GDPR ve vztahu k ISO 27001

thumb

Mnoho společností si klade otázku, zda certifikace podle ISO 27001 znamená také soulad s nařízením GDPR (General Data Protection Regulation). Případně se obrací na odborníky s dotazy, jak postupovat při implementaci požadavků GDPR, jestliže již mají úspěšně zavedený systém informační bezpečnosti podle ISO 27001. Podívejte se společně s námi na podobnosti a rozdílnosti mezinárodního standardu a nařízení EU.

Standard ISO 27001 je celosvětově uznávaný a stále více společností zavádí systémy řízení podle jeho požadavků. Cílem je zajistit bezpečnost informací v širším úhlu pohledu. Na rozdíl od nařízení GDPR se totiž ISO 27001 nezaměřuje pouze na ochranu osobních údajů, ale na veškeré citlivé informace, ať již jde o osobní údaje, citlivá data společnosti nebo například partnerských organizací. Na druhou stranu, GDPR stanovuje některé požadavky pro ochranu osobních údajů, kterými se ISO 27001 nezabývá. Jedná se například o právo na informace, právo být zapomenut nebo mezinárodní předávání osobních údajů. Při porovnání a přístupu k osobním údajům jako k aktivům společnosti v rámci procesu implementace, dojdeme k závěru, že se obě dvě normy často překrývají.

Pokud mají společnosti nastavený systém podle ISO 27001, z velké části mají úpravu pro soulad s GDPR vyřešenou. Případně jim management podle ISO 27001 pomůže při implementaci a porovnání požadavků podle GDPR. K těm nejvýznamnějším patří:

Šifrování

ISO 27001 doporučuje šifrování jako jedno z opatření, které napomáhá eliminovat rozpoznaná rizika. Jedná se o jednu ze 114 kontrol, které mají podle ISO 27001:2013 napomáhat eliminaci bezpečnostních rizik. Otázka implementace kontrol v dané společnosti je prováděna na základě vyhodnocení rizik. Společnosti se systémem podle ISO 27001 mají rizika již identifikována a k nim přiřazena potřebná opatření, takže snadněji dosahují souladu s GDPR.

Důvěrnost, integrita a dostupnost informací

ISO 27001 uvádí jako jeden s klíčových principů standardu důvěrnost, integritu a dostupnost informací. Právě procesy spojené s otázkou důvěrnosti, integrity a dostupnosti pomohou organizaci s naplněním GDPR požadavků týkajících se práva na informace, opravu informací či případně i práva „být zapomenut“. Díky fungujícímu systému mohou společnosti snadněji definovat, kdo data spravuje, kde se nacházejí a jak je s nimi nakládáno, a tím pádem je dokážou bez obtíží dohledat.

Analýza rizik a jejich vyhodnocení

ISO 27001 ukládá společnosti povinnost provést analýzu rizik včetně jejich vyhodnocení pomocí identifikace hrozeb a zranitelnosti systému. Podle výsledků analýzy jsou následně stanovena opatření pro zachování důvěrnosti, integrity a dostupnosti informací. Na druhou stranu, ISO 27001 varuje před přílišnými bezpečnostními pravidly, která mohou společnost ochromit při dosahování cílů.

Business Continuity

ISO 27001 klade důraz na řízení business continutity. Standard uvádí kontroly, které pomáhají společnostem zajistit dostupnost informací v případě incidentů a mimořádných událostí. Díky kontrolám je zachována dostupnost informací v případě hrozeb a ochráněny klíčové procesy před následky mimořádných událostí.

Soulad s právní úpravou

ISO 27001 požaduje při implementaci soulad s relevantní právní úpravou, kam spadá i legislativa EU, tudíž i nařízení GDPR.

Oznamovací povinnost

Podle GDPR mají organizace povinnost oznámit bezpečností incident do 72 hodin po jeho odhalení. ISO 27001 uvádí v rámci nastavení systému oznamovací povinnost v případě bezpečnostních událostí a zaměřuje se na oznamovací povinnost vůči relevantním orgánům. GDPR stanovuje oznamovací povinnost také vůči subjektům údajů, pokud se jedná o data s vysokou mírou rizika pro práva a svobody subjektů.

Testování a hodnocení

Společnosti certifikované podle ISO 27001 mají systém bezpečnosti informací hodnocen nezávislým akreditovaným certifikačním orgánem, takže mají jistotu, že jejich systém splňuje podmínky definované mezinárodním standardem. Systém prochází pravidelnými kontrolami a hodnocením, takže nemusí mít obavy ze zastaralosti opatření a nastavení.

Výhodou, kterou přináší certifikace podle ISO 27001 je i proškolení odpovědných pracovníků a jejich podpora při zavádění systémů řízení podle ISO 27001, případně potřebných opatření pro soulad s GDPR.

Pokud se podíváme na ISO 27001 v porovnání s GDPR, nabízí ISO 27001 skvělý rámec pro soulad s evropským nařízením pro ochranu osobních údajů. Společnosti mající systém podle ISO 27001 mají již minimálně polovinu požadavků kladených GDPR splněnou.

Nastavení systému je v každé společnosti individuální, proto je vhodné a začátku provést delta analýzu pro zjištění potřebných doplňků k zavedenému systému. Na základě vyhodnocení pak dojde k implementaci opatření do systému řízení, aby bylo vše v souladu s GDPR.

Potřebujete poradit s nastavením systému? Proškolit zaměstnance v oblasti GDPR? Realizovat delta analýzu ISO 27001 a GDPR? Kontaktujte nás a společně připravíme nejvhodnější řešení, abyste byli včas připraveni na účinnosti GDPR. Podívejte se také na naše kurzy.

Nezapomeňte, že 8. 6. od 14:00 se koná webinář GDPR, který vám přinášíme jako dárek a je zdarma.