kw. 5, 2022
Informacje i dane osobowe to zasoby, które są bardzo ważne z punktu widzenia różnego rodzaju działalności, ale także bezpieczeństwa. Z tego względu podlegają one ścisłej ochronie i nie mogą być udostępniane osobom, które nie mają do tego odpowiednich uprawnień. Jest to kwestia, którą regulują także różnego rodzaju przepisy prawne i normy takie jak RODO czy ISO/IEC 27001.
Szczególnie we współczesnym świecie kwestia ochrony danych osobowych i informacji poufnych jest bardzo ważna, ponieważ w dobie nowoczesnych technologii, często zapomina się o prywatności w tej kwestii, co może prowadzić do wielu problemów. Z tego względu wszelkiego rodzaju działania, mające na celu poprawę bezpieczeństwa informacji są obecnie tak ważne.
Norma ISO/IEC 27001
ISO/IEC 27001 to międzynarodowa norma, która standaryzuje systemy zarządzania bezpieczeństwem informacji (SZBI). Standard ten określa wymogi dla ustanowienia, wdrożenia, utrzymania i ciągłego rozwijania systemu zarządzania bezpieczeństwem informacji. Oprócz tego norma ta zawiera również wskazówki odnośnie szacowania i postępowania z ryzykiem związanym z bezpieczeństwem informacji.
Firmy, które spełniają wymagania zawarte w ISO/IEC 27001 i przejdą pozytywnie audyt, uzyskują certyfikat, który jest potwierdzeniem, że spełniają one wszystkie wymagania narzucone przez tę normę. Standard ISO/IEC 27001 określa sposoby zapewnienia bezpieczeństwa informacjom w formie cyfrowej, dokumentom papierowym, ale także całym sieciom i systemom komputerowym, a nawet wiedzy pracowników.
System zbudowany w oparciu o ten standard chroni dane w zakresie poufności, integralności i dostępności. Korzyści z implementacji normy ISO/IEC 27001 jest wiele i powinna to rozważyć każda organizacja, której działania wymagają zarządzania poufnymi informacjami.
Przepisy zawarte w RODO
RODO to Rozporządzenie o Ochronie Danych Osobowych, które jest unijnym aktem prawnym, wiążącym wszystkie państwa członkowskie Unii Europejskiej. Przepisy zawarte w tym rozporządzeniu odnoszą się do zasad przetwarzania, wykorzystywania i przechowywania danych osobowych. Celem wprowadzenie tego rozporządzenia było ujednolicenie przepisów na terenie Unii Europejskiej.
Zawarte w RODO przepisy dotyczą wszystkich firm, organizacji, instytucji itd. które gromadzą, a później wykorzystują dane osobowe osób fizycznych. Rozporządzenie to nie obejmuje swoim zakresem przetwarzania danych przez osoby fizyczne w ramach działalności osobistej lub domowej, oczywiście pod warunkiem, że nie łączy się to z działalnością zawodową lub komercyjną.
Czy ISO/IEC 27001 łączy się w pewnych kwestiach z RODO?
RODO to zbiór przepisów mówiących, w jaki sposób należy postępować z danymi osobowymi podczas ich przetwarzania, wykorzystywania i przechowywania. Jednak rozporządzenie to nie daje narzędzi, które mogłoby realnie przyczynić się do zabezpieczenia tych danych osobowych. Z tego względu taka norma jak ISO/IEC 27001 jest tutaj bardzo pomocna, ponieważ jest to międzynarodowy standard opracowany dla zarządzania bezpieczeństwem informacji. Określa on, w jaki sposobów każda firma i organizacja może wprowadzić system zarządzania bezpieczeństwem informacji, który pozwoli zachować pełną ochronę i bezpieczeństwo wszelkich danych poufnych, do których należą też dane osobowe.
RODO i norma ISO/IEC 27001 są dość mocno ze sobą połączone, ponieważ dotyczą podobnych zagadnień, z tym, że RODO wyznacza przepisy, a ISO/IEC 27001 realne narzędzia i sposoby ochrony danych.
Czym dla RODO jest proces certyfikacji zgodnie z zasadami standardu ISO/IEC 27001?
Norma ISO/IEC 27001 to doskonały punkt wyjścia do osiągnięcia wszelkich wymagań technicznych i operacyjnych zawartych w RODO. Firmy, które wdrożyły ten standard i uzyskały w związku z pozytywnym wynikiem audytu certyfikat, są już w połowie drogi do osiągnięcia pełnej zgodności z RODO.
Rozporządzenie to wymaga:
- stosowania szyfrowania danych osobowych,
- zapewniania ciągłej poufności, integralności, dostępności i odporności systemów przetwarzania i usług,
- zapewniania możliwości przywrócenia dostępności i dostępu do danych osobowych w odpowiednim czasie w przypadku fizycznego lub technicznego incydentu,
- wdrożenie procesu regularnego testowania i oceny środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania i wiele więcej.
Certyfikat ISO/IEC 27001 potwierdza, że firma spełniła wszystkie te wymogi. Z tego względu proces certyfikacji ISO/IEC 27001 ma tak duże znaczenie w przypadku RODO.