O QUE É A ISO 27701?

Por: Ramire Estarneck
Dia 18/06/2020 11h34

E por que implementar em sua empresa?

O QUE É A ISO 27701?

A ISO 27701 – Sistema de Gestão de Informação, publicada em agosto de 2019, é uma norma de extensão da ISO 27001 e 27002, serve para gerenciar informações privadas no que diz respeito a organização e pode ser aplicada em todos os tipos e tamanhos das mesmas, incluindo a esfera públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Podemos dizer também que é uma forma de ampliar a ISO 37001, com o tema corrupção e suborno, essa norma surge como uma alternativa real de combate a estas causas, o que ajuda a preservar os dados.

Essas normas com todos os seus padrões a serem seguidos, são uma espécie de pacote afim de cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o melhor funcionamento da organização. Enquanto a ISO 37001 atua nos controles antissuborno/anticorrupção, é essencial para sua efetividade a segurança de dados, tendo em mente a necessidade de compreender as exigências legais no que se refere a coleta, manutenção e descarte de dados no âmbito de áreas de Riscos e Controles Internos, é nisso que entra a norma ISO 27001, ISO 27002 sobre boas práticas para gestão de segurança da informação e, finalmente, a ISO 27701.

O QUE É A ISO 27701?

O ISO.org diz que a ISO27701  “especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade no contexto da organização. ” …

“especifica os requisitos relacionados ao PIMS e fornece orientações para controladores de IPI(Informação pessoalmente identificável) e processadores de IPI responsáveis ​​e responsáveis ​​pelo processamento de IPI.” …

“é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de IPI e / ou processadores de IPI que processam IPI dentro de um SGSI (sistema de gerenciamento de segurança da informação, do inglês ISMS).”

Está norma, ISO 27701, vem para padronizar a Lei Geral de Proteção de Dados Pessoais(LGPD) e General Data Protection Regulation (GDPR) da União Europeia, ou seja, ela vem para implementar procedimentos para a proteção de informação, além de exigem que profissionais envolvidos, como controladores e processadores de dados pessoais, tomem medidas necessárias, tanto técnicas e organizacionais, para assegurar a proteção, assim como cultura de segurança para garantir a privacidade dos dados pessoais, dessa forma a organização também demonstra está de acordo com a lei nº 13.709/2018. Embora seja nova, já foi lançada na Associação Brasileira de Normas Técnicas (ABNT) e faz parte da lista das normas em seu acervo. Isso irá ajudar e muito a disseminar a norma no Brasil. A criação dessa norma é um marco importante pois é uma oportunidade para certificações a padronizações, certificar empresas, pessoas físicas e profissionais. Dito isso, qualquer organização que quiser implementar o Sistema de Gestão de Privacidade das Informações, como previsto em norma, poderá requerer uma auditoria e tirar seu certificado ISO 27701, se a auditoria estiver de acordo.

Os Senadores entraram em acordo para prorrogar parcialmente a vigência da LGPD: propuseram a vigência da lei em 03º de maio de 2021. Se quiser saber mais sobre LGPD, leia nosso artigo clicando aqui.

 

Para que seja implementada, é preciso seguir 16 etapas:

1.      ter apoio da direção da empresa;

2.      utilizar metodologia de gerenciamento de projeto;

3.      definir antecipadamente um escopo do Sistema de Gestão de Gestão de Segurança da Informação (SGSI);

4.      determinar como será a política de segurança da informação de alto nível da sua organização;

5.      especificar uma metodologia para a realização de análise de riscos;

6.      realizar a avaliação de riscos como definido previamente;

7.      elaborar uma Declaração de Aplicabilidade;

8.      definir um Plano de Tratamento de Riscos;

9.      definir métricas para a verificação de eficácia do definido pelo SGSI;

10.  implementar os controles e procedimentos definidos previamente;

11.  estabelecer um cronograma de treinamentos e conscientização dos seus colaboradores;

12.  garantir que todas as operações do seu SGSI sejam seguidas;

13.  realizar o monitoramento do seu SGSI;

14.  realizar auditoria interna constante;

15.  realizar uma análise crítica de suas ações— responsabilidade da direção;

16.  realizar ações corretivas.

 

POR QUE TER A  CERTIFICAÇÃO ISO 27701?
 

A certificação ISO 27701 Sistema de Gestão de Informação, visa colocar as organizações dentro dos parâmetros no que diz respeito aos dados sensíveis de acordo com a Lei Geral de LGPD e GDPR, como vimos anteriormente. Está ISO, como todas as outras, é reconhecida no mundo todo como a principal ferramenta de gestão para auxiliar as empresas na proteção de dados e na comprovação de adequação a esses regulamentos. Dessa forma a ISO 27701 tem como objetivo auxiliar as empresas a demonstrem a agências, órgãos públicos, investidores, sociedade e seus clientes que a organização está empenhada em adotar controles eficazes, respeitando o direito de todos e que estão realizando as melhores práticas internacionais em proteção de dados.

 

Saiba mais sobre nossos serviços, entre em contato conosco! 

 

ARTIGO ESCRITO POR ANDRÉ VICTOR MOREIRA COSTA.

 

Veja também:

Confira mais artigos relacionados.

Cadastre-se na Solarplex e comece a mudar sua empresa de patamar hoje mesmo

A SolarConsult está há mais de 20 anos no mercado atuando em consultoria, auditoria e certificação.

A empresa desenvolveu uma metodologia de implementação do SGQ (Sistema de Gestão de Qualidade).

Este método requer apenas o melhor esforço da empresa, isto é, sua vontade de progredir e sendo assim, fizemos amigos em mais de 100 empresas do estado do Rio de Janeiro e de São Paulo.

Nosso relacionamento com os clientes é totalmente direcionado para que seja longo e duplamente vantajoso.

Vamos conversar

Nossos Clientes

Certisign Enseg LCS Link MEGATHERM
Ortobom JR ELC UTSCH
Litografia Valença Tempo WEB Radar Target
SS White Stille D'Cinco CEMHS
Kolimar View AES Tornotec
Araújo Abreu ADKL Zeller Verzani