Norma ISO 27001 a ochrona danych osobowych

Standard ISO/IEC 27001 to kompleksowy katalog wymogów dla bezpieczeństwa informacji (dalej jako: „Norma”). Norma określa zasady procesu zarządzania bezpieczeństwem w oparciu o wyniki analizy ryzyka. Powyższy system pozostaje istotny również dla ochrony danych osobowych, ponieważ dostosowanie się do jego imperatyw pozwala stworzyć integralne procedury, które odpowiadają zarówno wymogom obecnego stanu prawnego, Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku o ochronie danych osobowych (dalej jako: „RODO” lub „Rozporządzenie”), które zacznie obowiązywać od 28 maja 2018 roku.
Wdrożenie standardu ISO 27001 pozwala uzyskać certyfikat zgodności systemu zarządzania bezpieczeństwem informacji z Normą. W świetle RODO certyfikacja stanowi jeden ze sposobów na uwierzytelnienia stosowanych przez administratora środków bezpieczeństwa przetwarzanych danych osobowych. Według dotychczasowych informacji wszelkie dokumenty tego typu wydawać będzie odpowiedni organ administracji publicznej.
 

Standard bezpieczeństwa informacji

Zgodnie z normą ISO 27001 przetwarzane informacje, w tym dane osobowe, powinny odpowiadać określonemu standardowi bezpieczeństwa, opierającym się na katalogu pożądanych cech.
Po pierwsze dane powinny być przetwarzanie w sposób poufny, tak aby dostęp do nich posiadały tylko uprawnione podmioty. Po drugie konsolidowane dane osobowe powinny być integralne. Oznacza to, że w skład zbiorów informacji nie powinny wchodzić elementy zbędne, jednocześnie nie pomijając niezbędnych komponentów danej pozycji. Po trzecie przetwarzanie wymaga ich nieustannej dostępności danych oraz zdolności do ich przewrócenia w razie zaistnienia incydentu. Ponadto administrator powinien być zdolny do rozliczenia się ze swoich czynności oraz decyzji. System odpowiadać niezaprzeczalności czyli możliwości uprawdopodobnienia zgłaszanych incydentów i zdarzeń. Dane zawsze muszą być autentyczne i wiarygodne.
Zgodnie z powyższym standard bezpieczeństwa informacji normy ISO 27001 jest zbliżony do wymogów jakie stawia RODO. Tym samym doświadczenia praktyki wdrażania ww. standardu mogą okazać się pomocne dla podmiotów dostosowujących systemy bezpieczeństwa informacji do przepisów Rozporządzenia.
 

WARTO WIEDZIEĆ

Standard bezpieczeństwa informacji wyznaczony przez normę ISO 27001 opiera się na cechach takich jak: poufność, integralność, dostępność, rozliczalność, niezaprzeczalność i autentyczność.
 

System zarządzania bezpieczeństwem informacji

Zapewnienie należytego bezpieczeństwa informacji powinno odbywać się w ramach spójnego systemu odpowiadającego stawianym przez prawo oraz normę standardom. System taki powinien obejmować zarówno przetwarzanie jak i całą związaną z tym infrastrukturę techniczną oraz organizacyjną. Norma ISO 27001 to jedyny standard uprawniający do certyfikacji danego systemu zarządzania bezpieczeństwem informacji. W jego obszarze mieści się m.in. dokumentacja tj. polityka bezpieczeństwa informacji.
 

Cechy systemu ochrony informacji

System, o którym mowa w poprzednim akapicie powinien spełniać cechy zawarte w normie. Należą do nich atrybuty takie jak samoulepszalność oraz zdolność do bycia mierzonym pod kątem swojej skuteczności. Dodatkowo, powinien być on adekwatny celowościowo, czyli odpowiadać normatywnym i praktycznym celom jakie są przed nim stawiane. Ochrona danych powinna być kompletna, obejmować wszelkie środki związane z przetwarzaniem oraz mieć określoną ilość punktów kontrolnych zabezpieczeń. Wymogi danego systemu określa się na podstawie analizy ryzyka, co pozwala zapewnić poziom bezpieczeństwa w pełni odpowiadający danej branży oraz skali przetwarzania.
Proces wdrażania systemu ochrony informacji opiera się na ustanowieniu polityki bezpieczeństwa danych, określeniu ram zarządzania ryzykiem oraz dopuszczalnej odpowiedzialności. Następnie czynności związane z zarządzaniem ryzykiem oraz tworzeniem ram bezpieczeństwa są podejmowane, aby ostatecznie zostać poddane audytom. Po takiej wypełnieniu takiej ścieżki pojawia się możliwość certyfikacji systemu.
 

WARTO WIEDZIEĆ

Wymogi systemu bezpieczeństwa informacji określa się na podstawie analizy ryzyka, co pozwala dopasować poziom bezpieczeństwa do wyzwań danej branży oraz skali przetwarzania.
 

Porada praktyczna

RODO zacznie obowiązywać od 25 maja 2018 roku. Do tego czasu przedsiębiorcy muszą być przygotowani na spełnienie wymogów stawianych przez Rozporządzenie. Jedną z metod na zapewnienie odpowiedniego poziomu bezpieczeństwa informacji może być certyfikacja, między innymi w ramach normy ISO 27001. Doświadczenia podmiotów ubiegających się o standard mogą okazać się pomocne w wdrażaniu regulacji RODO.
 

Podsumowując

Pomimo niewiadomych opierających się między innymi na stopniu respektowania certyfikatów przez Urząd Ochrony Danych weryfikowanych przez inne podmioty, to bez wątpienia sam proces wdrażania standardów normy ISO 27001 istotnie zbliży procedurę przetwarzania do wymogów stawianych przez RODO.
 

Podstawa:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2. Dr Piotr Dzwonkowski: wymogi norm ISO seria 27000.