SlideShare una empresa de Scribd logo

GUÍA IMPLEMENTACIÓN ISO 27701.docx

Descargar como DOCX, PDF
N
NellyMoya1

La norma ISO 27701 proporciona orientación para que las organizaciones implementen un Sistema de Gestión de la Información sobre la Privacidad (PIMS) que garantice el cumplimiento de los requisitos de privacidad. La norma se basa en la ISO 27001 sobre seguridad de la información y añade requisitos y controles de privacidad específicos. Las organizaciones que ya tienen un Sistema de Gestión de Seguridad de la Información (SGSI) certificado según la ISO 27001 pueden ampliar su alcance e incluir los controles de privac

Tecnología
1 de 12
GUÍA IMPLEMENTACIÓN ISO 27701 Gestión de la información personal con la norma ISO/IEC 27701 Desde 2016 y en un periodo de tiempo relativamente corto, se ha aprobado una moderna legislación de protección de datos en muchos países del mundo. La más notable es el Reglamento General de Protección de Datos (RGPD) de la UE, que ha dado forma a los requisitos para que las organizaciones garanticen los derechos de los interesados al procesar sus datos personales. La relativa rapidez con la que se ha establecido esta legislación ha dejado a algunas organizaciones incapaces de responder adecuadamente, y se han producido infracciones muy publicitadas. A pesar del despliegue bien señalado del RGPD, éste no proporciona orientación específica sobre las medidas que deben adoptarse para garantizar el cumplimiento de sus requisitos. Además, las normas existentes no cuentan, en la mayoría de los casos, con un conjunto de cláusulas o controles lo suficientemente sólido como para garantizar que la privacidad de los datos se aborde en su totalidad mediante la aplicación de sistemas de gestión. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) han desarrollado la norma ISO 27701 con el fin de proporcionar la orientación necesaria para que las empresas aborden de forma eficaz la privacidad de los datos y garanticen que la brecha entre los requisitos de los sistemas de gestión existentes y las legislaciones mundiales sobre privacidad de los datos se reduzca efectivamente.
RGPD - UNA VISIÓN GENERAL DE LA LEGISLACIÓN El RGPD fue adoptado por la UE en abril de 2016 y sustituyó a la Directiva 95/46/CE sobre protección de datos. Esta nueva legislación ha iniciado obligaciones para cualquier organización con responsabilidades de procesamiento de datos, y es aplicable también a organizaciones fuera de la UE. Ha armonizado la legislación sobre privacidad en todo el EEE. Cualquier entidad no perteneciente a la UE que ofrezca bienes o servicios a personas situadas en la UE también está obligada a cumplir los requisitos del RGPD. Las empresas y organizaciones con requisitos de tratamiento de datos personales considerables se ven especialmente afectadas y garantizar la conformidad con la legislación es primordial. Las organizaciones deben tener una base legal para el tratamiento de los datos personales y sólo los tratan con un fin determinado. Las personas tienen derecho a solicitar una copia de todos los datos que se conservan sobre ellas, incluyendo una explicación de cómo se utilizan dichos datos y si terceros tienen acceso a ellos. Las personas pueden solicitar que su perfil de datos se transmita a otro procesador de datos; además, las personas también tienen derecho a retirar el consentimiento para el tratamiento y a solicitar que se borren los datos que ya no son necesarios. Las organizaciones y personas que tratan datos personales están ahora obligadas a establecer controles de
seguridad adecuados para garantizar la confidencialidad de los datos que poseen o tratan. Los datos personales pueden transferirse fuera de la UE, pero sólo a países que se considere que tienen una legislación adecuada para preservar los derechos de los interesados de la UE. Las notificaciones de violaciones de datos deben presentarse a la autoridad supervisora; en el caso del Reino Unido, se trata de la Oficina de Comisionados de Información (ICO) en un plazo de 72 horas desde que se reconoce la existencia de una violación. La ICO es la autoridad independiente del Reino Unido creada para defender los derechos de la información en el interés público, promoviendo la apertura de los organismos públicos y la privacidad de los datos de los individuos. ¿Qué es la ISO 27701 y por qué es necesaria? Al igual que ocurre con muchas legislaciones sobre privacidad en todo el mundo, hay muy poca orientación sobre cómo implementar procesos para cumplir con el GDPR. La norma ISO 27701:2019 es una extensión de la norma internacional de gestión de la seguridad de la información, ISO 27001 (ISO 27701 Técnicas de seguridad - Extensión a la ISO 27001 e ISO 27002 para la gestión de la información sobre la privacidad - Requisitos y directrices). La norma ISO 27701 detalla los requisitos y ofrece la orientación necesaria para el establecimiento, la implantación,
el mantenimiento y la mejora de un Sistema de Gestión de la Información sobre la Privacidad (PIMS). La norma se basa en los requisitos, los objetivos de control y los controles de la norma ISO 27001, e incluye un conjunto de requisitos de privacidad, controles y objetivos de control. Los conceptos de seguridad de la información son familiares para las organizaciones que ya tienen un Sistema de Gestión de la Seguridad de la Información (SGSI) operativo. El nuevo PIMS garantizará que las organizaciones dispongan de una gobernanza de datos completa y universalmente aplicable que se ajuste directamente a los requisitos legislativos de sus jurisdicciones. La norma se redactó con la aportación de expertos y autoridades de protección de datos de todo el mundo, incluido el Consejo Europeo de Protección de Datos. Se han tenido en cuenta las legislaciones de protección de datos de todos los continentes. Se aproxima al RGPD y cada cláusula se corresponde con los artículos correspondientes del mismo. Pero la ISO 27701 no es específica al RGPD, es una norma mundial. Y representa el estado del arte en términos de protección de la privacidad. Las organizaciones que la apliquen demostrarán un enfoque proactivo de la protección de los datos personales. Basada en la ISO 27001
La ISO 27701 difiere ligeramente en que la norma requiere un sistema de gestión existente al que adherirse. No todas las cláusulas y controles son aplicables en todos los casos. Los requisitos de la norma se dividen en los cuatro grupos siguientes: 1. Los requisitos del PIMS relacionados con la norma ISO 27001 se describen en la cláusula 5 2. Los requisitos del PIMS relacionados con la norma ISO 27002 se describen en la cláusula 6 3. Las orientaciones del PIMS para los responsables del tratamiento de la Información Personalmente Identificable (IPI) se describen en la cláusula 7 4. Las orientaciones del PIMS para los encargados del tratamiento de la información de identificación personal se describen en la cláusula 8 Además, los controles aplicables se describen en los anexos del cuerpo principal de la norma. Lo siguiente puede servir de guía para la relevancia: 1. En el anexo A se enumeran todos los controles aplicables a los encargafos del tratamiento de la información pública. 2. En el anexo B se enumeran todos los controles aplicables a los responsables del tratamiento de la información de identificación personal. 3. El anexo C relaciona las disposiciones de la norma ISO 27701 con la norma ISO 29100. 4. El anexo D relaciona las disposiciones de la norma ISO 27701 con el RGPD. 5. El anexo E relaciona las disposiciones de la norma ISO 27701 con las normas ISO 27018 e ISO 29151.
6. El Anexo F proporciona una guía para aplicar la ISO 27701 a la ISO 27001 y a la ISO 27002. En la mayoría de los casos, las organizaciones que ya cuentan con la certificación ISO 27001 deberían empezar por el anexo F para entender cómo encaja la aplicación del PIMS en su actual SGSI ISO 27001. Este anexo hace referencia a tres casos de aplicación de la norma:  Aplicación de las normas de seguridad tal cual  Adiciones a las normas de seguridad  Perfeccionamiento de las normas de seguridad Las cláusulas 5 a 8 del PIMS amplían los requisitos de la norma ISO 27001 para incorporar consideraciones relativas a la información de identificación personal. La cláusula 5 proporciona una orientación específica para el PIMS en relación con los requisitos de seguridad de la información de la norma ISO 27001 adecuados para una organización que actúa como controlador o procesador de la IIP. Las organizaciones deben implementar una Declaración de Aplicabilidad (SoA) del PIMS que esté influenciada por si son un controlador o un procesador (o ambos). Las organizaciones pueden crear un SGSI-PIMS combinado y ampliar su SdA del SGSI para incluir los controles del PIMS. Anexo A + Cláusula 6 = 37 controles reforzados Anexo A + Cláusula 7 = 31 nuevos controles para los controladores Anexo A - Cláusula 8 = 18 nuevos controles para los transformadores
Consideraciones adicionales A continuación se detallan las consideraciones adicionales dentro de la cláusula 5 de la norma ISO 27701 que pueden observarse como extra a los requisitos existentes del SGSI: 5.1 Los requisitos de la norma ISO 27001 deben ampliarse a la protección de la privacidad, ya que puede verse afectada por el tratamiento de la información de identificación personal. Un vistazo al Anexo F proporciona una tabla que da una indicación visual de cómo será esto. 5.2.1 Un requisito adicional a la cláusula 4.1 de la ISO 27001 es señalar que una organización determinará su papel como controlador y/o procesador de PII. Además, es necesario indicar los factores externos e internos que son relevantes para el contexto y que afectan a la capacidad de lograr los resultados de su PIMS. Esto incluye cualquier adhesión a la legislación pertinente que ya esté en vigor como una consideración dentro del SGSI existente o los requisitos contractuales que hasta ahora habían sido identificados en diferentes cláusulas o controles del anexo dentro de la norma ISO 27001. Cuando una organización tenga identificadas las funciones de controlador de la IPS y de procesador de la IPS, deberán determinarse funciones separadas, cada una de las cuales estará sujeta a un conjunto de controles distinto. 5.2.2 Una consideración adicional a la cláusula 4.2 de la ISO 27001 es el requisito de incluir a las partes interesadas con responsabilidades asociadas al procesamiento de la información personal. Esto puede incluir a los clientes, lo cual, de nuevo, no es algo que se haya considerado previamente en un SGSI ISO 27001. Además, los requisitos que son relevantes para el procesamiento de la información personal pueden ser determinados por los requisitos legales, las obligaciones contractuales o los objetivos auto-identificados.
5.2.3 El alcance del SGSI es requerido por la cláusula 4.3 de la norma ISO 27001. Los factores adicionales de PIMS para el alcance incluyen una organización que incluye el procesamiento de PII. La determinación del alcance del PIMS, por lo tanto, puede requerir una revisión del SGSI debido a la ampliación de la interpretación de lo que constituye la seguridad de la información en la cláusula 5.1 de la norma ISO 27701. 5.2.4 Además de la cláusula 4.4 de la norma ISO 27001, se requiere que una organización establezca, implemente, mantenga y mejore continuamente un PIMS de acuerdo con los requisitos de las cláusulas 4 a 10 de la norma ISO 27001:2013, ampliados por los requisitos de la cláusula 5. 5.3 Dentro de la norma ISO 27001, se requiere que las organizaciones demuestren su compromiso con el SGSI a través de iniciativas de liderazgo y la creación de políticas, funciones y responsabilidades y orientación. Del mismo modo, el PIMS requiere una aportación similar por parte de la alta dirección junto con las interpretaciones específicas del PIMS, tal y como se indica en el punto 5.1 de la norma ISO 27701, que cubre todos los aspectos reflejados en la cláusula 5 del SGSI. 5.4.1 Los requisitos de la norma ISO 27001 para abordar los riesgos y las oportunidades requieren un aumento con las consideraciones de la cláusula 5.1 de la norma ISO 27701. Además, las evaluaciones de riesgo de la seguridad de la información identificadas en la norma ISO 27001 son aplicables con los siguientes requisitos adicionales: 1. La organización aplicará el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad, dentro del ámbito del PIMS.
2. La organización aplicará el proceso de evaluación del riesgo para la privacidad para identificar los riesgos relacionados con el tratamiento de la información de identificación personal, dentro del ámbito del PIMS. 3. La organización se asegurará, a lo largo de los procesos de evaluación de riesgos, de que la relación entre la seguridad de la información y la protección de la información personal se gestiona adecuadamente. Puede tratarse de un proceso integrado de evaluación de riesgos o de procesos paralelos que se controlan por separado; esto depende totalmente de la organización para determinarlo. Además, la cláusula 6.1.2.d de la ISO 27001 se ha perfeccionado para incluir una evaluación de las posibles consecuencias, tanto para la organización como para los responsables de la información personal, que se producirían si se materializaran los riesgos identificados durante el apartado 6.1.2.c (ISO 27001). También se tiene en cuenta la Declaración de Aplicabilidad que habría generado la organización al implantar el SGSI ISO 27001. Como una organización se habría encontrado con un enfoque de "optar y justificar" para producir el SoA en primera instancia, al igual que para el PIMS, no todos los objetivos de control y
Los controles enumerados en las zonas del anexo deben incluirse durante la aplicación del PIMS. Se puede justificar la exclusión de los controles que no se consideren necesarios. 5.4.2 Deben tenerse en cuenta los objetivos de seguridad de la información del SGSI de la organización, de la cláusula 6.2, aumentados por la interpretación de la cláusula 5.1 de la norma ISO 27701. 5.5 Las consideraciones de apoyo de la ISO 27001 en la cláusula 7 son aplicables junto con la interpretación adicional especificada en la ISO 27701 cláusula 5.1. 5.6 Las consideraciones operativas de la norma ISO 27001 en su cláusula 8, incluida la planificación del tratamiento de riesgos, son igualmente exigidas por la norma ISO 27701, junto con información adicional que se identifica al abordar la cláusula 5.1 de esta última norma. 5.7/5.8 Del mismo modo, las consideraciones sobre el seguimiento, la medición y la mejora que están presentes en un SGSI existente requieren un aumento de las consideraciones dadas en la cláusula 5.1 de la norma ISO 27701. Los procesos identificados anteriormente indican que la cláusula 5.1 de la nueva norma es un punto clave para la implantación de un PIMS. La ampliación de la protección de la privacidad para el tratamiento de la información de identificación personal es un elemento clave para la aplicación. Orienta las consideraciones que deben tenerse en cuenta a la hora de abordar las demás áreas de la cláusula de la norma ISO 27701. La siguiente tabla ofrece un resumen sencillo de la información de la página anterior:
Cláusula ISO 27001 Extensión ISO 27701 5.1 5.2 5.3 7.1 7.4 Compromiso de alto nivel para la política de privacidad y la integración del PIMS en el SGSI, incluyendo 1. Contratación/establecimiento de funciones 2. Comunicación (interna/externa) 3. Resultados previstos 4. Control y orientación 5. Mejora continua del PIMS 6.2 Objetivos de PIMS/Privacidad 7.2 Perfiles de competencia de las personas asignadas a las funciones de privacidad 7.3 Conocimiento de la política del PIMS y de cómo el personal contribuye al establecimiento y la mejora del sistema 7.5 Documentación para el PIMS con consideraciones adicionales sobre la información y documentación no orgánica de la organización. 8.1 Activación del tratamiento de riesgos del PIMS 8.2 Proceso de evaluación de riesgos del PIMS
Cláusula ISO 27001 Extensión ISO 27701 8.3 Plan de tratamiento de riesgos del PIMS, incluidas las modificaciones de los registros de riesgos existentes 9.1 9.2 9.3 Rendimiento del PIMS y análisis de la eficacia del PIMS, incluyendo: 1. Auditoría interna 2. Revisión por la dirección 10 Consideraciones sobre la mejora continua del PIMS

Recomendados

Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
Irekia - EJGV
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptxISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
diegofelipealarconma
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Nunsys S.L.
 

Recomendados

Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...Guía del Reglamento General de Protección de Datos para responsables de trata...
Guía del Reglamento General de Protección de Datos para responsables de trata...
Irekia - EJGV
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
Diego Cueva Córdova
 
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptxISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
ISO_27701_-_Ver_27_Jun_2022_-_Curso_Veris.pptx
diegofelipealarconma
 
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con NunsysAdaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Adaptación al Nuevo Reglamento Europeo de Protección de Datos con Nunsys
Nunsys S.L.
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
Ivan Cabrera
 
Iso27001
Iso27001Iso27001
Iso27001
guest4740865e
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
ISOTools Excellence
 
ii
iiii
ii
Vero Gonzalez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Auditoria
AuditoriaAuditoria
Auditoria
xxgiancarloxx
 
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Cristian J. Barba
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
Pedhro Acuario
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Pedhro Acuario
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
abc000123
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
Hector Chajón
 
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADIMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
AJYSCORP
 
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 

Más contenido relacionado

Similar a GUÍA IMPLEMENTACIÓN ISO 27701.docx

Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
Ivan Cabrera
 
Iso27001
Iso27001Iso27001
Iso27001
guest4740865e
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
ISOTools Excellence
 
ii
iiii
ii
Vero Gonzalez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Auditoria
AuditoriaAuditoria
Auditoria
xxgiancarloxx
 
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Cristian J. Barba
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
Pedhro Acuario
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Pedhro Acuario
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
abc000123
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
Hector Chajón
 
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADIMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
AJYSCORP
 

Similar a GUÍA IMPLEMENTACIÓN ISO 27701.docx (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
 
Iso27001
Iso27001Iso27001
Iso27001
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
ii
iiii
ii
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
Derecho taller no.1 segundo_parcial_barba caceres lovato_estándares y normas ...
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDADIMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
IMPLEMENTACION DE SGSST ISO 45001 SEGURIDAD
 

Último

PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
70244530
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
Paola De la Torre
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
giampierdiaz5
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
leia ereni
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
gisellearanguren1
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
yuberpalma
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
MiguelAtencio10
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
luiscohailatenazoa0
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
AbrahamCastillo42
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
AngelCristhianMB
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
YaniEscobar2
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 

Último (20)

PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdfPLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
PLAN DE MANTENMIENTO preventivo de un equipo de computo.pdf
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
Flows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos FeaturesFlows: Mejores Prácticas y Nuevos Features
Flows: Mejores Prácticas y Nuevos Features
 
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdfPresentación Seguridad Digital Profesional Azul Oscuro (1).pdf
Presentación Seguridad Digital Profesional Azul Oscuro (1).pdf
 
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIAMONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
MONOGRAFIA memoria RAM.docx trabajo DE TECNOLOGIA
 
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANOREVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
REVISTA TECNOLOGICA PARA EL DESARROLLO HUMANO
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf625204013-64-Camino-a-----La-Lectura.pdf
625204013-64-Camino-a-----La-Lectura.pdf
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
Mantenimiento de sistemas eléctricos y electrónicosarticles-241712_recurso_6....
 
La Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docxLa Inteligencia Artificial en la actualidad.docx
La Inteligencia Artificial en la actualidad.docx
 
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)
 
mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDADEXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
EXAMEN DE TOPOGRAFIA RESUELTO-2017 CURSO DE UNIVERSIDAD
 
computacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADOcomputacion global 3.pdf pARA TERCER GRADO
computacion global 3.pdf pARA TERCER GRADO
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 

GUÍA IMPLEMENTACIÓN ISO 27701.docx

  • 1. GUÍA IMPLEMENTACIÓN ISO 27701 Gestión de la información personal con la norma ISO/IEC 27701 Desde 2016 y en un periodo de tiempo relativamente corto, se ha aprobado una moderna legislación de protección de datos en muchos países del mundo. La más notable es el Reglamento General de Protección de Datos (RGPD) de la UE, que ha dado forma a los requisitos para que las organizaciones garanticen los derechos de los interesados al procesar sus datos personales. La relativa rapidez con la que se ha establecido esta legislación ha dejado a algunas organizaciones incapaces de responder adecuadamente, y se han producido infracciones muy publicitadas. A pesar del despliegue bien señalado del RGPD, éste no proporciona orientación específica sobre las medidas que deben adoptarse para garantizar el cumplimiento de sus requisitos. Además, las normas existentes no cuentan, en la mayoría de los casos, con un conjunto de cláusulas o controles lo suficientemente sólido como para garantizar que la privacidad de los datos se aborde en su totalidad mediante la aplicación de sistemas de gestión. La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (CEI) han desarrollado la norma ISO 27701 con el fin de proporcionar la orientación necesaria para que las empresas aborden de forma eficaz la privacidad de los datos y garanticen que la brecha entre los requisitos de los sistemas de gestión existentes y las legislaciones mundiales sobre privacidad de los datos se reduzca efectivamente.
  • 2. RGPD - UNA VISIÓN GENERAL DE LA LEGISLACIÓN El RGPD fue adoptado por la UE en abril de 2016 y sustituyó a la Directiva 95/46/CE sobre protección de datos. Esta nueva legislación ha iniciado obligaciones para cualquier organización con responsabilidades de procesamiento de datos, y es aplicable también a organizaciones fuera de la UE. Ha armonizado la legislación sobre privacidad en todo el EEE. Cualquier entidad no perteneciente a la UE que ofrezca bienes o servicios a personas situadas en la UE también está obligada a cumplir los requisitos del RGPD. Las empresas y organizaciones con requisitos de tratamiento de datos personales considerables se ven especialmente afectadas y garantizar la conformidad con la legislación es primordial. Las organizaciones deben tener una base legal para el tratamiento de los datos personales y sólo los tratan con un fin determinado. Las personas tienen derecho a solicitar una copia de todos los datos que se conservan sobre ellas, incluyendo una explicación de cómo se utilizan dichos datos y si terceros tienen acceso a ellos. Las personas pueden solicitar que su perfil de datos se transmita a otro procesador de datos; además, las personas también tienen derecho a retirar el consentimiento para el tratamiento y a solicitar que se borren los datos que ya no son necesarios. Las organizaciones y personas que tratan datos personales están ahora obligadas a establecer controles de
  • 3. seguridad adecuados para garantizar la confidencialidad de los datos que poseen o tratan. Los datos personales pueden transferirse fuera de la UE, pero sólo a países que se considere que tienen una legislación adecuada para preservar los derechos de los interesados de la UE. Las notificaciones de violaciones de datos deben presentarse a la autoridad supervisora; en el caso del Reino Unido, se trata de la Oficina de Comisionados de Información (ICO) en un plazo de 72 horas desde que se reconoce la existencia de una violación. La ICO es la autoridad independiente del Reino Unido creada para defender los derechos de la información en el interés público, promoviendo la apertura de los organismos públicos y la privacidad de los datos de los individuos. ¿Qué es la ISO 27701 y por qué es necesaria? Al igual que ocurre con muchas legislaciones sobre privacidad en todo el mundo, hay muy poca orientación sobre cómo implementar procesos para cumplir con el GDPR. La norma ISO 27701:2019 es una extensión de la norma internacional de gestión de la seguridad de la información, ISO 27001 (ISO 27701 Técnicas de seguridad - Extensión a la ISO 27001 e ISO 27002 para la gestión de la información sobre la privacidad - Requisitos y directrices). La norma ISO 27701 detalla los requisitos y ofrece la orientación necesaria para el establecimiento, la implantación,
  • 4. el mantenimiento y la mejora de un Sistema de Gestión de la Información sobre la Privacidad (PIMS). La norma se basa en los requisitos, los objetivos de control y los controles de la norma ISO 27001, e incluye un conjunto de requisitos de privacidad, controles y objetivos de control. Los conceptos de seguridad de la información son familiares para las organizaciones que ya tienen un Sistema de Gestión de la Seguridad de la Información (SGSI) operativo. El nuevo PIMS garantizará que las organizaciones dispongan de una gobernanza de datos completa y universalmente aplicable que se ajuste directamente a los requisitos legislativos de sus jurisdicciones. La norma se redactó con la aportación de expertos y autoridades de protección de datos de todo el mundo, incluido el Consejo Europeo de Protección de Datos. Se han tenido en cuenta las legislaciones de protección de datos de todos los continentes. Se aproxima al RGPD y cada cláusula se corresponde con los artículos correspondientes del mismo. Pero la ISO 27701 no es específica al RGPD, es una norma mundial. Y representa el estado del arte en términos de protección de la privacidad. Las organizaciones que la apliquen demostrarán un enfoque proactivo de la protección de los datos personales. Basada en la ISO 27001
  • 5. La ISO 27701 difiere ligeramente en que la norma requiere un sistema de gestión existente al que adherirse. No todas las cláusulas y controles son aplicables en todos los casos. Los requisitos de la norma se dividen en los cuatro grupos siguientes: 1. Los requisitos del PIMS relacionados con la norma ISO 27001 se describen en la cláusula 5 2. Los requisitos del PIMS relacionados con la norma ISO 27002 se describen en la cláusula 6 3. Las orientaciones del PIMS para los responsables del tratamiento de la Información Personalmente Identificable (IPI) se describen en la cláusula 7 4. Las orientaciones del PIMS para los encargados del tratamiento de la información de identificación personal se describen en la cláusula 8 Además, los controles aplicables se describen en los anexos del cuerpo principal de la norma. Lo siguiente puede servir de guía para la relevancia: 1. En el anexo A se enumeran todos los controles aplicables a los encargafos del tratamiento de la información pública. 2. En el anexo B se enumeran todos los controles aplicables a los responsables del tratamiento de la información de identificación personal. 3. El anexo C relaciona las disposiciones de la norma ISO 27701 con la norma ISO 29100. 4. El anexo D relaciona las disposiciones de la norma ISO 27701 con el RGPD. 5. El anexo E relaciona las disposiciones de la norma ISO 27701 con las normas ISO 27018 e ISO 29151.
  • 6. 6. El Anexo F proporciona una guía para aplicar la ISO 27701 a la ISO 27001 y a la ISO 27002. En la mayoría de los casos, las organizaciones que ya cuentan con la certificación ISO 27001 deberían empezar por el anexo F para entender cómo encaja la aplicación del PIMS en su actual SGSI ISO 27001. Este anexo hace referencia a tres casos de aplicación de la norma:  Aplicación de las normas de seguridad tal cual  Adiciones a las normas de seguridad  Perfeccionamiento de las normas de seguridad Las cláusulas 5 a 8 del PIMS amplían los requisitos de la norma ISO 27001 para incorporar consideraciones relativas a la información de identificación personal. La cláusula 5 proporciona una orientación específica para el PIMS en relación con los requisitos de seguridad de la información de la norma ISO 27001 adecuados para una organización que actúa como controlador o procesador de la IIP. Las organizaciones deben implementar una Declaración de Aplicabilidad (SoA) del PIMS que esté influenciada por si son un controlador o un procesador (o ambos). Las organizaciones pueden crear un SGSI-PIMS combinado y ampliar su SdA del SGSI para incluir los controles del PIMS. Anexo A + Cláusula 6 = 37 controles reforzados Anexo A + Cláusula 7 = 31 nuevos controles para los controladores Anexo A - Cláusula 8 = 18 nuevos controles para los transformadores
  • 7. Consideraciones adicionales A continuación se detallan las consideraciones adicionales dentro de la cláusula 5 de la norma ISO 27701 que pueden observarse como extra a los requisitos existentes del SGSI: 5.1 Los requisitos de la norma ISO 27001 deben ampliarse a la protección de la privacidad, ya que puede verse afectada por el tratamiento de la información de identificación personal. Un vistazo al Anexo F proporciona una tabla que da una indicación visual de cómo será esto. 5.2.1 Un requisito adicional a la cláusula 4.1 de la ISO 27001 es señalar que una organización determinará su papel como controlador y/o procesador de PII. Además, es necesario indicar los factores externos e internos que son relevantes para el contexto y que afectan a la capacidad de lograr los resultados de su PIMS. Esto incluye cualquier adhesión a la legislación pertinente que ya esté en vigor como una consideración dentro del SGSI existente o los requisitos contractuales que hasta ahora habían sido identificados en diferentes cláusulas o controles del anexo dentro de la norma ISO 27001. Cuando una organización tenga identificadas las funciones de controlador de la IPS y de procesador de la IPS, deberán determinarse funciones separadas, cada una de las cuales estará sujeta a un conjunto de controles distinto. 5.2.2 Una consideración adicional a la cláusula 4.2 de la ISO 27001 es el requisito de incluir a las partes interesadas con responsabilidades asociadas al procesamiento de la información personal. Esto puede incluir a los clientes, lo cual, de nuevo, no es algo que se haya considerado previamente en un SGSI ISO 27001. Además, los requisitos que son relevantes para el procesamiento de la información personal pueden ser determinados por los requisitos legales, las obligaciones contractuales o los objetivos auto-identificados.
  • 8. 5.2.3 El alcance del SGSI es requerido por la cláusula 4.3 de la norma ISO 27001. Los factores adicionales de PIMS para el alcance incluyen una organización que incluye el procesamiento de PII. La determinación del alcance del PIMS, por lo tanto, puede requerir una revisión del SGSI debido a la ampliación de la interpretación de lo que constituye la seguridad de la información en la cláusula 5.1 de la norma ISO 27701. 5.2.4 Además de la cláusula 4.4 de la norma ISO 27001, se requiere que una organización establezca, implemente, mantenga y mejore continuamente un PIMS de acuerdo con los requisitos de las cláusulas 4 a 10 de la norma ISO 27001:2013, ampliados por los requisitos de la cláusula 5. 5.3 Dentro de la norma ISO 27001, se requiere que las organizaciones demuestren su compromiso con el SGSI a través de iniciativas de liderazgo y la creación de políticas, funciones y responsabilidades y orientación. Del mismo modo, el PIMS requiere una aportación similar por parte de la alta dirección junto con las interpretaciones específicas del PIMS, tal y como se indica en el punto 5.1 de la norma ISO 27701, que cubre todos los aspectos reflejados en la cláusula 5 del SGSI. 5.4.1 Los requisitos de la norma ISO 27001 para abordar los riesgos y las oportunidades requieren un aumento con las consideraciones de la cláusula 5.1 de la norma ISO 27701. Además, las evaluaciones de riesgo de la seguridad de la información identificadas en la norma ISO 27001 son aplicables con los siguientes requisitos adicionales: 1. La organización aplicará el proceso de evaluación de riesgos de seguridad de la información para identificar los riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad, dentro del ámbito del PIMS.
  • 9. 2. La organización aplicará el proceso de evaluación del riesgo para la privacidad para identificar los riesgos relacionados con el tratamiento de la información de identificación personal, dentro del ámbito del PIMS. 3. La organización se asegurará, a lo largo de los procesos de evaluación de riesgos, de que la relación entre la seguridad de la información y la protección de la información personal se gestiona adecuadamente. Puede tratarse de un proceso integrado de evaluación de riesgos o de procesos paralelos que se controlan por separado; esto depende totalmente de la organización para determinarlo. Además, la cláusula 6.1.2.d de la ISO 27001 se ha perfeccionado para incluir una evaluación de las posibles consecuencias, tanto para la organización como para los responsables de la información personal, que se producirían si se materializaran los riesgos identificados durante el apartado 6.1.2.c (ISO 27001). También se tiene en cuenta la Declaración de Aplicabilidad que habría generado la organización al implantar el SGSI ISO 27001. Como una organización se habría encontrado con un enfoque de "optar y justificar" para producir el SoA en primera instancia, al igual que para el PIMS, no todos los objetivos de control y
  • 10. Los controles enumerados en las zonas del anexo deben incluirse durante la aplicación del PIMS. Se puede justificar la exclusión de los controles que no se consideren necesarios. 5.4.2 Deben tenerse en cuenta los objetivos de seguridad de la información del SGSI de la organización, de la cláusula 6.2, aumentados por la interpretación de la cláusula 5.1 de la norma ISO 27701. 5.5 Las consideraciones de apoyo de la ISO 27001 en la cláusula 7 son aplicables junto con la interpretación adicional especificada en la ISO 27701 cláusula 5.1. 5.6 Las consideraciones operativas de la norma ISO 27001 en su cláusula 8, incluida la planificación del tratamiento de riesgos, son igualmente exigidas por la norma ISO 27701, junto con información adicional que se identifica al abordar la cláusula 5.1 de esta última norma. 5.7/5.8 Del mismo modo, las consideraciones sobre el seguimiento, la medición y la mejora que están presentes en un SGSI existente requieren un aumento de las consideraciones dadas en la cláusula 5.1 de la norma ISO 27701. Los procesos identificados anteriormente indican que la cláusula 5.1 de la nueva norma es un punto clave para la implantación de un PIMS. La ampliación de la protección de la privacidad para el tratamiento de la información de identificación personal es un elemento clave para la aplicación. Orienta las consideraciones que deben tenerse en cuenta a la hora de abordar las demás áreas de la cláusula de la norma ISO 27701. La siguiente tabla ofrece un resumen sencillo de la información de la página anterior:
  • 11. Cláusula ISO 27001 Extensión ISO 27701 5.1 5.2 5.3 7.1 7.4 Compromiso de alto nivel para la política de privacidad y la integración del PIMS en el SGSI, incluyendo 1. Contratación/establecimiento de funciones 2. Comunicación (interna/externa) 3. Resultados previstos 4. Control y orientación 5. Mejora continua del PIMS 6.2 Objetivos de PIMS/Privacidad 7.2 Perfiles de competencia de las personas asignadas a las funciones de privacidad 7.3 Conocimiento de la política del PIMS y de cómo el personal contribuye al establecimiento y la mejora del sistema 7.5 Documentación para el PIMS con consideraciones adicionales sobre la información y documentación no orgánica de la organización. 8.1 Activación del tratamiento de riesgos del PIMS 8.2 Proceso de evaluación de riesgos del PIMS
  • 12. Cláusula ISO 27001 Extensión ISO 27701 8.3 Plan de tratamiento de riesgos del PIMS, incluidas las modificaciones de los registros de riesgos existentes 9.1 9.2 9.3 Rendimiento del PIMS y análisis de la eficacia del PIMS, incluyendo: 1. Auditoría interna 2. Revisión por la dirección 10 Consideraciones sobre la mejora continua del PIMS