O que é a norma ISO 27701?

Antecipando o aumento do ambiente regulatório e a necessidade de um conjunto comum de conceitos para tratar da proteção de dados pessoais, a International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC) tomaram a iniciativa de criar normas para fornecer orientações nessa área às organizações.

Originalmente desenvolvida como ISO 27552, a ISO 27701 fornece requisitos e orientações específicas para estabelecer, implementar, manter e melhorar continuamente um Privacy Information Management System (PIMS) como uma extensão do Information Security Management System (ISMS) definido na ISO 27001 para levar em conta as proteções de privacidade necessárias para o processamento de Personally Identifiable Information (PII), ou seja dados pessoais, além da segurança da informação.

timeline1

O PIMS baseado na ISO 27701 fornece uma estrutura útil para permitir que as organizações identifiquem consistentemente os riscos de privacidade, requisitos legislativos específicos e giram os seus dados pessoais de maneira responsável.

A norma descreve uma estrutura para os papéis de gestão de dados pessoais Controllers e Processors para gerir os controlos de privacidade de forma a que o risco relativo aos direitos de privacidade individuais seja reduzido. Esses requisitos e orientações adicionais são escritos de forma a que sejam práticos e utilizáveis por organizações de todos os tamanhos e ambientes culturais.

A ISO 27701 aplica-se aos Controllers (e também aos Joint Controllers) e aos Processors (incluindo Sub-Processors) dos dados pessoais, independentemente das jurisdições e setores em que operam.

controller-processor

Em comum com muitas legislações de privacidade em todo o mundo, há muito pouca orientação sobre como implementar processos para estar em conformidade com o RGPD.

A norma foi elaborada com a contribuição de especialistas e autoridades de proteção de dados de todo o mundo, incluindo o Conselho Europeu de Proteção de Dados. Foram consideradas as legislações de proteção de dados de todos os continentes. A norma é próxima do RGPD e cada cláusula mapeia para os artigos correspondentes do RGPD.

Mas a ISO 27701 não é específica do RGPD. É uma norma global e representa o que há de mais atual em termos de proteção de privacidade. As organizações que a implementarem demonstrarão uma abordagem proativa à proteção de dados pessoais.

Não é possível obter uma certificação ISO 27701 sem ter primeiro uma certificação ISO 27001, pois a certificação do PIMS é uma extensão da ISO 27001, a norma do ISMS.

A certificação ISO 27701 não é ainda reconhecida pelo Artigo 42 do RGPD. Na verdade, o Conselho da UE ainda não reconheceu nenhum mecanismo de certificação para o RGPD, embora haja deliberações a esse respeito. No entanto, a ISO 27701 pode ser um mecanismo de certificação potencial.

Para que serve?

A adoção da norma ISO 27701 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Privacy Information Management System (PIMS) como uma extensão do Information Security Management System (ISMS) definido na ISO 27001 para levar em conta as proteções de privacidade necessárias para o processamento de Personally Identifiable Information (PII), ou seja dados pessoais, além da segurança da informação.

Uma organização em conformidade com os requisitos da ISO 27701 gerará evidências documentadas de como trata o processamento de dados pessoais. Essas evidências podem ser utilizadas para facilitar acordos com parceiros de negócios onde o processamento de dados pessoais é mutuamente relevante. Pode igualmente ajudar no relacionamento com outras partes interessadas. A utilização da ISO 27701 em conjunto com a ISO 27001 pode, se desejado, fornecer verificação independente dessas evidências, embora a conformidade com esses documentos não possa ser considerada como conformidade com as leis e regulamentos.

Para validar que os controlos operacionais adequados da norma são implementados de forma consistente e cumprir os requisitos de conformidade dos regulamentos de privacidade relevantes, devem ser tomadas medidas para:

steps1

Um bom exemplo a ser analisado são os controlos de gestão de violações de dados pessoais na ISO 27701 e os requisitos de notificação de violação (artigo 33) no RGPD. Os controlos de gestão de incidentes de segurança da informação da norma têm mapeamento direto com os requisitos de violação de dados do RGPD. No entanto, a norma não inclui uma notificação específica de 72 horas conforme exigido pelo regulamento. Para que a organização demonstre que implementou um sistema de gestão que cumpra esse requisito específico do RGPD, deve mostrar aos auditores que tem um processo uniforme em vigor que notifica os titulares dos dados e a autoridade de supervisão em 72 horas no caso de confirmação de violação de dados pessoais, ou que tem um processo para determinar se a violação envolve cidadãos europeus, ou se a violação do processamento de dados ocorreu na Europa e, em caso afirmativo, acione a notificação dentro do prazo exigido.

Em conclusão, o mapeamento da norma com as regulamentações e a enumeração de requisitos regulamentares e condições aplicáveis, são mecanismos necessários para que os Controllers e Processors possam utilizara ISO 27701 para verificar a conformidade com as várias regulamentações de privacidade em vigor.

Em que consiste?

A estrutura da norma ISO 27701 é a seguinte:

Capítulos
1 Scope
2 Normative references
3 Terms, definitions and abbreviations
4 General
5 PIMS-specific requirements related to ISO/IEC 27001
6 PIMS-specific guidance related to ISO/IEC 27002
7 Additional ISO/IEC 27002 guidance for PII controllers
8 Additional ISO/IEC 27002 guidance for PII processors
Anexos
Annex A PIMS-specific reference control objectives and controls (PII Controllers)
Annex B PIMS-specific reference control objectives and controls (PII Processors)
Annex C Mapping to ISO/IEC 29100
Annex D Mapping to the General Data Protection Regulation
Annex E Mapping to ISO/IEC 27018 and ISO/IEC 29151
Annex F How to apply ISO/IEC 27701 to ISO/IEC 27001 and ISO/IEC 27002

A ISO 27701 difere ligeiramente das restantes normas ISO porque requer um sistema de gestão ISO 27001 existente para se anexar. Nem todas as cláusulas e controlos são aplicáveis em todas as suas implementações. Os requisitos da norma são divididos em quatro grupos listados abaixo:

steps2 diagrama

Além disso, os controlos aplicáveis são descritos nos anexos ao corpo principal da norma. A seguinte informação pode ser utilizada como referência:

anexos

O mapeamento específico dos requisitos ISO 27001 versus os requisitos ISO 27701 é o seguinte:

Cláusulas ISO 27001 Títulos Subcláusulas ISO 27701 Observações
4 Contexto da organização 5.2 Additional requirements
5 Liderança 5.3 No PIMS-specific requirements
6 Planeamento 5.4 Additional requirements
7 Suporte 5.5 No PIMS-specific requirements
8 Operação 5.6 No PIMS-specific requirements
9 Avaliação de desempenho 5.7 No PIMS-specific requirements
10 Melhoria 5.8 No PIMS-specific requirements

O mapeamento específico das guidelines da ISO 27002 versus as guidelines ISO 27701 é o seguinte:

Cláusulas ISO 27002 Títulos Subcláusulas ISO 27701 Observações
5 Políticas de Segurança 6.2 Additional guidance
6 Organização de Segurança da Informação 6.3 Additional guidance
7 Segurança de Recursos Humanos 6.4 Additional guidance
8 Gestão de Bens 6.5 Additional guidance
9 Controlo de Acessos 6.6 Additional guidance
10 Criptografia 6.7 Additional guidance
11 Segurança Física e Ambiental 6.8 Additional guidance
12 Segurança de Operações 6.9 Additional guidance
13 Segurança de Comunicações 6.10 Additional guidance
14 Aquisição, Desenvolvimento e Manutenção de Sistemas 6.11 Additional guidance
15 Relações com Fornecedores 6.12 Additional guidance
16 Gestão de Incidentes de Segurança da Informação 6.13 Additional guidance
17 Aspectos de SI na gestão da continuidade do negócio 6.14 No PIMS-specific guidance
18 Conformidade 6.15 Additional guidance

Os principais requisitos da ISO 27701 aplicáveis aos Controllers e Processors são os seguintes:

requisitos1

Os principais requisitos específicos da ISO 27701 aplicáveis só aos Controllers são:

requisitos2

Já os principais requisitos específicos da ISO 27701 aplicáveis só aos Processors são:

requisitos3

Na maioria das circunstâncias, as organizações com certificação existente ISO 27001 devem começar no Anexo F para entender como a aplicação do PIMS se encaixa no seu ISMS ISO 27001 existente. Este anexo refere-se a três instâncias de aplicação da norma:

anexo f

As organizações devem implementar uma Declaração de Aplicabilidade (SoA) relativa ao seu PIMS que é influenciada pelo facto de assumirem os papéis de Controllers ou Processors (ou ambos). As organizações podem criar um ISMS-PIMS combinado e estender os seus SoA do ISMS para incluir os controlos PIMS.

Quais os benefícios para quem a adota?

Independentemente das empresas se certificarem ou não, a adoção das práticas de gestão documentadas na norma ISO 27701, representa um conjunto de benefícios, nomeadamente:

benefits

Quais os benefícios para os clientes, fornecedores e parceiros?

As entidades "pares" de uma entidade certificada em ISO 27701, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada no que diz respeito ao processamento de dados pessoais.

Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado de dados pessoais nos processos internos de cada organização.

A implementação da norma ISO 27701 providencia um elevado compromisso para com a proteção de dados pessoais, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada.

Assim, os clientes, parceiros e fornecedores desta entidade sabem que os dados pessoais da sua responsabilidade serão tratados de acordo com elevados padrões de gestão e proteção ao nível da Privacidade, já que a empresa certificada foi auditada por uma entidade externa e idónea.

Quanto tempo demora a preparação da certificação?

A preparação da certificação ISO 27701 requer a implementação e adoção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adotar e certificar-se.

Assim, as organizações que são certificadas pela ISO 27001 e procuram implementar os requisitos da ISO 27701 devem considerar a realização das seguintes etapas:

timeline2

Qual o contributo que a Devoteam Cyber Trust pode dar no processo?

A Devoteam Cyber Trust detém consultores formados e certificados, nomeadamente como ISO 27001 Lead Auditors e 27001 Lead Implementors, preparados para prestar assessoria e consultoria no ato da preparação, implementação e adoção da norma a qualquer entidade que esteja determinada a fazê-lo.

Para além da formação e certificações que os consultores da Devoteam Cyber Trust detêm, há que destacar que as próprias certificações ISO 27001 e ISO 27701 da empresa foram implementadas e são operadas pelos seus próprios consultores, fator de demonstração inequívoca de conhecimento e experiência no processo de preparação e certificação.

Acresce-se também que a Devoteam Cyber Trust tem vindo a ajudar os seus Clientes a implementar os seus ISMS e PIMS de forma a obter a respetiva certificação formal pelos organismos de certificação.

Qual é o custo estimado da implementação e certificação?

O custo da implementação e da certificação varia de acordo com a realidade organizacional e especificidades de cada entidade, nomeadamente o(s) processo(s) sobre o(s) qual(ais) incide(m) a certificação, o número de colaboradores intervenientes nesse(s) processo(s), o número de locais envolvidos e o número de ativos de informação a considerar no âmbito da certificação.

De forma a que possamos estimar o potencial custo, será necessário o preenchimento dos seguintes ponderadores, com base nos quais a Devoteam Cyber Trust dará início ao processo de estimativa de custo:

Esclarecimento de Dúvidas ou Sugestões

Somos um conjunto de profissionais certificados que pode ajudar a esclarecer quaisquer questões ou dúvidas sobre as Normas ISO 27001 e ISO 27701 ou outros temas relacionados com a Segurança da Informação e Privacidade.

Submeta-nos as suas questões através deste formulário ou contacte-nos através de 27701@integrity.pt.