ISO 27001, Gestión de la Seguridad de la Información ISO 27701, Extensión a ISO 27001 e ISO 27002 para gestión de información de privacidad: requisitos y directrices

Usamos cookies en nuestro sitio web para brindarte la experiencia más relevante recordando tus preferencias y visitas repetidas. Haz clic en "Aceptar todas las cookies" para disfrutar de esta web con todas las cookies, configura tus preferencias antes de aceptarlas, o utiliza el botón "Rechazar todas las cookies" para continuar sin aceptar.

Gestión de Cookies
 
Consultoría  /  ISO/IEC 27001 Extensión ISO/IEC 27701 - Sistemas de Gestión de Seguridad de la Información y Gestión de Información de Privacidad

ISO/IEC 27001 Extensión ISO/IEC 27701 - Sistemas de Gestión de Seguridad de la Información y Gestión de Información de Privacidad

Descripción

 

La protección de los datos de carácter personal se ha convertido en un aspecto fundamental que debe ser considerado por cualquier organización durante el desarrollo de sus actividades. El elevado volumen de información que se maneja en cualquier actividad empresarial (en particular de clientes, proveedores, trabajadores,...) así como la creciente complejidad e interconexión de los sistemas de información, ha hecho necesaria la definición de una normativa de protección de datos consistente y que permita asegurar una protección adecuada de la privacidad de las personas, y de derechos fundamentales como el derecho al honor y la intimidad.

El incumplimiento de los requisitos de estas normativas puede suponer, atendiendo a lo establecido por las normativas, elevadas infracciones o sanciones, que pueden poner en riesgo la continuidad de cualquier organización.

Obtener la certificación según los requisitos de ISO 27701 como extensión de ISO 27001 permite evidenciar a terceros un cumplimiento efectivo de las normativas de protección de datos, consiguiendo consolidar la confianza de los clientes, proteger la reputación de una organización, y protegerse contra la responsabilidad legal y contra las sanciones que puedan derivarse del incumplimiento de la normativa.

Ventajas para la ORGANIZACIÓN

  • La consideración del CONTEXTO incluyendo en el mismo los tratamientos de datos realizados por la organización;
  • Identificación de ACTIVIDADES DE TRATAMIENTO;
  • Identificación de LEGITIMACIÓN en el tratamiento de datos personales;
  • EVALUACIÓN, GESTIÓN y TRATAMIENTO de los RIESGOS, que pueden afectar a la privacidad;
  • EVALUACIÓN DE IMPACTO EN LA PRIVACIDAD
  • DEFINICIÓN DE RESPONSABILIDADES en materia de seguridad de la información;
  • Establecimiento de MECANISMOS DE CONTROL de acceso físico, lógico, control en red y criptográficos adecuados al nivel de criticidad de los datos;
  • Asegurar la seguridad de la información en el SERVICIO A TERCEROS;
  • Asegurar el cumplimiento de los derechos de los afectados en cuanto al tratamiento de sus datos;
  • Disponer de CONTRATOS DE CONFIDENCIALIDAD con los empleados;
  • Cumplimiento con la LEGISLACIÓN APLICABLE;
  • GESTIÓN DE INCIDENCIAS relativas a la seguridad de la información y a la privacidad de las personas;
  • TOMA DE CONCIENCIA Y COMPROMISO;
  • Proporcionar la FORMACIÓN necesaria para garantizar la competencia de las personas;
  • PRESERVACIÓN DE LA CONTINUIDAD de las operaciones de la organización y de las actividades de tratamiento de datos.

EJEMPLOS de Acciones Prácticas a Implementar

  • Realización del análisis de riesgos de seguridad de la información.
  • Realización de Evaluación de Impacto en la privacidad.
  • Desarrollo del Registro de Actividades de Tratamiento de datos personales
  • Formalización de contratos de confidencialidad y de tratamiento externo de datos con los empleados y proveedores.
  • Formalización de acuerdos prestación de servicio.
  • Nombramiento del Delegado de Protección de Datos y otras responsabilidades de seguridad.
  • Desarrollo de textos informativos para el cumplimiento del derecho de información.
  • Desarrollo de mecanismos para la atención al ejercicio de los derechos de los afectados.
  • Uso de credenciales de acceso a las instalaciones para visitantes.
  • Mecanismos que obstaculicen el acceso a las áreas seguras: dispositivos biométricos, etc.
  • Uso de dispositivos de alimentación interrumpida.
  • Uso de controladores de temperatura CPD.
  • Uso de licencias legales.
  • Realización de planes de continuidad
  • Planes de prueba: caída de suministro eléctrico, fallos en los servidores, fallo comunicaciones, incendio edificio, etc.
  • Política de gestión de contraseñas.
  • Limitar la utilización de usuarios genéricos y los permisos de administración.
  • Restringir los puertos USB a puestos determinados.
  • Implantar y configurar un antivirus para todos los equipos de la organización, incluyendo los dispositivos móviles
  • Instalación de Firewalls, VPN.
  • Controlar y prohibir el acceso remoto hacia la propia organización.
  • Limitar la navegación a páginas de ciertos contenidos y Sistemas de Detección de Intrusos.
  • Realización de copias de seguridad.
  • Segmentación de redes y conexiones seguras.
  • Proteger las claves de acceso a sistemas, datos y servicios, almacenándolas de forma cifrada.
  • Uso certificado digitales para el intercambio de información.

*Las acciones indicadas son sólo ejemplos, estás deberán ser adaptadas a la realidad y necesidades de cada organización

Ventajas para la ORGANIZACIÓN

 

 

Las organizaciones que complementan su SGSI con un Sistema de Gestión de Información de Privacidad (PIMS) según la norma ISO 27701 consiguen implementar los procesos necesarios para asegurar el cumplimiento de los requisitos internacionales relacionados con la protección de los datos de carácter personal y ofrecen cobertura a los derechos de los interesados. Igualmente se consiguen definir las responsabilidades necesarias para la gestión de la protección de datos personales en la organización, incluyendo figuras requeridas por la normativa, como el Delegado de Protección de Datos, se reduce la posibilidad de infracciones o sanciones derivadas de las normativas y permite evidenciar ante las Autoridades de Control una gestión proactiva. También facilita una gestión adecuada de los riesgos relativos a la privacidad, permitiendo el establecimiento de las medidas técnicas y organizativas adecuadas y definir procedimientos y mecanismos adecuados para la gestión de las incidencias o brechas de seguridad que afecten a los datos de carácter personal.

Ventajas para los CLIENTES

 

  • Gestión de forma segura de la información crítica y sensible de nuestros clientes, garantizado que se establecen todos los controles necesarios para su preservación.
  • Confianza de los clientes en cuanto a la gestión de su información de privacidad y al respeto a sus derechos al honor, intimidad y privacidad.
  • Mantenimiento de la integridad y disponibilidad de la información de los clientes según sus necesidades
  • Garantía de los derechos de los afectados en cuanto al tratamiento de sus datos (acceso, rectificación, cancelación, información,...)

Ventajas para el MERCADO

  • Empresas comprometidas con la seguridad de la información, que garantizan una adecuada gestión de la información con la que trabajan.
  • Elemento distintivo frente a la competencia.
  • Imágen de empresa comrpometida con la protección de la privacidad.
  • Garantía a terceros del cumplimiento de la normativa de protección de datos.

Sectores de APLICACIÓN

 

La protección de los datos de carácter personal se ha convertido en un aspecto fundamental que debe ser considerado por cualquier organización durante el desarrollo de sus actividades. El elevado volumen de información que se maneja en cualquier actividad empresarial (en particular de clientes, proveedores, trabajadores,...) así como la creciente complejidad e interconexión de los sistemas de información, ha hecho necesaria la definición de una normativa de protección de datos consistente y que permita asegurar una protección adecuada de la privacidad de las personas, y de derechos fundamentales como el derecho al honor y la intimidad.

El incumplimiento de los requisitos de estas normativas puede suponer, atendiendo a lo establecido por las normativas, elevadas infracciones o sanciones, que pueden poner en riesgo la continuidad de cualquier organización.

Obtener la certificación según los requisitos de ISO 27701 como extensión de ISO 27001 permite evidenciar a terceros un cumplimiento efectivo de las normativas de protección de datos, consiguiendo consolidar la confianza de los clientes, proteger la reputación de una organización, y protegerse contra la responsabilidad legal y contra las sanciones que puedan derivarse del incumplimiento de la normativa.

Solicitud de Información

En cumplimiento de la normativa de protección de datos, en particular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, le informamos que los datos personales que usted nos facilita a través del presente formulario, serán utilizados por International Dynamics Advisors (INTEDYA), para tramitar su solicitud de información respecto al asunto indicado.

Los datos personales marcados con (*) son imprescindibles para tramitar su solicitud, siendo el resto opcionales, y orientados a mejorar las vías de comunicación con los solicitantes. INTEDYA únicamente comunicará sus datos a las oficinas (pertenecientes a su red de oficinas) necesarias o relacionadas con el servicio solicitado, no realizando ninguna otra comunicación, más allá de las obligaciones legales que puedan derivarse del tratamiento. Asimismo, ni INTEDYA ni las oficinas de su red implicadas, utilizará sus datos con finalidades distintas a las indicadas, salvo autorización expresa y previa del titular de los mismos. Los datos personales serán tratados únicamente durante el tiempo necesario para tramitar su solicitud, tras lo cual se procederá a su supresión. Le informamos sobre la posibilidad de ejercer los derechos de acceso, rectificación, supresión, portabilidad y limitación del tratamiento, en los términos previstos en la ley, que podrá ejercitar dirigiéndose a International Dynamics Advisors, en Calle Secundino Roces Riera, nº 5, planta 2, oficina 7, Parque Empresarial de Asipo I. C.P. 33428 Cayés, Llanera (Asturias)., o a la dirección de correo electrónico info@intedya.com.

Además, en caso de que usted nos autorice expresamente, INTEDYA podrá utilizar sus datos de contacto para el envío de Newsletter, comunicaciones, notificaciones y, en general, información sobre nuestros productos y servicios que puedan resultar de su interés.

Para obtener más información sobre el uso de los datos de carácter personal, así como sobre el cumplimiento de los principios, requisitos y derechos recogidos de la normativa de protección de datos, INTEDYA pone a disposición de los interesados, a través de su página web, su Política de Privacidad.


Marcando esta casilla, acepta el tratamiento de sus datos en los términos indicados, con la finalidad de cumplir con el servicio solicitado, y confirmo haber leído y aceptado la Política de Privacidad de INTEDYA. (*) Aceptación Obligatoria

Marcando esta casilla, además, acepta el tratamiento de sus datos para el envío de Newsletter, o información sobre nuestros productos o servicios.
Trabajamos formando un banco mundial de conocimiento, sumando la experiencia y capacidades de todos nuestros profesionales y colaboradores capaces de formar el mejor equipo internacional de conocimiento.

Reconocimientos y participación

INCIBEUniversidad Europea Miguel de Cervantes. Cursos de Formación Permanente.StaregisterUNE Normalización EspañolaOganización Asociada a la WORLD COMPLIANCE ASSOCIATIONStandards Boost BusinessMiembros de ANSI (American National Standards Institute)Miembros de la Green Industry PlatformMiembros de la Asociación Española de la CalidadAdheridos al Pacto de LuxemburgoMiembros de la European Association for International Education