ICS Certificación

De entre toda la información que maneja cualquier organización hoy en día, una de la que posee mayor nivel de importancia son los datos personales. Esto incluye desde nombres y direcciones hasta números de identificación, direcciones de correo electrónico, datos de salud, información financiera y mucha más. Es por ello que su protección es vital, tanto por el potencial daño que una mala gestión puede ocasionar en clientes y ciudadanos como por las sanciones que puede llegar a tener que afrontar la organización.

La norma ISO/IEC 27701, configurado como una extensión de la norma ISO/IEC 27001 es un estándar internacional certificable que nos propone un modelo para implementar un Sistema de Gestión de Privacidad de la Información (SGPI) compatible con los requisitos del RGPD y LOPDGDD. Este estándar proporciona un marco de trabajo completo y estructurado para identificar, gestionar y minimizar los riesgos relacionados con la privacidad y la gestión operativa de los datos personales, así como dar respuesta a las obligaciones de cumplimiento de la organización.

¿A quien está dirigida?

La norma ISO/IEC 27701 puede ser implantada en organizaciones de cualquier tamaño, sector o industria sin importar su actividad. El único requisito es que la organización realice algún tipo de tratamiento de datos de carácter personal y desee protegerlos en base al modelo propuesto por esta norma. Cuanto más sensible sean los datos manejados o se realice una mayor cantidad de tratamientos, mayor será el beneficio que la organización obtendrá de la aplicación de esta norma.

Beneficios de ISO/IEC 27701

La implantación de un Sistema de Gestión de Seguridad de la Información conforme a ISO/IEC 27701 ofrece una serie de beneficios significativos para las organizaciones, entre los que se incluyen:

• Propuesta de un modelo internacionalmente reconocido y con una visión integral, no solo técnica, para guiar a las organizaciones en la salvaguarda de la privacidad de sus datos.
• Reducción de la probabilidad de sufrir incidentes y brechas de seguridad.
• Aumento de la confianza de los clientes y socios al demostrar un compromiso con la protección de los datos personales de clientes y terceros.
• Permite contar con un argumento sólido para minorar sanciones en caso de brecha o incumplimiento.
• Al basarse en ISO/IEC 27001, mejora al mismo tiempo la seguridad general de la organización.
• Fácilmente integrable con cualquier otro Sistema de Gestión, especialmente ISO/IEC 27001 e ISO 37301.
• Aporta una sólida base para cumplir con la normativa en materia de datos personales, especialmente el Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Estructura

En su redacción, la ISO/IEC 27701 no contempla de forma directa la estructura de alto nivel (HLS), pero al incluir modificaciones y matices al contenido de ISO/IEC 27001, podemos encontrar las cláusulas habituales en todas las normas de sistemas de gestión ISO. Su mayor particularidad es la existencia de dos anexos que detalla los controles de privacidad considerados como necesarios para una correcta gestión protección de los datos personales en función de si la organización actúa como Encargada o Responsable de los tratamientos. Estos anexos se agrupan en los siguientes dominios:

1. Condiciones para la recogida y tratamiento.
2. Obligaciones hacia los interesados.
3. Privacidad desde el diseño y privacidad por defecto.
4. Intercambio, transferencia y comunicación de IIP.

Otras normas relacionadas

ISO/IEC 27701 se puede integrar fácilmente con otras normas de sistemas de gestión, lo que permite a las organizaciones gestionar de manera eficiente varios aspectos de su negocio de forma simultánea. Algunas de las normas con las que se puede integrar la ISO/IEC 27701 incluyen:

La integración de la ISO/IEC 27701 con estas normas permite a las organizaciones abordar de manera integral tanto la privacidad de los datos como otros aspectos importantes de su negocio, como la calidad, la protección de datos, la continuidad del negocio y las obligaciones de cumplimiento.

Familia 27000

La familia 27000 está compuesta por numerosos estándares que amplían o desarrollan diversos aspectos de la seguridad de la información.

Normas sectoriales

Son normas que modifican o amplían los requisitos de ISO/IEC 27001 para poder implantar un SGSI sobre un ámbito sectorial o temático específico.