حفاظت از دادهها و حفظ حریم خصوصی امروزه اولویت اول سازمان هایی است که با داده های حساس و محرمانه سر و کار دارند. چارچوب های نظارتی بسیاری ایجاد شده است تا اطمینان حاصل شود که سازمان ها بهترین شیوه های صنعت را برای ایمن سازی محیط خود اتخاذ می کنند.
مقررات GDPR یکی از این چارچوب ها است که در اتحادیه اروپا برای اطمینان از حفاظت از اطلاعات و حریم خصوصی ایجاد شده است. با این حال، به دلیل مقررات سختگیرانه و الزامات امنیتی، اکثر سازمان ها برای دستیابی به تطابقات مورد نظر این چارچوب با دشواری هایی روبرو هستند.
برای آن دسته از سازمان هایی که به دنبال رعایت GDPR هستند، اجرای چارچوب ۲۷۰۰۱ ISO/IEC باعث هموار کردن مسیر تطبیق آنها خواهد شد.
در مقاله امروز، در مورد چگونگی کمک اجرای استاندارد ۲۷۰۰۱ISO/IEC به دستیابی به رعایت GDPR بحث میکنیم.
استاندارد ۲۷۰۰۱ISO و رعایت GDPR
گواهینامه ۲۷۰۰۱ISO/IEC یک استاندارد بین المللی شناخته شده برای مدیریت امنیت اطلاعات است. اگرچه این استاندارد منحصر به حفاظت از اطلاعات شخصی نیست، اما بسیاری از الزامات آن با مقررات GDPR مشترک است.
پیاده سازی استاندارد ۲۷۰۰۱ ISO/IEC دستیابی به رعایت GDPR را بسیار آسان میکند. اما ۲۷۰۰۱ ISO/IEC و GDPR به هیچ وجه نمیتوانند به جای یکدیگر استفاده شوند. ۲۷۰۰۱ ISO/IEC به سادگی چارچوبی را برای اطمینان از اجرای برخی اقدامات فراهم می کند که رژیم رعایت GDPR را نیز تسهیل میکند.
اجازه دهید نگاهی دقیق تر به استاندارد و الزامات نظارتی بیندازیم تا بفهمیم ۲۷۰۰۱ISO در انطباق با GDPR چه مواردی را پوشش میدهد:
ویژگی مشترک بین استاندارد ۲۷۰۰۱ ISO و رعایت GDPR چیست؟
استانداردهای ۲۷۰۰۱ ISO/IEC را میتوان برای دستیابی به انطباق استفاده کرد. در زیر برخی از چارچوب های استاندارد وجود دارد که با الزامات انطباق GDPR همپوشانی دارد.
شرکت بیکران راهکار سعادت
ارزیابی ریسک که بخشی جدایی ناپذیر از استاندارد ۲۷۰۰۱ ISO/IEC است، همچنین بخش مهمی از رعایت GDPR است. مشابه استاندارد ۲۷۰۰۱ ISO/IEC که شامل شناسایی ریسک و اعمال اقدامات کنترلی برای کاهش خطرات در سطح قابل قبول است، GDPR سازمان ها را ملزم میکند تا ارزیابی تأثیر حفاظت از دادهها (DPIA) را برای اجرای اقدامات جهت کاهش سطح مواجهه با ریسک انجام دهند.
پیاده سازی استاندارد ۲۷۰۰۱ ISO/IEC به عنوان بخشی از برنامه مدیریت ریسک همچنین به شما در برآوردن الزامات ارزیابی ریسک GDPR کمک میکند.
مواد ۳۳-۳۴ مقررات GDPR سازمان ها را ملزم می سازد تا ۷۲ ساعت پس از نشت داده های شخصی به مقامات اطلاع دهند. الزامات مشابه در ۲۷۰۰۱ ISO/IEC ، که به کنترل های مدیریت حوادث امنیت اطلاعات می پردازد، سازمان ها را ملزم میکند تا وقایع امنیتی را فوراً گزارش کرده و وقایع را به نحوی که اقدامات به موقع و اصلاحی انجام شوند، تسهیل کنند.
طبق ماده ۲۵ مقررات GDPR، سازمانها ملزم به اجرای اقدامات فنی و سازمانی هستند که حفاظت از اطلاعات و حریم خصوصی را با طراحی تضمین کنند. همچنین سازمان ها را ملزم میکند تا از حریم خصوصی داده ها به طور پیش فرض محافظت کنند و اطمینان حاصل کنند که فقط اطلاعات ضروری مورد نیاز برای یک هدف خاص باید پردازش و استفاده شوند.
بنابراین، حریم خصوصی با کمک طراحی که یکی از الزامات اجباری GDPR است، میتواند با استاندارد ISO/IEC 27001 به دست آید که الزامات لازم برای اطمینان از امنیت اطلاعات را جزء لاینفک سیستم های اطلاعات در کل چرخه عمر میداند.
ماده ۳۰ مقررات GDPR سازمان ها را ملزم می کند که سوابق فعالیت های پردازشی، از جمله دسته بندی داده ها، هدف پردازش و شرح کلی اقدامات امنیتی فنی و سازمانی مربوطه را در اختیار داشته باشند. GDPR همچنین میخواهد اطلاعات شخصی بیش از زمان مورد نیاز ذخیره نشوند.
به طور مشابه، ۲۷۰۰۱ ISO/IEC سازمان ها را ملزم به مستند سازی فرایندهای امنیتی خود و جزئیات ارزیابی ریسک امنیتی و نحوه برخورد با ریسک مطابق بند ۸ می کند. علاوه بر این، طبقه بندی دارایی های اطلاعاتی و داشتن روش هایی برای اطمینان از اینکه میزان استفاده از داده ها تعریف شده است را الزامی میداند.
ضمیمه A استاندارد ۲۷۰۰۱ ISO/IEC که بر طبقه بندی و مدیریت دارایی ها تمرکز دارد، اطلاعات شخصی را به عنوان دارایی های امنیت اطلاعات در نظر میگیرد. این امر سازمان ها را وادار می کند تا نوع داده های شخصی مربوطه، محل ذخیره آنها برای مدت طولانی، منشأ آنها و افرادی که می توانند به آنها دسترسی داشته باشند را طبقه بندی کنند که همگی از الزامات GDPR هستند. این امر در زمینه مدیریت، کنترل و/یا پردازش اطلاعات شخصی صورت میگیرد.
استاندارد ۲۷۰۰۱ ISO/IEC بهترین صنعت در حال توسعه برای امنیت اطلاعات و چارچوبی عالی برای رعایت GDPR است. سازمان هایی که این استاندارد را پیاده سازی کرده اند به احتمال زیاد به دلیل همپوشانی بسیاری از چارچوب ها و شیوه ها، دستیابی به رعایت GDPR را آسان میدانند.
اجرای استاندارد به اطمینان از حفاظت از دادههای شخصی و اطمینان از به حداقل رساندن ریسک کمک میکند
با همپوشانی بسیاری از الزامات استاندارد، پیاده سازی استاندارد بین المللی شناخته شده ۲۷۰۰۱ ISO/IEC، روند انطباق را آسان می کند. اگرچه رعایت مقررات GDPR همچنین مستلزم اجرای سایر اقدامات امنیتی و حریم خصوصی است که در چارچوب مقررات GDPR بیان شده است.
شرکت بیکران راهکار سعادت
نتیجه
سازمان هایی که استاندارد ۲۷۰۰۱ ISO/IEC را پیاده سازی کرده اند یا در مرحله اجرای آن هستند، قطعاً در موقعیت بسیار بهتری برای دستیابی به رعایت الزامات GDPR قرار دارند.
اجرای مناسب استاندارد ۲۷۰۰۱ ISO/IEC به سازمان ها کمک میکند تا چندین الزام دارای همپوشانی را برآورده کنند.
اگر شما در حال شروع این مراحل هستید، به عنوان کارشناسان VISTA InfoSec به سازمان ها توصیه می کنیم که برای ارزیابی موقعیت فعلی خود یک تجزیه و تحلیل شکاف انجام دهند و بر اساس آن کنترل های مربوطه را برای مهار ریسک مرتبط با محرمانه بودن، صداقت و در دسترس بودن داده های شخصی اجرا کنند.
اگرچه استانداردهای ISO ممکن است انطباق با GDPR را تضمین نکند، اما به عنوان یک چارچوب عملی برای توسعه استراتژی ها و ایجاد سیاست های جامع برای به حداقل رساندن خطرات امنیتی که منجر به نشت داده می شود، مفید است.
به طور کلی، سازمانها باید پیگیر صدور گواهینامه ۲۷۰۰۱ ISO/IEC و GDPR برای ایجاد اقدامات امنیتی قوی و موثر برای حفاظت از داده های حساس باشند.
منبع:
https://isoupdate.com/general/how-does-iso-27001-help-in-achaching-gdpr-compliance
امنیت اطلاعات در سیستم های کامپیوتری، مفاهیم امنیت، امنیت در فناوری اطلاعات، اطلاعات امنیت، اصطلاحات فنی ، استاندارد، ایزو، صدور گواهینامه، ارزیابی ریسک،