và tuân thủ GDPR cũng như các luật về quyền riêng tư khác.

Tiêu chuẩn ISO 27701, tiêu chuẩn PIMS (Hệ thống quản lý thông tin quyền riêng tư), đưa ra một bộ danh sách kiểm tra hoạt động chi tiết có thể được điều chỉnh cho phù hợp với nhiều quy định khác nhau, bao gồm cả GDPR. Các công ty ghi lại các chính sách, thủ tục, giao thức và hoạt động của mình phù hợp với danh sách kiểm tra hoạt động của tiêu chuẩn, với các hồ sơ sau đó được kiểm toán viên nội bộ và bên thứ ba kiểm tra, dẫn đến bằng chứng chi tiết về việc tuân thủ tiêu chuẩn. ISO 27701 giúp các công ty duy trì hệ thống bảo mật thông tin và quyền riêng tư hiệu quả, đồng thời giảm thiểu rủi ro về quyền riêng tư.

Các khối xây dựng của tiêu chuẩn là gì?

ISO 27701 là phần mở rộng của ISO/IEC 27001, là một trong những tiêu chuẩn quốc tế được sử dụng rộng rãi nhất về quản lý an ninh thông tin. Nếu tổ chức của bạn đã làm quen với ISO/IEC 27001 thì việc tích hợp các biện pháp kiểm soát quyền riêng tư mới của PIMS có thể tương đối đơn giản. ISO 27701 cũng dựa trên các tiêu chuẩn khác, như ISO 27002 và ISO 29100. ISO 27701 bổ sung lớp bảo mật dữ liệu vào các tiêu chuẩn bảo mật thông tin trước đây. Nếu bạn đang đánh dấu vào các ô cho các tiêu chuẩn khác thì có thể bạn đã đánh dấu vào một số ô cho ISO 27701 rồi.

Những điểm quan trọng cần nhớ về ISO 27001 và PIMS:

  • PIMS cung cấp các biện pháp kiểm soát mới dành riêng cho bộ điều khiển và bộ xử lý nhằm giúp các tổ chức vượt qua những thách thức về quyền riêng tư và bảo mật bằng cách thiết lập điểm hội tụ giữa hai chức năng khác nhau.

  • Bảo mật là quan trọng đối với sự riêng tư. ISO 22701 PIMS dựa trên ISO 27001 để quản lý bảo mật. Chứng nhận IS0 27701 chỉ có sẵn dưới dạng phần bổ sung cho chứng nhận ISO 27001 và không thể có được dưới dạng chứng chỉ độc lập.

Điều khoản quan trọng

  • Đạo luật bảo vệ dữ liệu (DPA)

  • Quy định chung về bảo vệ dữ liệu (GDPR)

  • PII (Thông tin nhận dạng cá nhân)

  • Quản lý thông tin riêng tư

  • Những thách thức tuân thủ ISO 27701

Theo hướng dẫn của GDPR, các tổ chức phải giữ an toàn cho tất cả thông tin nhận dạng cá nhân khỏi bị đánh cắp, mất mát và hư hỏng.

Những thay đổi đối với luật của Vương quốc Anh kể từ tháng 5 năm 2018 hiện có nghĩa là các tổ chức phải đưa ra chính sách xử lý dữ liệu nhân sự, với khả năng cho thấy rằng dữ liệu cá nhân không liên quan đang bị xóa một cách thích hợp. 

ISO 27701 giúp các tổ chức giải quyết ba thách thức tuân thủ quan trọng sau:

  1. Quá nhiều yêu cầu quy định 

Việc sử dụng ISO 27701 làm hệ thống thống nhất để kiểm soát hoạt động bảo mật dữ liệu sẽ loại bỏ nhu cầu tập trung vào nhiều quy định. Là một tiêu chuẩn quốc tế, ISO 27701 được thiết kế để đáp ứng các yêu cầu về bảo vệ dữ liệu và GDPR, đồng thời đủ linh hoạt để thích ứng với các yêu cầu cụ thể của ngành. Điều này cho phép các công ty làm việc trong một khuôn khổ duy nhất nhằm đáp ứng nhiều yêu cầu pháp lý.

  1. Quá tốn kém để kiểm tra từng quy định

Kiểm toán viên nội bộ và bên ngoài sử dụng ISO 27701 để xác định việc tuân thủ quy định trong một chu kỳ đánh giá duy nhất. Điều này giúp tổ chức tiết kiệm tiền so với việc tuân theo quy trình kiểm toán rời rạc theo quy định.

  1. Lời hứa tuân thủ mà không có bằng chứng tiềm ẩn rủi ro

Việc các công ty tuân theo các quy trình bảo mật dữ liệu theo phương pháp tốt nhất là chưa đủ; họ cũng phải có khả năng chứng minh sự tuân thủ luật pháp và quy định. Điều đó có nghĩa là phải có một quy trình tích hợp, mạnh mẽ cho tài liệu. Các doanh nghiệp có quy trình phức tạp có thể có nhiều loại bộ điều khiển dữ liệu và bộ xử lý dữ liệu, nhà cung cấp đám mây và nhà cung cấp đối tác. Việc không thể chứng minh sự tuân thủ luật pháp hoặc quy định trong bất kỳ phần nào của chuỗi cung ứng có thể khiến doanh nghiệp gặp rủi ro về tài chính và danh tiếng.

Lợi ích của ISO 27701

 

  1. Chứng minh khả năng bảo vệ dữ liệu ở cấp độ tiếp theo với ISO 27701 Tiêu chuẩn ISO 27701 là một trong những cách thể hiện rằng bạn đang tuân thủ tất cả các yêu cầu thích hợp về bảo vệ dữ liệu, tính bảo mật và bảo mật quyền riêng tư.

  2. Xây dựng niềm tin khi quản lý thông tin cá nhân : Khi xử lý thông tin cá nhân, bạn cần có cách đảm bảo rằng tổ chức của bạn đang làm mọi thứ có thể để đảm bảo rằng thông tin được xử lý chính xác và tuân thủ pháp luật. ISO 27701 cung cấp cho bạn tiêu chuẩn cần thiết để tạo dựng niềm tin khi quản lý dữ liệu. Nhà cung cấp, người tiêu dùng và đối tác có thể tin tưởng vào chính sách, thủ tục và giao thức của bạn khi bạn làm việc theo tiêu chuẩn quốc tế như ISO 27701.

  3. Tích hợp với các tiêu chuẩn bảo mật thông tin hàng đầu :ISO 27701 tích hợp với các tiêu chuẩn bảo mật thông tin hàng đầu. Điều này cho phép phát triển và cập nhật liền mạch các chính sách và quy trình theo các tiêu chuẩn khác nhau, đồng thời đảm bảo rằng bạn sẽ không ảnh hưởng đến việc tuân thủ các tiêu chuẩn khác khi áp dụng tiêu chuẩn ISO 27701.

  4. Hỗ trợ tuân thủ các quy định về quyền riêng tư khác :ISO 27701 là 'tiêu chuẩn ngành' để tuân thủ luật bảo vệ dữ liệu mới. Mặc dù ISO 27701 phù hợp với các nguyên tắc của GDPR nhưng nó cũng cho phép các tổ chức ghi lại sự tuân thủ các luật, quy định, tiêu chuẩn và yêu cầu khác về quyền riêng tư.

  5. Đủ linh hoạt để đáp ứng các chi tiết cụ thể về quyền tài phán :Tiêu chuẩn ISO 27701 được phát triển nhằm cung cấp các tiêu chuẩn làm việc với thông tin nhận dạng cá nhân để bạn có thể đáp ứng các luật về quyền riêng tư khác nhau. Nếu công ty của bạn hoạt động bên ngoài EU và bạn muốn tuân theo các nguyên tắc cụ thể theo lãnh thổ tương đương với GDPR, thì bạn có thể đưa các quy định cụ thể về quyền tài phán đó vào ISO 27701.

  6. Cung cấp sự minh bạch giữa các bên liên quan :ISO 27701 đặt ra tiêu chuẩn về cách quản lý dữ liệu về quyền riêng tư. Tiêu chuẩn này làm cho các quy trình trở nên minh bạch đối với tất cả các bên liên quan, tạo dựng niềm tin và sự tôn trọng lẫn nhau.

  7. Hỗ trợ các thỏa thuận kinh doanh hiệu quả :Khi các công ty cam kết làm việc theo cùng các tiêu chuẩn cao về dữ liệu về quyền riêng tư thì việc đưa ra thỏa thuận và làm việc cùng nhau sẽ dễ dàng hơn. ISO 27701 tạo ra sự tin tưởng và đảm bảo rằng tất cả các bên liên quan đều có cùng quan điểm khi xem xét việc tích hợp hệ thống và các quy trình kinh doanh chung.

ISO 27701 so với ISO 27001 – sự khác biệt là gì?

 

ISO 27701 và ISO 27001 là hai tiêu chuẩn thường được các chuyên gia không chuyên về bảo mật thông tin sử dụng thay thế cho nhau khi đề cập đến bảo mật thông tin.

Cả hai tiêu chuẩn ISO 27001 và ISO 27701 đều là tiêu chuẩn quản lý bảo mật CNTT. Sự khác biệt giữa hai tiêu chuẩn là ISO 27001 tập trung vào khoảng cách giữa quản lý rủi ro và kiểm soát bảo mật trong khi ISO 27701 là tiêu chuẩn hướng tới việc đáp ứng các quy định và luật về quyền riêng tư như GDPR và Đạo luật bảo vệ dữ liệu. ISO 27701 tập trung vào rủi ro dữ liệu về quyền riêng tư.

ISO 27001 và ISO 27701 tích hợp với nhau như thế nào?

ISO 27701 là phần mở rộng của ISO 27001. Đây là một trong những tiêu chuẩn quản lý rủi ro nhưng đảm bảo rằng doanh nghiệp tuân thủ GDPR và các quy định PII có liên quan khác. Trước khi có thể hưởng lợi từ các lợi ích bảo mật của ISO 27701, trước tiên bạn phải triển khai ISO 27001.

ISO 27701 liên quan đến GDPR như thế nào?

Các tổ chức phải bảo mật và đảm bảo tính toàn vẹn của tất cả dữ liệu nhạy cảm mà họ xử lý theo Quy định chung về bảo vệ dữ liệu (GDPR) và Đạo luật bảo vệ dữ liệu năm 2018 (DPA) của Vương quốc Anh. Tuy nhiên, cả GDPR và DPA đều không cung cấp thông tin làm rõ về các hành động mà các công ty phải thực hiện để đảm bảo quyền riêng tư dữ liệu. Đây là lúc ISO 27701 phát huy tác dụng. ISO 27701 cung cấp các yêu cầu và hướng dẫn về quy trình thực hành tốt nhất để chạy hệ thống quản lý thông tin về quyền riêng tư (PIMS) với khả năng bảo mật dữ liệu và quyền riêng tư hiệu quả.

Triển khai ISO 27701

 

Giống như hầu hết các tiêu chuẩn chính thức, ISO 27701 có thể khiến bạn hơi khó hiểu. ISMS online giúp bạn bằng cách cung cấp giải pháp dựa trên đám mây để ghi lại sự tuân thủ các yêu cầu của ISO 27701.
Việc triển khai ISO 27701 sẽ mang lại cho bạn một khuôn khổ vững chắc để tuân thủ luật pháp và quy định, từ quy định GDPR đến mức bảo vệ HIPAA.

Thể hiện Thực hành Tốt: Việc triển khai ISO 27701 nhằm thể hiện 'thực hành tốt' để quản lý thông tin cá nhân. ISO 27701 đã trở thành một phần không thể thiếu trong khung quản lý dữ liệu cho các doanh nghiệp trong nhiều lĩnh vực. Tiêu chuẩn quan trọng này là sự chuyển đổi từ việc nhấn mạnh đến tài sản và kỹ thuật bảo mật thông tin ISO 27001 sang trọng tâm kinh doanh dựa trên rủi ro hơn.

Lập kế hoạch, Thực hiện, Kiểm tra, Hành động :Lập kế hoạch, Thực hiện, Kiểm tra, Hành động (PDCA) là một chu trình cải tiến liên tục được nhiều công ty tiến bộ sử dụng và là một yếu tố quan trọng trong việc triển khai ISO 27701. Những công ty khác có thể sử dụng các tên khác nhau cho các giai đoạn — nhưng ý tưởng chính thì giống nhau: Lập kế hoạch những gì nên làm; làm tốt nhất có thể việc triển khai và thực hiện nhiệm vụ đó; kiểm tra kết quả so với kế hoạch của bạn; và khi những thay đổi kế hoạch cần thiết có tác dụng cải thiện hiệu suất.

Yêu cầu của ISO 27701

Các yêu cầu để đạt được sự tuân thủ ISO/IEC 27701 bao gồm:

  • Thiết kế, xây dựng và triển khai Hệ thống thông tin cá nhân cho tổ chức của bạn.

  • Tuân theo hướng dẫn ISO 27701 khi thiết kế và triển khai PIMS.

  • PIM phải xác định các hệ thống nghiêm ngặt và biện pháp kiểm soát chiến thuật để quản lý thông tin nhận dạng cá nhân, bao gồm cách thu thập, sử dụng, chia sẻ và xóa thông tin này.

  • Xác định vai trò người dùng nghiêm ngặt và mật khẩu mạnh để tất cả các bên liên quan xử lý và kiểm soát dữ liệu quyền riêng tư.

Ai nên triển khai ISO 27701?

ISO 27701 cung cấp tiêu chuẩn quốc tế cho mọi tổ chức xử lý dữ liệu về quyền riêng tư. Bất kỳ công ty nào nắm giữ thông tin nhận dạng cá nhân, bất kể quy mô và loại hình, đều có thể được hưởng lợi từ việc triển khai ISO 27701. ISO 27701 giúp giảm thiểu rủi ro tài chính và quy định liên quan đến vi phạm dữ liệu về quyền riêng tư. ISO 27701 dành cho các công ty tư nhân, công ty đại chúng và thậm chí cả các cơ quan chính phủ cần áp dụng cách tiếp cận dựa trên rủi ro để lưu giữ và xử lý thông tin cá nhân.

Quy trình chứng nhận ISO 27701

 

  1. Trước tiên, bạn phải thuê một tổ chức chứng nhận đủ năng lực như ISC VIỆT NAM để tiến hành đánh giá tổ chức của bạn.

  2. Sau khi bạn đồng ý về một đề xuất, người đánh giá sẽ cung cấp cho tổ chức của bạn một cuộc kiểm tra chi tiết. Người đánh giá phải thực hiện chuyến thăm bắt buộc trong quá trình đánh giá chứng nhận lần đầu. Họ sẽ xem liệu bạn đã thiết lập một hệ thống quản lý thông tin cá nhân đầy đủ chức năng hay chưa.

  3. Khi người đánh giá đã hoàn thành việc đánh giá, cơ quan chứng nhận sẽ quyết định xem tổ chức của bạn có đáp ứng các tiêu chí hay không. Nếu kết quả là khả quan, họ sẽ cấp cho bạn giấy chứng nhận cho biết công ty của bạn tuân thủ các thông số kỹ thuật của tiêu chuẩn. Chứng nhận có hiệu lực trong ba năm tiếp theo hoặc cho đến khi chứng chỉ ISO 27001 của bạn hết hạn, tùy điều kiện nào đến trước.

Nếu công ty của bạn chưa có chứng nhận ISO 27001, trước tiên bạn cần phải có chứng nhận này hoặc theo đuổi chứng chỉ ISO 27001 và ISO 27701 cùng một lúc.

LIÊN HỆ #ISC_VIỆT_NAM ĐỂ ĐƯỢC GIẢI ĐÁP MIỄN PHÍ !

Ms. Vân Phạm

#Hotline: 0933 09 6426

#Email: van.pham@iscvietnam.net

Ms Lan Anh

#Hotline: 0824 647 279

#Email: anh.nguyen@iscvietnam.net

#Website: https://iscvietnam.net

#Zalo: https://zalo.me/3014216325814962649

#Likedln:https://www.linkedin.com/in/isc-vi%E1%BB%87t-nam-36a2352a2/

Văn Phòng ISC Việt Nam

➤ Hà Nội: Số 18 Tam Trinh, Quận Hai Bà Trưng, Hà Nội.

➤ Đà Nẵng: 498 Bùi Trang Chước, Cẩm Lệ, Đà Nẵng.

➤ Hồ Chí Minh: 8/29 Hoàng Hoa Thám, Phường 7, Bình Thạnh, Hồ Chí Minh.




 

Hỗ Trợ Trực Tuyến

Ms. Vân

skype

Điện thoại:0933096426

Thời gian làm việc

Bất cứ khi nào bạn cần, hỗ trợ 24/7, 7 ngày trong tuần

Đối tác và khách hàng của chúng tôi

image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image