حفاظت از داده ­ها و حفظ حریم خصوصی با استاندارد امنیت اطلاعات ۲۷۰۰۱ ISO

2021/11/02 بازدید: 59

مقدمه

حفاظت از داده­ها و حفظ حریم خصوصی امروزه اولویت اول سازمان­ هایی است که با داده­ های حساس و محرمانه سر و کار دارند. چارچوب­ های نظارتی بسیاری ایجاد شده است تا اطمینان حاصل شود که سازمان ­ها بهترین شیوه­ های صنعت را برای ایمن­ سازی محیط خود اتخاذ می­ کنند.

مقررات GDPR یکی از این چارچوب­ ها است که در اتحادیه اروپا برای اطمینان از حفاظت از اطلاعات و حریم خصوصی ایجاد شده است. با این حال، به دلیل مقررات سختگیرانه و الزامات امنیتی، اکثر سازمان ­ها برای دستیابی به تطابقات مورد نظر این چارچوب با دشواری­ هایی روبرو هستند.

برای آن دسته از سازمان ­هایی که به دنبال رعایت GDPR هستند، اجرای چارچوب ۲۷۰۰۱ ISO/IEC  باعث هموار کردن مسیر تطبیق آنها خواهد شد.

در مقاله امروز، در مورد چگونگی کمک اجرای استاندارد ۲۷۰۰۱ISO/IEC  به دستیابی به رعایت GDPR بحث می­کنیم.

استاندارد ۲۷۰۰۱ISO  و رعایت GDPR

گواهینامه ۲۷۰۰۱ISO/IEC یک استاندارد بین ­المللی شناخته شده برای مدیریت امنیت اطلاعات است. اگرچه این استاندارد منحصر به حفاظت از اطلاعات شخصی نیست، اما بسیاری از الزامات آن با مقررات GDPR مشترک است.

پیاده ­سازی استاندارد ۲۷۰۰۱ ISO/IEC دستیابی به رعایت GDPR را بسیار آسان می­کند. اما ۲۷۰۰۱ ISO/IEC و GDPR به هیچ وجه نمی­توانند به جای یکدیگر استفاده شوند. ۲۷۰۰۱ ISO/IEC به سادگی چارچوبی را برای اطمینان از اجرای برخی اقدامات فراهم می­ کند که رژیم رعایت GDPR را نیز تسهیل می­کند.

اجازه دهید نگاهی دقیق­ تر به استاندارد و الزامات نظارتی بیندازیم تا بفهمیم ۲۷۰۰۱ISO در انطباق با GDPR چه مواردی را پوشش می­دهد:

ویژگی مشترک بین استاندارد ۲۷۰۰۱ ISO و رعایت GDPR چیست؟

استانداردهای ۲۷۰۰۱ ISO/IEC را می­توان برای دستیابی به انطباق استفاده کرد. در زیر برخی از چارچوب­ های استاندارد وجود دارد که با الزامات انطباق GDPR همپوشانی دارد.

شرکت بیکران راهکار سعادت

ارزیابی ریسک

ارزیابی ریسک که بخشی جدایی­ ناپذیر از استاندارد ۲۷۰۰۱ ISO/IEC است، همچنین بخش مهمی از رعایت GDPR است. مشابه استاندارد ۲۷۰۰۱ ISO/IEC که شامل شناسایی ریسک و اعمال اقدامات کنترلی برای کاهش خطرات در سطح قابل قبول است، GDPR سازمان ­ها را ملزم می­کند تا ارزیابی تأثیر حفاظت از داده­ها (DPIA) را برای اجرای اقدامات جهت کاهش سطح مواجهه با ریسک انجام دهند.

پیاده­ سازی استاندارد ۲۷۰۰۱ ISO/IEC به عنوان بخشی از برنامه مدیریت ریسک همچنین به شما در برآوردن الزامات ارزیابی ریسک GDPR کمک می­کند.

اعلان نشت

مواد ۳۳-۳۴ مقررات GDPR سازمان­ ها را ملزم می­ سازد تا ۷۲ ساعت پس از نشت داده­ های شخصی به مقامات اطلاع دهند. الزامات مشابه در ۲۷۰۰۱ ISO/IEC ، که به کنترل­ های مدیریت حوادث امنیت اطلاعات می­ پردازد، سازمان­ ها را ملزم می­کند تا وقایع امنیتی را فوراً گزارش کرده و وقایع را به نحوی که اقدامات به موقع و اصلاحی انجام شوند، تسهیل کنند.

حفاظت از داده­ها با طراحی

طبق ماده ۲۵ مقررات GDPR، سازمان­ها ملزم به اجرای اقدامات فنی و سازمانی هستند که حفاظت از اطلاعات و حریم خصوصی را با طراحی تضمین کنند. همچنین سازمان­ ها را ملزم می­کند تا از حریم خصوصی داده­ ها به طور پیش فرض محافظت کنند و اطمینان حاصل کنند که فقط اطلاعات ضروری مورد نیاز برای یک هدف خاص باید پردازش و استفاده شوند.

بنابراین، حریم خصوصی با کمک طراحی که یکی از الزامات اجباری GDPR است، می­تواند با استاندارد ISO/IEC 27001 به دست آید که الزامات لازم برای اطمینان از امنیت اطلاعات را جزء لاینفک سیستم­ های اطلاعات در کل چرخه عمر می­داند.

نگهداری سوابق

ماده ۳۰ مقررات GDPR سازمان­ ها را ملزم می­ کند که سوابق فعالیت­ های پردازشی، از جمله دسته­ بندی داده­ ها، هدف پردازش و شرح کلی اقدامات امنیتی فنی و سازمانی مربوطه را در اختیار داشته باشند. GDPR همچنین می­خواهد اطلاعات شخصی بیش از زمان مورد نیاز ذخیره نشوند.

به طور مشابه، ۲۷۰۰۱ ISO/IEC  سازمان ­ها را ملزم به مستند سازی فرایندهای امنیتی خود و جزئیات ارزیابی ریسک امنیتی و نحوه برخورد با ریسک مطابق بند ۸ می ­کند. علاوه بر این، طبقه ­بندی دارایی ­های اطلاعاتی و داشتن روش­ هایی برای اطمینان از اینکه میزان استفاده از داده­ ها تعریف شده است را الزامی می­داند.

مدیریت دارایی

ضمیمه A استاندارد ۲۷۰۰۱ ISO/IEC  که بر طبقه­ بندی و مدیریت دارایی ها تمرکز دارد، اطلاعات شخصی را به عنوان دارایی­ های امنیت اطلاعات در نظر می­گیرد. این امر سازمان ها را وادار می­ کند تا نوع داده­ های شخصی مربوطه، محل ذخیره آنها برای مدت طولانی، منشأ آنها و افرادی که می­ توانند به آنها دسترسی داشته باشند را طبقه­ بندی کنند که همگی از الزامات GDPR هستند. این امر در زمینه مدیریت، کنترل و/یا پردازش اطلاعات شخصی صورت می­گیرد.

آیا صدور گواهینامه ۲۷۰۰۱ ISO به تنهایی برای دستیابی به رعایت GDPR کافی است؟

استاندارد ۲۷۰۰۱ ISO/IEC بهترین صنعت در حال توسعه برای امنیت اطلاعات و چارچوبی عالی برای رعایت GDPR است. سازمان­ هایی که این استاندارد را پیاده ­سازی کرده­ اند به احتمال زیاد به دلیل همپوشانی بسیاری از چارچوب­ ها و شیوه ها، دستیابی به رعایت GDPR را آسان می­دانند.

اجرای استاندارد به اطمینان از حفاظت از داده­های شخصی و اطمینان از به حداقل رساندن ریسک کمک می­کند

با همپوشانی بسیاری از الزامات استاندارد، پیاده­ سازی استاندارد بین­ المللی شناخته شده ۲۷۰۰۱ ISO/IEC، روند انطباق را آسان می­ کند. اگرچه رعایت مقررات GDPR همچنین مستلزم اجرای سایر اقدامات امنیتی و حریم خصوصی است که در چارچوب مقررات GDPR بیان شده است.

شرکت بیکران راهکار سعادت

نتیجه

سازمان­ هایی که استاندارد ۲۷۰۰۱ ISO/IEC را پیاده­ سازی کرده ­اند یا در مرحله اجرای آن هستند، قطعاً در موقعیت بسیار بهتری برای دستیابی به رعایت الزامات GDPR قرار دارند.

اجرای مناسب استاندارد ۲۷۰۰۱ ISO/IEC به سازمان­ ها کمک می­کند تا چندین الزام دارای همپوشانی را برآورده کنند.

اگر شما در حال شروع این مراحل هستید، به عنوان کارشناسان VISTA InfoSec به سازمان­ ها توصیه می­ کنیم که برای ارزیابی موقعیت فعلی خود یک تجزیه و تحلیل شکاف انجام دهند و بر اساس آن کنترل­ های مربوطه را برای مهار ریسک مرتبط با محرمانه بودن، صداقت و در دسترس بودن داده ­های شخصی اجرا کنند.

اگرچه استانداردهای ISO ممکن است انطباق با GDPR را تضمین نکند، اما به عنوان یک چارچوب عملی برای توسعه استراتژی­ ها و ایجاد سیاست­ های جامع برای به حداقل رساندن خطرات امنیتی که منجر به نشت داده می­ شود، مفید است.

به طور کلی، سازمان­ها باید پیگیر صدور گواهینامه ۲۷۰۰۱ ISO/IEC و GDPR برای ایجاد اقدامات امنیتی قوی و موثر برای حفاظت از داده­ های حساس باشند.

منبع:

https://isoupdate.com/general/how-does-iso-27001-help-in-achaching-gdpr-compliance

امنیت اطلاعات در سیستم های کامپیوتری، مفاهیم امنیت، امنیت در فناوری اطلاعات، اطلاعات امنیت، اصطلاحات فنی ، استاندارد، ایزو، صدور گواهینامه، ارزیابی ریسک،