For a better experience please change your browser to CHROME, FIREFOX, OPERA or Internet Explorer.

Blog de actualidad jurídica, legal, TI...

ISO 27701: Guía Cumplimiento RGPD y Gestión Privacidad de datos

La ISO/IEC 27701 es una norma sobre la seguridad de la información. Proporciona guía a las organizaciones que quieran cumplir con los requisitos del RGPD y otros requisitos sobre privacidad de datos.

Estructura y apartados de la norma ISO 27701

Introducción

Se introduce que la regulación ISO 27701 es una extensión de la ISO/IEC 27001. Ofrece la confianza de que los riesgos son gestionados adecuadamente integrando los procesos de la seguridad de la información dentro de la gestión de una organización.

Objeto y campo de aplicación

Establece la importancia del tratamiento de los datos personales. Refuerza la necesidad proteger la información personal al revisar tendencias de privacidad, cambios regulatorios y, también, riesgos con los flujos de datos transfronterizos.

Referencias normativas

Como ya se ha explicado, ISO 27701 utiliza de referencia la ISO 27001 al ser una extensión donde algunos apartados o cláusulas realizan adiciones de cumplimiento a la norma original.

Contexto de la organización

Se definen como requisitos claves tener implantada la norma ISO 27001 para realizar las actualizaciones necesarias, implantar ambas en caso de que no se tenga la primera, además de determinarse las necesidades y expectativas de las partes.

Requisitos específicos

La norma ISO 27701 amplía los requerimientos sobre la protección de información, específicamente acerca del contexto organizacional y  la planificación de la gestión de riesgos.

Orientaciones ISO 27701

  • Orientación específica: Amplía los requerimientos establecidos en la guía de buenas prácticas de la norma ISO 27002 y en el Anexo A de la ISO 27001. También algunos requisitos sobre la protección de la información.
  • Orientaciones adicionales para propietarios de información: Se definen los controles adicionales para los PKI y proporciona la guía de implementación para llevarlos a cabo.
  • Orientaciones adicionales para encargados de tratar información: Se especifican los controles adicionales para los encargados del tratamiento de datos personales de terceros. Además presenta una recomendación para la implementación de dichos controles dentro de la organización.

Anexos

  • Anexos A y B en los que se establecen los controles de privacidad para responsables y procesadores junto con el Anexo A de ISO 27001 que incluye los controles  para seguridad de la información.
  • Anexo C hace referencia a los principios recogidos en ISO 29100.
  • Anexo D hace referencia a los principios, el cumplimiento con las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos ARSOPL, la evaluación de impacto, notificación a la autoridad de control, designación del Delegado de Protección de Datos entre otros. También las exigencias de responsabilidad proactiva claves, materia de seguridad y las transferencias internacionales de datos personales.
  • Anexo E relacionado con la ISO 27018 y también ISO 29151.
  • Anexo F con información sobre la ISO 27001 e ISO 27002.

Finalidad de la ISO 27701

Establece que la ISO 27701 implementa e integra los principios del RGPD en un sistema de gestión de seguridad de la información, por lo que mejora las relaciones comerciales y reputacionales de la organización.