O que é ISO 27701 e como entender a aplicação da norma para gestão da privacidade da informação em 5 passos
A norma ISO
27701 especifica os requisitos e fornece diretrizes para o estabelecimento,
implementação, manutenção e melhoria contínua de um sistema de gestão de
privacidade da informação (SGPI).
Assim como
as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701
apresenta requisitos relacionados ao SGPI (Sistema de Gestão da Privacidade da
Informação) e também diretrizes para os controladores e operadores de dados
pessoais, atores com grandes responsabilidades nas atividades de
tratamento.
É aplicável a todos os tipos de
organizações, tanto públicas quanto privadas e também se relaciona com outras
normas técnicas que lhe dão suporte para a implementação da conformidade.
A norma
nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002,
todos focados em privacidade da informação e não em um sistema de gestão
próprio. A norma complementa as demais normas de segurança da informação com
seus requisitos específicos.
Para
compreensão da ISO 27701 é preciso ter em mente que ela se relaciona a todo
instante com as normas de segurança da informação, ora ampliando diretrizes e
requisitos, ora criando novas e específicas, até mesmo mantendo as diretrizes
já disciplinadas nas normas de segurança da informação.
Dentre os 5
passos para entender a norma, rapidamente citamos:
- Compreender que a seção 5 traz requisitos
específicos de um sistema de gestão de privacidade da informação, em momentos
ratificando os da 27001, em outros promovendo acréscimos e atualizações.
- Compreender que a seção 6 traz diretrizes
específicas de um sistema de gestão de privacidade da informação, em parte
ratificando os da 27002, ora promovendo acréscimos e atualizações. Aqui, aliás,
temos muitos acréscimos em comparação com a seção 5.
- Compreender que a seção 7 traz o que chamamos de diretrizes
adicionais à ISO 27002 para controladores e que também tem relação com o Anexo
A da norma, que trata dos controles e objetivos de controle específicos
para controladores.
- Compreender que a seção 8 traz o que chamamos de diretrizes
adicionais à ISO 27002 para operadores e que também tem relação com o Anexo
B da norma, que trata dos controles e objetivos de controle específicos
para operadores de DP.
- Compreender os anexos da norma,
sendo o “A” destinado a
controladores e “B” a operadores (atualizando
os controles e objetivos de controle da ISO 27001), o “C” traz um mapeamento da norma com os princípios de privacidade, o
“D” e “N/A” fazem o mapeamento entre
as exigências da GDPR e LGPD e os controles trazidos pela norma, que ajudam na
conformidade, e o “E” uma relação da
norma com outras ISOs não menos importantes, 27018 (Cloud) e 29151 (diretrizes
e controles adicionais). Não se pode tirar de vista o anexo “F”, que justamente nos ensina como
aplicar a ISO/IEC 27701 com as normas “base”, 27001 e 27002.
Deste modo,
a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a
agências, órgãos públicos, investidores e sociedade que a organização está
empenhada em adotar controles eficazes e que são considerados melhores práticas
internacionais em proteção de dados.
Estes 5
(cinco) passos apresentam de forma clara e simples como compreender a aplicação
e utilizar as seções da norma na adequação de empresas e negócios. Após
esta atividade, é momento de iniciar o plano de implementação, que envolve
avaliação, priorização de pontos críticos, implementações e auditoria periódica.
Não há tempo a perder e quanto mais ágil for a resposta corporativa a esta
importante fase que inaugura a ISO 27701, melhor para o avanço rumo à
conformidade com um padrão internacional envolvendo a privacidade da
informação.
Preparamos um e-book,
denominado 5 PASSOS PARA ENTENDER A ABNT
NBR ISO/IEC 27701:2019, onde fornecemos instruções detalhadas sobre o
processo de compreensão da norma, os passos, e sua relação com demais normas de
segurança da informação e privacidade. É gratuito. Baixe já o seu e deixe seu
comentário.