Pasar al contenido principal

ISO 27701

¿A quién va dirigido?

La norma ISO 27701 aplica a cualquier organización pública o privada, grande o pequeña, que quiera llevar a cabo una gestión de la privacidad de forma integrada con la seguridad de la información, de acuerdo con un estándar internacional.

¿Qué es?

La norma ISO/IEC 27701:2019 es un estándar internacional que establece los requisitos que debe cumplir una organización para llevar a cabo una adecuada gestión de la Información de Privacidad (datos personales), de manera integrada con los principios que establecen las normas ISO 27001 e ISO 27002 para la gestión de la seguridad de la información. Esta norma establece:

  • Las exigencias de carácter general que se deben cumplir, a nivel de sistema de gestión, para que la gestión de la información de privacidad se desarrolle en forma de ciclo PDCA (Plan-Do-Check-Act) o ciclo de Deming y pueda ser establecida, implementada y mejorada de manera continua, ampliando en el marco de la información de privacidad las exigencias que establece para la gestión de la seguridad de la información en general la norma ISO 27001.
  • Una guía específica sobre medidas de privacidad a desarrollar sobre los controles de seguridad propuestos por la ISO 27002 y recogidos en el Anexo A de la ISO 27001, que amplía dichas medidas de seguridad desde el punto de vista de la privacidad.

De este modo, el estándar establece las bases para que cualquier organización pueda preservar la confidencialidad, la integridad y la disponibilidad de los datos personales de manera integrada con su Sistema de Gestión de la Seguridad de la Información (SGSI), mediante la aplicación de un proceso continuo de gestión de riesgos de seguridad de la información que cubra expresamente los datos personales tratados.

Objetivos

Los objetivos del estándar ISO 27701 se pueden resumir en los siguientes puntos:

  • Establecer los requisitos mínimos que cualquier organización debe cumplir para establecer, implementar, mantener y mejorar de manera continua la protección de los datos personales de forma integrada con la seguridad de la información.
  • Otorgar a todas las partes interesadas confianza sobre la adecuada gestión de los riesgos de seguridad de los datos personales.
  • Preservar la confidencialidad, la integridad y la disponibilidad de los datos personales tratados, de manera específica.
  • Que tanto las partes internas como las partes externas puedan evaluar la capacidad de la organización para cumplir con sus propios requisitos de privacidad, y puedan establecer las medidas de protección de los datos personales necesarias en sus interrelaciones.

Beneficios

Disponer de un Sistema de Gestión de los Datos Personales (SGDP) conforme a los requisitos de la norma ISO 27701 va a permitir:

  • Disponer de un mecanismo por el que la seguridad de los datos personales se gestiona de manera integrada con el Sistema de Gestión de la Seguridad de la Información de la organización.
  • Hacer uso de un catálogo de controles de privacidad que garantizan la protección específica de la disponibilidad, la integridad y la confidencialidad de los datos personales de manera estandarizada pero flexible.
  • Tener la garantía de que la seguridad de los datos personales tratados por la organización está gestionada, mantenida y operada de manera sistemática y orientada a su mejora continua.

Factores a tener en cuenta para la implantación de un SGDP conforme a la norma ISO 27701

  • El tamaño de la organización
  • El contexto de la organización
  • La existencia de un Sistema de Gestión de la Seguridad de la Información
  • Los datos personales afectados
  • Los controles de seguridad ya existentes y su nivel de madurez
  • Los controles de privacidad ya existentes y su nivel de madurez
  • Otros aspectos organizativos.

Fases del proceso de implantación de un SGDP conforme con la ISO 27701

Fase 1. Lanzar el proyecto

La implantación de un Sistema de Gestión de los Datos Personales debe contar con la implicación de la alta dirección de la organización, ya que su participación es requerida tanto a nivel de aprobación de la Política de Privacidad como a nivel de revisión de los resultados del SGDP, de manera equivalente a lo requerido por un SGSI conforme a la ISO 27001.

Fase 2. Delimitar el alcance del SGDP

La organización deberá analizar el alcance de su SGSI y determinar, a partir del contexto interno y externo que establece dicho SGSI, la existencia de partes interesadas concretas con intereses específicos en materia de privacidad.

Así mismo, deberá determinar la existencia de datos personales que sean tratados de algún modo dentro de la organización, y a partir de dicha existencia determinar las partes interesadas concretas que están afectadas por dichos tratamientos y sus requisitos específicos al respecto.

Fase 3. Ampliación del análisis de riesgos

Después habrá que llevar a cabo el análisis de riesgos de los tratamientos de datos personales. Para ello, a partir del análisis de riesgos ya existente como parte del SGSI, se identificarán los diferentes riesgos asociados a cada uno de los tratamientos de datos personales identificados en el alcance y se determinará su valor en términos de disponibilidad, integridad y confidencialidad, siguiendo la metodología de análisis de riesgos desarrollada como parte del SGSI.

Fase 4. Gestión de los riesgos de los datos personales

Posteriormente se determinará el nivel de riesgo que la organización considera aceptable para dichos tratamientos de datos personales, siguiendo la metodología de gestión de riesgos desarrollada como parte del SGSI, y se determinarán las acciones necesarias para tratarlos.

A continuación, se deberán definir los controles que es necesario implementar como consecuencia de la ejecución de las acciones que acabamos de definir. Esa relación de controles se elaborará a partir tanto del Anexo A de la ISO 27001 (cuya guía de implantación se recoge en la norma UNE-EN ISO/IEC 27002:2017) como sobre todo del propio contenido de la ISO 27701, que tanto en sus apartados 6 a 8 como en sus anexos A y B recoge medidas de privacidad específicas a desplegar para que el SGDP sea conforme a dicha norma.

Fase 6. Desarrollo del plan de tratamiento de riesgos

Una vez identificados los controles de privacidad que es necesario desplegar para reducir los riesgos excesivos identificados será necesario desarrollar el Plan de Tratamiento de Riesgos, una planificación específica de los proyectos de desarrollo y/o mejora de todos aquellos controles de privacidad que el uso de la ISO 27701 va a requerir, de manera adicional a los ya existentes como parte del SGSI.

Fase 7. Implantación del SGDP

A continuación, la organización llevará a cabo la implantación del SGDP propiamente dicha, desarrollando todos los proyectos previstos en el plan de tratamiento de riesgos para el despliegue de las medidas de privacidad previstas, y que podrán ser medidas de carácter organizativo, operativo o contractual, dependiendo del plan específico de cada organización.

Fase 8. Auditorías

Tras la finalización de los proyectos de implantación del SGDP se deberá llevar a cabo una auditoría interna, donde se evalúe el Sistema de Gestión de los Datos Personales y el grado de cumplimiento de los requisitos establecidos por la norma.

Fase 9. Operación y mantenimiento

La implantación de un SGDP supone la gestión continua de la seguridad de la privacidad de los datos personales en forma de sistema de gestión. Por lo tanto, la auditoría servirá para dar comienzo a un nuevo ciclo de gestión, donde se deberán reevaluar los riesgos, adaptar los controles de privacidad que se considere oportuno, y mantener mientras tanto todas las medidas de seguridad y privacidad establecidas para el tratamiento de datos personales en óptimas condiciones de funcionamiento, dando comienzo de este modo a un ciclo continuo de gestión y mejora de la privacidad.

¿Dónde recibir asesoramiento o contratar la adecuación a la ISO 27701?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

ISO 27701 en INCIBE:  https://www.incibe.es/protege-tu-empresa/blog/conoces-nueva-norma-gestion-privacidad

Compartir

Compartir en Linkedin