▷ ISO 27701 - Implementación y Certificación | Ingertec
LlamarPresupuesto
AUTOPRESUPUESTO ONLINE
NOSOTROS TE LLAMAMOS
CONTÁCTANOS
REFERENCIAS INGERTEC
DÓNDE ESTAMOS

ISO/IEC 27701:2019, Gestión de Información de Privacidad

La ISO 27701:2019 es una extensión del estándar ISO/IEC 27001 de Seguridad de la Información, que permite desarrollar y mejorar los procesos de gestión de información de carácter personal dentro de cualquier organización.

Utiliza como base los requisitos, controles y objetivos de la norma ISO 27001: Requisitos de Sistemas de Gestión de Seguridad de la Información (SGSI)

¿Qué es ISO 27701?

ISO 27701 un estándar internacional pensado en ayudar a desarrollar y mejorar los procesos de gestión de la información de carácter personal que gestionan las organizaciones. Facilita el cumplimiento de las normativas legales vinculadas a los datos de carácter personal como el RGPD y la LOPDGDD. 

Permite certificar el cumplimiento de las buenas prácticas en materia de gestión de datos de carácter personal dentro de la organización. 

Es una ampliación de los requisitos del cuerpo normativo de ISO/IEC 27001. Se tendrá que realizar nuevos controles de seguridad para los responsables del tratamiento y también para los encargados del tratamiento.

¿Qué obtengo con el certificado ISO 27701?

garantia

Seguridad en tratamientos de datos personales.

subgrupo-actividad

Mayor ventaja competitiva y comercial

ahorro-de-costes

Reducción de riesgos

agilidad

Confianza y mejora de la imagen de la marca

potencial-desarrollo

Competencia global y más cualificada

mejora-eficiencia-empresarial

Cumplimiento Legal

¡NO SE QUEDE ATRÁS Y CERTIFÍQUESE!
De forma sencilla, rápida y económica

¿Qué empresas pueden Implementar ISO 27701

La norma ISO/IEC 27701:2019 se puede implementar en todo tipo de organizaciones; de gran tamaño o pequeñas empresas, tanto públicas y privadas, entidades gubernamentales y hasta empresas sin ánimo de lucro. 

Esta norma proporciona una orientación para aquellas organizaciones que ya possen la norma ISO 27001 y quieren aumentar su responsabilidad en el tratamiento de datos y en la seguridad de información de identificación personal. Está enfocada a los responsables del tratamiento de la información y también para aquellos que estén encargados del tratamiento de la misma. 

ISO 27701 versus 27001

Para una empresa que ya tenga implantado un sistema de gestión basado en una estructura de alto nivel según el anexo SL común a las normas ISO  les resultara más sencillo implantar la norma ISO 27701. Esto ocurre con las normas ISO 9001 y 14001 en su versión 2015 así como otras normas como ISO 22301 Continuidad del Negocio o ISO 31000 gestión del riesgo.

En este caso se recomienda implantar un sistema Integrado de Gestión donde podamos aprovechar los puntos comunes entre las distintas normas para no duplicar esfuerzos ya que al existir muchos puntos en común entre las diferentes normas se pueden unificar documentos y también, al ser la ISO 27701 una extensión de la Norma ISO 27001 se podrá realizar la implantación de manera muchos más eficiente

Para entender mejor la ISO 27701 y al realizar una comparación con los apartados de la norma ISO 27001; se destaca la ampliación de algunos requisitos y del análisis que se debe aplicar para entender el rol de la organización como gestor de datos de carácter personal y de los riesgos vinculados a la gestión de este tipo de datos y determinar los controles necesarios para su implantación

Estructura y Apartados de la norma ISO 27701

La norma ISO 27701:2019 esta compuesta por 8 apartados y 6 anexos

Las empresas que ya hayan implementado en su organización la norma ISO 27001 podrán utilizar esta nueva norma ISO 27701 para reforzar o extender los esfuerzos en preservar la privacidad de los datos que manejan, ampliando el alcance de su sistema de gestión.

Aquellas organizaciones que no cuenten con un sistema de gestión de la seguridad de la información, o SGSI, y quieran certificarse tendrán que implementar conjuntamente la ISO 27001 y la ISO 27701. Esto es debido a que la nueva normativa es una extensión de los requisitos de la ISO 27001 y de los códigos de buenas prácticas de la ISO 27002.

Esta norma es una extensión de la ISO 27001,  ofrece la confianza de que los riesgos son gestionados adecuadamente integrando los procesos de la seguridad de la información dentro de la gestión de una organización.

La norma ISO 27701:2019  Refuerza la importancia de proteger la información personal al revisar las tendencias de privacidad, los cambios regulatorios y los riesgos con los flujos de datos transfronterizos.

Toda la norma ISO 27701:2019 utiliza de referencia la ISO 27001; por tratarse de una extensión donde algunos apartados o cláusulas realizan adiciones de cumplimiento a la norma original. 

Ejemplo de ello es que dentro de ISO 27001 se menciona el termino «seguridad de la información«, pero ahora con la norma 27701 se cambia a «seguridad y privacidad de la información«

La ISO 27701:2019 al ser una extensión de la 27001 aplica y utiliza los mismos terminos para actualización a la norma 27701. 

Algunos términos son los siguientes: 

SGSI: Sistema de Gestión de Seguridad de la Información

PIMS: Sistema de Gestión de Información de Privacidad

PII: Información de Identificación Personal

GDPR: Reglamento General de Protección de Datos

RGPD: Reglamento General de Protección de Datos

LOPDGDD: Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 

Como primer requisito de la norma ISO 27701:2019 se debe:

  • Tener implantada la norma ISO 27001 para realizar las actualizaciones necesarias
  • Si la empresa no posee la implantación de la ISO 27001, se debe realizar el proceso en conjunto para lograr los objetivos de la norma
  • Determinar las necesidades y expectativas de todas las partes interesadas.

En esta cláusula se puede identificar la correspondencia con la norma ISO 27001 en sus apartados del 4 al 10, esta cláusula amplía los requerimientos sobre la protección de la información y específicamente para el apartado 4 sobre el contexto organizacional y dentro del apartado 6 relativo a la planificación de la gestión de riesgos.

No se aportan necesidades adicionales en el resto de los apartados.

Dentro de esta cláusula se amplían los requerimientos establecidos en la guía de buenas prácticas de la norma ISO 27002 y en los controles establecidos en el Anexo A de la ISO 27001.

Támbien se amplían los requisitos sobre la protección de la información en algunos controles del 5 al 18, con excepción del control 17 (Seguridad de la información en la continuidad del negocio) donde no se establecen medidas adicionales a las ya existentes.

Esta cláusula estipula los controles adicionales para los propietarios de la informacion de identificación personal (PII) y proporciona la quía de implementacion para realizarlos.

 En total con 4 objetivos de control y 31 controles.

Para esta cláusula se especifican los controles adicionales para los encargados de tratar la información personal de terceros contratados y la subcontratación de servicios. Támbien presenta una recomentacion para la implementación de dichos controles dentro de la organización.

En total con 4 objetivos de control y 18 controles.

Anexos A y B en los que se establecen los controles de privacidad para responsables y procesadores junto con el Anexo A de ISO/IEC 27001 que incluye los controles para seguridad de la información.

Anexo C que hace referencia a los principios recogidos en ISO/IEC 29100

Anexo D se presenta un mapeado de las cláusulas y los artículos del RGPD, haciendo referencia a los principios, el cumplimiento con las bases de legitimación, la obligación de transparencia e información, el ejercicio de los derechos ARSOPL, la evaluación de impacto, notificación a la autoridad de control, designación del Delegado de Protección de Datos (DPD) entre otros. Asimismo, como las exigencias de responsabilidad proactiva, materia de seguridad y las transferencias internacionales de datos personales.

Anexo E a la  ISO/IEC 27018; ISO/IEC 29151

Anexo F con información sobre la ISO 27001 e ISO 27002.

Este estándar es una buena herramienta para implementar e integrar los principios del RGPD en un sistema de gestión de seguridad de la información (SGSI), mejorando las relaciones comerciales y reputacionales de la organización en la que se apliquen.

¿Qué obtengo al contratar a INGERTEC

valor1

+ de 20 años
de experiencia

valor2

100% de empresas
certificadas a la primera

valor3

9 de cada 10 clientes
vuelven a contratarnos

valor4
Rápidos y eficientes.
Cumplimos con los plazos.
Contamos con la confianza de
Colaboramos con