Skip to main content

ISO 27701

Norentzat?

ISO 27701 araua edozein erakunde publiko edo pribaturi aplikatzen zaio, handi zein txiki, baldin eta pribatutasuna eta informazioaren segurtasuna modu integratuan kudeatu nahi baditu, nazioarteko estandar batek zehaztutakoari jarraikiz.

Zer da?

ISO/IEC 27701:2019 araua nazioarteko estandar bat da, eta ezartzen du erakunde batek zer baldintza bete behar dituen pribatutasun-informazioa (datu pertsonalak) behar bezala kudeatzeko, guztia ere informazioaren segurtasuna kudeatzeko ISO 27001 eta ISO 27002 arauetan ezarritako printzipioekin bat etorriz. Arau horrek hainbat alderdi ezartzen ditu:

  • Kudeaketa-sistemari dagokionez bete beharreko eskakizun orokorrak, pribatutasun-informazioaren kudeaketa PDCA (Plan-Do-Check-Act) zikloaren edo Deming zikloaren bidez egin dadin eta, orobat, etengabe ezarri, inplementatu eta hobetu dadin, halaxe lortuko baita ISO 27001 arauak pribatutasun-informazioaren esparruan informazioaren segurtasuna oro har kudeatzeko ezartzen dituen eskakizunak zabaltzea.
  • Gida espezifiko bat, zeinean jasoko baita zer pribatutasun-neurri proposatzen dituen ISO 27002 arauak eta ISO 27001 arauaren A eranskinak segurtasun-kontrolen gainean garatzeko eta segurtasun-neurri horiek pribatutasunaren ikuspuntutik zabaltzeko.

Hori horrela, arauak hainbat oinarri ezartzen ditu, edozein erakundek datu pertsonalen konfidentzialtasuna, osotasuna eta erabilgarritasuna gorde ahal izan ditzan, betiere informazioaren segurtasuna kudeatzeko sistemarekin integratuta, eta, ildo horretan, prozesu jarraitu bat ezartzen du tratatutako datu pertsonalak berariaz estaliko dituen informazioaren segurtasun-arriskuak kudeatzeko.

Helburuak

ISO 27701 estandarraren helburuak honako puntu hauetan laburbil daitezke:

  • Gutxienez bete beharreko baldintzak ezartzea, edozein erakundek datu pertsonalen babesa modu integratuan eta informazioaren segurtasunarekin etengabe ezartzeko, inplementatzeko, mantentzeko eta hobetzeko.
  • Alderdi interesdun guztiei konfiantza ematea, datu pertsonalen segurtasunaren arriskuak behar bezala kudeatzeko.
  • Berariaz tratatutako datu pertsonalen konfidentzialtasuna, osotasuna eta erabilgarritasuna zaintzea.
  • Barneko zein kanpoko alderdiek ebaluatu ahal izatea erakundeak bere pribatutasun-baldintzak betetzeko duen gaitasuna, eta elkarren arteko harremanetan beharrezkoak diren datu pertsonalak babesteko neurriak ezarri ahal izatea.

Onurak

ISO 27701 arauaren betekizunak errespetatzen dituen datu pertsonalak kudeatzeko sistema bat edukitzeari esker:

  • Mekanismo bat eduki ahalko da, datu pertsonalen segurtasuna erakundeko informazioaren segurtasuna kudeatzeko sistemarekin modu integratuan kudeatzeko.
  • Pribatutasun-kontrolen katalogo bat baliatzea, datu pertsonalen erabilgarritasuna, osotasuna eta konfidentzialtasuna modu estandarizatu baina malguan babesteko.
  • Erakundeak tratatutako datu pertsonalen segurtasuna sistematikoki kudeatzen, mantentzen eta gauzatzen dela bermatzea, eta, horri esker, segurtasuna etengabe hobetzea.

Kontuan hartu beharreko faktoreak, datu pertsonalak kudeatzeko sistema bat ISO 27701 arauaren arabera ezartzeko

  • Erakundearen tamaina
  • Erakundearen testuingurua
  • Informazioaren segurtasuna kudeatzeko sistema bat izatea.
  • Eragindako datu pertsonalak
  • Lehendik dauden segurtasun-kontrolak eta horien heldutasun-maila
  • Lehendik dauden pribatutasun-kontrolak eta horien heldutasun-maila
  • Beste antolaketa-alderdi batzuk.

Datu pertsonalak kudeatzeko sistema bat ISO 27701ren arabera ezartzeko prozesuaren faseak

1. fasea. Proiektua abiaraztea

Datu pertsonalak kudeatzeko sistema bat ezartzeko, beharrezkoa da erakundeko goi-zuzendaritza inplikaturik egotea; izan ere, nahitaezkoa da haiek parte hartzea, bai pribatutasun-politika onartzeari dagokionez, bai datu pertsonalak kudeatzeko sistemaren emaitzak berrikusteari dagokionez, informazioaren segurtasuna kudeatzeko sistema batek ISO 27001 arauaren arabera eskatzen duenaren ildo beretik.

2. fasea. Datu pertsonalak kudeatzeko sistemaren irismena mugatzea

Erakundeak bere informazioaren segurtasuna kudeatzeko sistemaren irismena aztertu beharko du, eta, sistema horrek ezartzen duen barneko eta kanpoko testuingurutik abiatuta, zehaztu beharko du alderdi interesdunek zer interes espezifiko ote dituzten pribatutasunaren arloan.

Era berean, erakundearen barruan nolabait tratatzen diren datu pertsonalak dauden ala ez zehaztu beharko du, eta, egoera horretatik abiatuta, tratamendu horien eraginpean dauden alderdi interesdun zehatzak eta horien betekizun espezifikoak definitu beharko ditu.

3. fasea. Arriskuen analisia zabaltzea

Ondoren, datu pertsonalen tratamenduen arriskuak aztertu beharko dira. Horretarako, informazioaren segurtasuna kudeatzeko sistemaren zati gisa lehendik dagoen arriskuen azterketatik abiatuta, irismenean identifikatutako datu pertsonalen tratamendu bakoitzari lotutako arriskuak identifikatuko dira, eta haien balioa zehaztuko da erabilgarritasunari, osotasunari eta konfidentzialtasunari dagokienez, informazioaren segurtasuna kudeatzeko sistemaren zati gisa garatutako arriskuen analisirako metodologiari jarraikiz.

4. fasea. Datu pertsonalen arriskuak kudeatzea

Ondoren, erakundeak datu pertsonalen tratamendu horietarako onargarritzat jotzen duen arrisku-maila zehaztuko da, informazioaren segurtasuna kudeatzeko sistemaren barruan arriskuak kudeatzeko garatutako metodologiari jarraituz. Hala, horiek tratatzeko beharrezko ekintzak definituko dira.

Jarraian, zehaztu berri ditugun ekintzak gauzatzearen ondorioz zer kontrol inplementatu behar diren adieraziko da. Kontrolen zerrenda hori egiteko, kontuan hartuko dira, batetik, ISO 27001 arauaren A eranskinean (haren ezarpen-gida UNE-EN ISO/IEC 27002:2017 arauan dago jasota) jasotako alderdiak eta, batez ere, ISO 27701 arauaren edukian bertan oinarrituta egingo da (eranskin horren 6. ataletik 8. atalera bitartean eta A eta B eranskinetan, datu pertsonalak kudeatzeko sistema arau horrekin bat etor dadin hedatu beharreko pribatutasun-neurri espezifikoak jasotzen dira).

6. fasea. Arriskuak tratatzeko plana garatzea

Identifikatutako gehiegizko arriskuak murrizteko hedatu behar diren pribatutasun-kontrolak identifikatu ondoren, garatu beharrekoak izango dira arriskuak tratatzeko plana, ISO 27701 sistema erabiltzeak eskatuko dituen pribatutasun-kontrol guztien garapen- eta/edo hobekuntza-proiektuen plangintza espezifikoa, eta, horretaz gainera, informazioaren segurtasuna kudeatzeko sisteman aurreikusitako kontrolak.

7. fasea. Datu pertsonalak kudeatzeko sistema ezartzea

Jarraian, datu pertsonalak kudeatzeko sistema bera ezarriko du erakundeak, eta aurreikusitako pribatutasun-neurriak hedatzeko arriskuen tratamendu-planean aurreikusitako proiektu guztiak garatuko ditu. Neurri horiek izan daitezke antolamenduarekin, eragiketarekin edo kontratuekin lotuak, erakunde bakoitzaren berariazko planaren arabera.

8. fasea. Auditoretzak

Datu pertsonalak kudeatzeko sistema ezartzeko proiektuak amaitu ondoren, barne-auditoretza bat egin beharko da, datu pertsonalak kudeatzeko sistema ebaluatzeko eta arauak ezarritako baldintzen betetze-maila zehazteko.

9. fasea. Eragiketa eta mantentze-lanak

Datu pertsonalak kudeatzeko sistema bat ezartzeak esan nahi du etengabe kudeatzea datu pertsonalen pribatutasunaren segurtasuna, kudeaketa-sistema gisa. Beraz, auditoretzak kudeaketa-ziklo berri bati hasiera emateko izango dira. Ziklo horretan, arriskuak berriz ebaluatu beharko dira, egokitzat jotzen diren pribatutasun-kontrolak egokitu beharko dira, eta, bien bitartean, datu pertsonalen tratamendurako ezarritako segurtasun- eta pribatutasun-neurri guztiak funtzionamendu-baldintza egokietan mantendu beharko dira; halaxe lortuko da pribatutasuna kudeatzeko eta hobetzeko etengabeko ziklo bati ekitea.

Non jaso aholkularitza ISO 27701 araura egokitzeko edo non kontratatu?

Basque Cybersecurity Centrek (BCSC) Euskadiko zibersegurtasunaren liburu zuria jarri du erakunde publikoen eta enpresa pribatuen eskura. Dokumentu horrek gure tokiko ekosistemaren ikuspegi orokorra jasotzen du hainbat ikuspegi kontuan hartuta, hala nola berrikuntza, ikerketa, ekintzailetza eta abar. Era berean, mota horretako zerbitzuak eskaintzen dituzten zibersegurtasun-hornitzaileen katalogoa jasotzen du, zerbitzu horiek eskatzeko interesa duten erakundeek erreferentzia-puntu bat izan dezaten eta, hala, lagungarri izan dakien erabakiak hartzerakoan.

Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa balio du; zerrenda bizia da, eta aldian-aldian berrikusten eta eguneratzen da, zerbitzuen digitalizazioan eta sortzen diren aukeretan izandako etengabeko bilakaera eta aurrerapena kontuan hartuta.

BCSC Liburu Zuria

Erreferentziak

ISO 27701 araua INCIBEn:  https://www.incibe.es/protege-tu-empresa/blog/conoces-nueva-norma-gestion-privacidad