Wdrożenie ISO 27001 zapewnia solidne fundamenty bezpieczeństwa informacji w organizacji. Jednak w dobie rosnących wymagań dotyczących ochrony prywatności, wiele firm staje przed pytaniem: jak połączyć ten system z ISO 27701 – rozszerzeniem dotyczącym Zarządzania Informacjami o Prywatności (PIMS), które uzupełnia wymagania RODO?
Dobra wiadomość jest taka, że nie zaczynamy od zera – PIMS naturalnie rozszerza ISMS, a proces integracji jest logiczny i możliwy do realizacji w kilku krokach.
1. Analiza – określenie punktu wyjścia
Pierwszym etapem jest przegląd obecnego ISMS w kontekście wymagań ISO 27701.
Kluczowe pytania:
- Jakie dane osobowe przetwarzamy i w jakich procesach?
- Czy mamy jasno zdefiniowane role administratora danych (ADO) i podmiotu przetwarzającego (PPD)?
- Czy obecne procedury bezpieczeństwa uwzględniają wymogi RODO, np. prawo do bycia zapomnianym?
Efekt: mapa procesów zidentyfikowanych jako związane z danymi osobowymi oraz lista luk względem ISO 27701.
2. Dokumentacja – dopasowanie i uzupełnienie
ISO 27701 wymaga, by dokumentacja ISMS została uzupełniona o elementy PIMS, takie jak:
- polityka prywatności i ochrona danych osobowych,
- rejestr czynności przetwarzania (zgodnie z art. 30 RODO),
- procedury realizacji praw osób, których dane dotyczą,
- ocena skutków dla ochrony danych (DPIA).
W praktyce wiele dokumentów z ISO 27001 może być bazą – wystarczy je rozszerzyć o aspekty prywatności.
Przykłady:
- Polityka bezpieczeństwa informacji – dodanie sekcji o ochronie danych osobowych,
- Procedura zarządzania incydentami – uwzględnienie zgłaszania naruszeń do UODO.
3. Audyt – weryfikacja skuteczności
Ostatnim krokiem jest audyt wewnętrzny rozszerzonego systemu.
Sprawdzamy:
- czy procedury działają w praktyce,
- czy rejestry są aktualne,
- czy pracownicy są świadomi obowiązków związanych z prywatnością.
Dopiero po pozytywnym audycie można przystąpić do audytu certyfikującego ISO 27701, co potwierdzi zgodność całego systemu.
Przykłady procesów wspólnych dla ISO 27001 i RODO
Integracja ISO 27001 z ISO 27701 jest efektywna, bo wiele procesów jest wspólnych:
- Zarządzanie ryzykiem – identyfikacja zagrożeń, ocena i plan działań korygujących.
- Bezpieczeństwo dostępu – kontrola uprawnień do systemów i danych.
- Reagowanie na incydenty – obsługa naruszeń bezpieczeństwa informacji.
- Szkolenia pracowników – podnoszenie świadomości w zakresie bezpieczeństwa i prywatności.
- Przeglądy zarządzania – regularna ocena skuteczności systemu.
Dlaczego warto?
Połączenie ISO 27001 i ISO 27701 to:
- kompleksowe podejście do bezpieczeństwa i ochrony danych,
- większe zaufanie klientów i partnerów,
- zgodność z RODO potwierdzona międzynarodowym standardem,
- ułatwienie w obsłudze audytów i kontroli.
Chcesz rozszerzyć swój ISMS o PIMS i zapewnić pełną zgodność z RODO?
Skontaktuj się z nami – pomożemy Ci przejść przez analizę, przygotować dokumentację i przeprowadzić audyt, aby certyfikacja była formalnością.