Attestation ISO 27701
Un système de gestion de la vie privée est différent d'un SMSI, mais il est étroitement lié. L'approche d'ISO 27701 reconnaît que la sécurité de l'information (la préservation de la confidentialité, de l'intégrité et de la disponibilité de l'information) est un aspect clé d'une gestion efficace de la vie privée et que les exigences du SMSI documentées avec la norme ISO 27001 représentent la base nécessaire et qu’il n’est pas nécessaire de refaire le processus de conformité au complet.
ISO 27701 définit les exigences supplémentaires pour un SMSI pour couvrir la vie privée et
le traitement de l'information personnelle identifiable (PII). Ceux-ci sont soutenus par des
contrôles supplémentaires qui se rapportent spécifiquement à la protection des données et
à la vie privée. Dans l'ensemble, cela crée ce que la Norme appelle un système de gestion de l'information sur la vie privée (PIMS).
Cette nouvelle norme est une étape cruciale pour la gestion continue des risques liés à la protection de la vie privée et est une référence normative qui favorise la nécessité de
processus matures à mesure que le contexte de l'organisation évolue. Les organismes
d'évaluation de la conformité seront probablement mis à profit pour les vérifications et les évaluations immédiates de cette nouvelle en fonction de l’article 43 du Règlement Général
sur la Protection des Données (RGPD)
Structure de la norme ISO 27701
Tout comme d'autres normes ISO, ISO 27701 divise son contenu par clause, dont Les articles
5 à 8 indiquent les exigences et les modifications supplémentaires à appliquer à la norme
ISO 27001.
Clause 5 : Exigences spécifiques au PIMS
Cette clause traite de chaque clause de l'ISO 27001 et identifie les mesures additionnelles à mettre en place. La majorité des clauses ISO 27001 restent inchangées, par contre, la norme ISO 27701 exige de l'organisation qu'elle reconnaisse son besoin à l’égard de la protection des données et qu’elle implémente les mesures nécessaires pour respecter la norme.
Un autre ajout notable affecte l'évaluation des risques. L’organisation devra définir son rôle et ses responsabilités à l’égard des données personnelles identifiables (PII), c'est-à-dire qu'il s'agisse d'un contrôleur ou d'un un processeur, et comment cela pourrait affecter les risques à l'égard du PII. Une autre volet reconnaît l'existence de nouveaux ensembles de contrôles et permet à l'organisation de mettre en place une plus grande variété de contrôles afin de respecter autant la norme ISO 27001 et 27701.
Yucca Conseils TI peut vous assister
Nous pouvons vous assister dans l'ensemble de votre démarche de préparation au programme de conformité ISO 27701. De l'analyse des écarts à l'obtention d'un certificat ISO 27701. Avec l'aide de votre pilote interne, un échéancier réaliste sera élaboré et accepté par votre équipe de gestion.