ISO/IEC 27701:2019

ISO/IEC 27701:2019

ISO/IEC 27701:2019 дополняет ISMS требованиями по защите персональных данных, ролям контролера/процессора и управлению рисками приватности.

Для кого подходит

• Организации, обрабатывающие персональные данные клиентов и сотрудников
• Поставщики услуг в роли обработчика данных
• Компании, которым нужна доказуемая зрелость в privacy governance

Ключевые требования

• Связь управления PII с ISMS и риск-оценкой
• Документирование целей обработки и ролей ответственности
• Процедуры обработки запросов субъектов и инцидентов приватности

Практический фокус стандарта

ISO/IEC 27701:2019 расширяет ISMS в сторону управляемой приватности и ответственности controller/processor. Ключевой результат — доказуемая подотчетность на всем жизненном цикле персональных данных.

Этапы внедрения

1. Оценка текущих практик защиты данных
2. Интеграция privacy-контролей в систему менеджмента
3. Внутренняя проверка результативности

Этапы аудита и сертификации

1. Стартовая техническая оценка области, целей и применимых требований.
2. Подготовка документации и проверка фактического внедрения в процессах.
3. Внутренний аудит и закрытие корректирующих действий на основе доказательств.
4. Внешний аудит (этап 1/2), последующий надзор и регулярное поддержание системы.

Преимущества для бизнеса

• Повышение зрелости управления приватностью
• Прозрачные роли и ответственность по обработке данных
• Укрепление доверия клиентов и партнеров

Типичный срок внедрения: 8-14 недель.

Типовые документы и подтверждающие записи

• Реестры операций обработки и распределение ролей ответственности.
• Процедуры по правам субъектов, срокам хранения/удаления и privacy incident response.
• Оценка privacy-рисков и подтверждение эффективности мер снижения.

Типичные пробелы перед внешним аудитом

• Нечеткое разграничение ролей контролера и обработчика.
• Privacy-контроли не интегрированы с механизмами ISO 27001.
• Неполные записи по правовым основаниям и уведомлению субъектов данных.

Частые вопросы