Imprimir esta página
O QUE É A ISO 27701? O QUE É A ISO 27701?

O QUE É A ISO 27701?

E por que implementar em sua empresa?

O QUE É A ISO 27701?

A ISO 27701 – Sistema de Gestão de Informação, publicada em agosto de 2019, é uma norma de extensão da ISO 27001 e 27002, serve para gerenciar informações privadas no que diz respeito a organização e pode ser aplicada em todos os tipos e tamanhos das mesmas, incluindo a esfera públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Podemos dizer também que é uma forma de ampliar a ISO 37001, com o tema corrupção e suborno, essa norma surge como uma alternativa real de combate a estas causas, o que ajuda a preservar os dados.

Essas normas com todos os seus padrões a serem seguidos, são uma espécie de pacote afim de cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o melhor funcionamento da organização. Enquanto a ISO 37001 atua nos controles antissuborno/anticorrupção, é essencial para sua efetividade a segurança de dados, tendo em mente a necessidade de compreender as exigências legais no que se refere a coleta, manutenção e descarte de dados no âmbito de áreas de Riscos e Controles Internos, é nisso que entra a norma ISO 27001, ISO 27002 sobre boas práticas para gestão de segurança da informação e, finalmente, a ISO 27701.

O QUE É A ISO 27701?

ISO.org diz que a ISO27701  “especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade no contexto da organização. ” …

“especifica os requisitos relacionados ao PIMS e fornece orientações para controladores de IPI(Informação pessoalmente identificável) e processadores de IPI responsáveis ​​e responsáveis ​​pelo processamento de IPI.

“é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de IPI e / ou processadores de IPI que processam IPI dentro de um SGSI (sistema de gerenciamento de segurança da informação, do inglês ISMS).”

Está norma, ISO 27701, vem para padronizar a Lei Geral de Proteção de Dados Pessoais(LGPD) e General Data Protection Regulation (GDPR) da União Europeia, ou seja, ela vem para implementar procedimentos para a proteção de informação, além de exigem que profissionais envolvidos, como controladores e processadores de dados pessoais, tomem medidas necessárias, tanto técnicas e organizacionais, para assegurar a proteção, assim como cultura de segurança para garantir a privacidade dos dados pessoais, dessa forma a organização também demonstra está de acordo com a lei nº 13.709/2018. Embora seja nova, já foi lançada na Associação Brasileira de Normas Técnicas (ABNT) e faz parte da lista das normas em seu acervo. Isso irá ajudar e muito a disseminar a norma no Brasil. A criação dessa norma é um marco importante pois é uma oportunidade para certificações a padronizações, certificar empresas, pessoas físicas e profissionais. Dito isso, qualquer organização que quiser implementar o Sistema de Gestão de Privacidade das Informações, como previsto em norma, poderá requerer uma auditoria e tirar seu certificado ISO 27701, se a auditoria estiver de acordo.

Os Senadores entraram em acordo para prorrogar parcialmente a vigência da LGPD: propuseram a vigência da lei em 03º de maio de 2021. Se quiser saber mais sobre LGPD, leia nosso artigo clicando aqui.

Para que seja implementada, é preciso seguir 16 etapas:

1.      ter apoio da direção da empresa;

2.      utilizar metodologia de gerenciamento de projeto;

3.      definir antecipadamente um escopo do Sistema de Gestão de Gestão de Segurança da Informação (SGSI);

4.      determinar como será a política de segurança da informação de alto nível da sua organização;

5.      especificar uma metodologia para a realização de análise de riscos;

6.      realizar a avaliação de riscos como definido previamente;

7.      elaborar uma Declaração de Aplicabilidade;

8.      definir um Plano de Tratamento de Riscos;

9.      definir métricas para a verificação de eficácia do definido pelo SGSI;

10.  implementar os controles e procedimentos definidos previamente;

11.  estabelecer um cronograma de treinamentos e conscientização dos seus colaboradores;

12.  garantir que todas as operações do seu SGSI sejam seguidas;

13.  realizar o monitoramento do seu SGSI;

14.  realizar auditoria interna constante;

15.  realizar uma análise crítica de suas ações— responsabilidade da direção;

16.  realizar ações corretivas.

POR QUE TER A  CERTIFICAÇÃO ISO 27701?
 

A certificação ISO 27701 Sistema de Gestão de Informação, visa colocar as organizações dentro dos parâmetros no que diz respeito aos dados sensíveis de acordo com a Lei Geral de LGPD e GDPR, como vimos anteriormente. Está ISO, como todas as outras, é reconhecida no mundo todo como a principal ferramenta de gestão para auxiliar as empresas na proteção de dados e na comprovação de adequação a esses regulamentos. Dessa forma a ISO 27701 tem como objetivo auxiliar as empresas a demonstrem a agências, órgãos públicos, investidores, sociedade e seus clientes que a organização está empenhada em adotar controles eficazes, respeitando o direito de todos e que estão realizando as melhores práticas internacionais em proteção de dados.

Saiba mais sobre nossos serviços, entre em contato conosco! 

ARTIGO ESCRITO POR ANDRÉ VICTOR MOREIRA COSTA.

twitter

facebook