Organizațiilor care au implementat ISO 27001 ar trebui să le fie mai ușor să implementeze GDPR (RGPD). Politicile și procedurile (măsurile administrative conform RGDP) ar trebui revizuite și actualizate pentru a reflecta noile cerințe.
Mai jos cîteva exemple de articole din Regulament și clauze ISO corespondente. Fiind exemple, nu este o listă completă :).
(Nu am făcut nici o referire la 6.1 Activitati pentru abordarea riscurilor si oportunitatilor din ISO 27001.
Pentru clauzele ISO am folosit traducerea în limba română din versiunea standardului publicată de ASRO)
| Articol RGPD | Clauza ISO 27001 |
| Articolul 3 – Domeniul de aplicare territorial | A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 4 – Definiții (date cu character personal) | A.8.2.1 – Clasificarea informatiilor |
| Articolul 4 – Definiții (prelucrare) | A.8.1.3 – Utilizarea rationala a resurselor |
| Articolul 4 – Definiții (operator) | A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 4 – Definiții (persoană împuternicită de operator) | A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 4 – Definiții (sediu principal) | A.6.1.3 – Contactul cu autoritățile |
| Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal
Articolul 6 – Legalitatea prelucrării Articolul 7 – Condiții privind consimțământul Articolul 8 – Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale Articolul 9 – Prelucrarea de categorii speciale de date cu caracter personal |
A.12.1.1 – Proceduri operationale documentate
A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 12 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate | A.12.1.1 – Proceduri operationale documentate |
| Articolul 13 – Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată
Articolul 14 – Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată Articolul 15 – Dreptul de acces al persoanei vizate |
A.12.1.1 – Proceduri operationale documentate
A.6.1.1 – Roluri si responsabilităţi privind securitatea informaţiilor A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal A.8.2.1 – Clasificarea informatiilor A.13.2.1 – Proceduri şi politici privind |
| Articolul 16 – Dreptul la rectificare
Articolul 17 – Dreptul la ștergerea datelor („dreptul de a fi uitat”) Articolul 18 – Dreptul la restricționarea prelucrării Articolul 19 – Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării Articolul 20 – Dreptul la portabilitatea datelor Articolul 21 -Dreptul la opoziție Articolul 22 – Procesul decizional individual automatizat, inclusiv crearea de profiluri |
A.12.1.1 – Proceduri operationale documentate
A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 24 – Responsabilitatea operatorului | A.5.1.1 – Politici privind securitatea informatiilor
A.5.1.2 – Revizuirea politicilor privind securitatea informatiilor A.18.2.2 – Conformitatea cu politicile şi standardele de securitate |
| Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit | A.5.1.1 – Politici privind securitatea informatiilor
A.6.1.5 – Securitatea informaţiilor în managementul de proiect A.14.1.1 – Analiza si specificatia cerintelor de securitate A.14.2.5 – Principiile privind ingineria de securitate a sistemelor |
| Articolul 28 – Persoana împuternicită de operator | A.9.2.2 – Asigurarea accesului utilizatorului
A.9.4.1 – Restrictionarea accesului la informatii A.12.1.1 – Proceduri operationale documentate A.13.2.1 – Proceduri şi politici privind transferul de informații A.13.2.2 – Acorduri privind transferul de informatii A.15.1.1 – Politica de securitate a informatiilor privind relatiile cu furnizorii A.15.1.2 – Tratarea securitatii in contractile cu furnizorii A.16.1.3 – Raportarea breselor in securitatea informatiilor |
| Articolul 30 – Evidențele activităților de prelucrare | A.12.1.1 – Proceduri operationale documentate |
| Articolul 32 -Securitatea prelucrării | A.5.1.1 – Politici privind securitatea informatiilor
A.6.1.5 – Securitatea informaţiilor în managementul de proiect A.9.4.1 – Restrictionarea accesului la informatii A.10.1.1 – Politica privind utilizarea masurilor de securitate criptografice A.12.3.1 – Copia de siguranţă a informațiilor A.12.7.1 – Masuri de securitate privind auditul sistemelor informatice A.14.1.1 – Analiza si specificatia cerintelor de securitate A.14.2.5 – Principiile privind ingineria de securitate a sistemelor A.14.2.8 – Testarea securitatii sistemului A.14.2.9 – Testarea la receptia sistemului A.15.2.1 – Monitorizarea si analiza serviciilor furnizorului A.17.1.1- Planificarea continuitatii securitatii informatiilor A.17.1.2- Implementarea continuitatii securitatii informatiilor A.18.2.1 – Analiza independenta a securitatii informatiei |
| Articolul 33 – Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal | A.6.1.3 – Contactul cu autoritățile
A.16.1.1 – Responsabilităţi şi proceduri A.16.1.5 – Reactia la incidentele de securitate a informatiilor A.16.1.7 – Strangerea probatoriului A.12.4.1 – Jurnalizarea evenimentelor |
| Articolul 34 – Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal | A.16.1.5 – Reactia la incidentele de securitate a informatiilor |
| Articolul 35 – Evaluarea impactului asupra protecției datelor | A.6.1.5 – Securitatea informaţiilor în managementul de proiect
A.14.1.1 – Analiza si specificatia cerintelor de securitate A.14.2.5 – Principiile privind ingineria de securitate a sistemelor |
| Articolul 36 – Consultarea prealabilă | A.6.1.3 – Contactul cu autoritățile |
| Articolul 37 – Desemnarea responsabilului cu protecția datelor | A.6.1.1 – Roluri si responsabilităţi privind securitatea informaţiilor |
| Articolul 44 – Principiul general al transferurilor | A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
| Articolul 46 – Transferuri în baza unor garanții adecvate | A.15.1.2 – Tratarea securitatii in contractile cu furnizorii
A.15.2.1 – Monitorizarea si analiza serviciilor furnizorului |
| Articolul 55 – Competența | A.6.1.3 – Contactul cu autoritățile |
| Articolul 60 – Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate | A.6.1.3 – Contactul cu autoritățile |
| Articolul 85 – Prelucrarea și libertatea de exprimare și de informare
Articolul 86 – Prelucrarea și accesul public la documente oficiale Articolul 87 – Prelucrarea unui număr de identificare național Articolul 88 – Prelucrarea în contextul ocupării unui loc de muncă Articolul 89 – Garanții și derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice Articolul 90 – Obligații privind păstrarea confidențialității |
A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal |
ADRIAN B. MUNTEANU 
Va felicit pentru aceasta corelare dintre GDPR si ISO27001!
ApreciazăApreciază