wesecure@roboyo.pt +351 932 942 002

Select language:

SISTEMAS DE GESTÃO DE PRIVACIDADE DA INFORMAÇÃO [SGPI / PIMS]

implementação e certificação de Sistemas de gestão da privacidade da informação
Desde a introdução do Regulamento Geral de Proteção de Dados da UE (RGPD), e o crescimento contínuo de leis de proteção de dados comparáveis em todo o mundo, tem havido uma necessidade crescente de um padrão ou código de conduta para apoiar a conformidade
Embora já existam publicações e normas que discutem a proteção de dados, muitas delas não são internacionais, focando-se principalmente nos requisitos de proteção de dados e boas práticas em jurisdições específicas.
Por exemplo, a BS 10012 baseia-se exclusivamente no RGPD e na Lei de Proteção de Dados (DPA) 2018 do Reino Unido, o que o torna um candidato sólido para organizações com forte interesse regional.
Entretanto, uma abordagem baseada nas melhores práticas internacionais deve ser capaz de se adaptar a outros regimes e não impor exigências que dependam de legislação específica. Crucialmente, isso significa que esta norma (ISO 27701) oferece suporte à conformidade com uma gama internacional mais ampla de proteção de dados e legislação de privacidade, incluindo o Health Information Portability and Accountability Act (HIPAA) e o California Consumer Privacy Act (CCPA) nos EUA.
Assim, a ISO/IEC 27701 (Técnicas de segurança – Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade – Requisitos e diretrizes), publicado em agosto de 2019, visa preencher a lacuna de garantia e fornecer uma abordagem genuinamente internacional à proteção de dados como uma extensão da segurança da informação.
Originalmente baseada na ISO 27552, a ISO 27701 fornece requisitos e orientações específicas para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Privacidade da Informação (PIMS) como uma extensão do Sistema de Gestão de Segurança da Informação (ISMS) definido na ISO 27001, para considerar as proteções de privacidade requeridas para o correto processamento e tratamento de dados pessoais (Personally Identifiable Information - PII).
Esta ISO 27701 aplica-se aos Responsáveis pelo tratamento de dados (Controllers e também aos Joint Controllers) e aos Subcontratantes (Processors, incluindo Sub-Processors) dos dados pessoais, independentemente das jurisdições e setores em que operem.
Algumas considerações desta norma ISO 27701:

  •     Foca-se em novos requisitos e controlos no seu anexo, direcionados para a proteção de dados pessoais;
  •     Mais valia ao ser implementada pois permite demonstrar accountability (conformidade e responsabilidade) com o RGPD.;
  •     Orientada para a privacidade e baseada na ISO 27001;
  •     A sua certificação exigirá primeiro a certificação ISO 27001;


CONTACTE-NOS PARA + INFORMAÇÕES

ÉTAPAS PARA IMPLEMENTAÇÃO DA ISO 27701

A equipa especializada da WeSecure prepara a sua organização para a certificação da ISO 27701 através da implementação de requisitos, políticas, procedimentos, controlos do anexo A e do Anexo B, ajustadas ao âmbito e à realidade da sua organização, tendo em vista o sucesso na implementação e/ou na certificação.
Entenderemos se a sua função o faz atuar como Controller, Processor de dados (ou ambos) propondo os controlos de privacidade adequados e seguimos habitualmente os seguintes passos, sendo eles, mas não se limitando a:
Realizamos uma avaliação do estado atual sobre o SGSI existente sobre os requisitos da ISO/IEC 27701 e promovemos um plano de ação para levar a cabo as ações pendentes e que foram identificadas.
Fazemos um Rapid Process Scan de forma a identificar todos os dados pessoais tratados pela sua organização nos mais variados processos de negócio, mapeando os ativos com dados pessoais e respetivo tratamento entre controller e processors.

Com a equipa e perfis bem definidos, entendemos o contexto da sua organização, requisitos e regulamentação aplicaveis e promovemos toda a documentação necessária para o Governance, elevando as polticas de privacidade para o nível que a ISO 27701 exige.

Adaptar o SGSI com as ações necessárias para a implementação com particular incidencia na avaliação de riscos e SOA, promovendo uma operacionalização contínua assente nos respetivos processos de melhoria.


CONHEÇA MELHOR A ESTRUTURA DA NORMA ISO 27701

Esta ISO 27701 apresenta o seu conteúdo por cláusula (assim como outras normas ISO), das quais as cláusulas 5 a 8 estabelecem os requisitos adicionais e ajustes a serem aplicadas à ISO 27001 com especial atenção.
CLAUSULA 5 - Requisitos especificos do PIMS

Requisitos especificos do PIMS

Esta cláusula aborda todas as cláusulas da ISO 27001 e identifica onde é necessário conteúdo adicional. A maioria das cláusulas da ISO 27001 permanece inalterada, com a ressalva de que a ISO 27701 exige que a organização reconheça a sua necessidade de proteção de dados dentro do seu contexto, e esse contexto informa todos os outros requisitos.
Outra adição notável afeta a avaliação de risco, que terá de levar em consideração o papel da organização em relação aos dados pessoais – ou seja, se é um controller ou um processor, e como isso afeta os riscos para os dados pessoais. Outra entrada refere-se à existência dos novos controles e permite que a sua organização reconcilie os seus controles com uma gama mais ampla de controles, incluindo os da ISO 27701

CLAUSULA 6 - Orientação especifica de implementação

Orientação especifica de implementação

Esta seção fornece conteúdo adicional para a orientação de controlos definidos na ISO 27002
Estabelece uma alteração de alto nível que todas as referências à 'segurança da informação' devem ser consideradas como incluindo a proteção da privacidade
Controlos com impacto potencialmente significativo na privacidade e proteção de dados tem uma orientação mais extensa. (exemplo: assuntos sobre mídia removível, criptografia e desenvolvimento seguro...)

CLAUSULA 7 - Orientação adicional para Controllers

Orientação adicional para Controllers

Esta cláusula nº 7 fornece orientação sobre os controlos do Anexo A da ISO 27701, que são específicos para privacidade para a função de Responsável pelo tratamento de dados pessoais. Esses controlos abordam muitas das áreas críticas de proteção de dados e privacidade que não são consideradas pelos controles fornecidos na ISO 27001.
Desta forma a norma, disponibiliza claramente controlos para Controllers, nesta Clausula 7.

Cláusula 8 - Orientação adicional para processors

Orientação adicional para processors

Esta cláusula fornece orientação sobre os controlos do Anexo B da ISO 27701, que são específicos para privacidade para a função de subcontratante de dados pessoais.
Esses controlos abordam muitas das áreas críticas de proteção de dados e privacidade que não são consideradas pelos controlos fornecidos na ISO 27001.
Desta forma a norma, disponibiliza claramente controlos para Processors, nesta Clausula 8.


CONTACTE-NOS PARA + INFORMAÇÕES

EQUIPA EXPERIENTE

Temos experiência para apoiar na implementação e/ou certificação (via extensão da ISO 27001) pela norma internacional ISO/IEC 27701.

Temos recursos especializados que lhe disponibilizamos para trabalhar nesta área em equipa sénior, com recurso a metodologias ágeis e detentores de certificações internacionais, entre elas mas não se limitam a:

  •     ISO 27701 Lead Auditor
  •     DPOs certificados internacionalmente
  •     ISO 27032 Lead Cybersecurity Manager
  •     ISO 27001 Lead Auditor
  •     ISO 27001 Lead Implementer
  •     ISO 27005 Sénior Lead Risk Manager
  •     Certified Information Security Manager
  •     Certified Information Privacy Manager
  •     Certified Information Privacy Professional

O SEU PARCEIRO DE CONFIANÇA

Somos certificados pelas normas internacionais:
  •     ISO 27001 (desde 2018)
  •     ISO 9001 (desde 2003)
E todos os âmbitos das nossas certificações incidem precisamente nos nossos serviços especializados.

Com orgulho, os nossos clientes testemunham de forma isenta o nosso trabalho.
Saiba quem são e fale com eles.
É comum em cibersegurança...
Estamos disponiveis.

Recursos certificados em ISO 27001 Lead Auditor Recursos certificados em ISO 27001 Lead Implementer Recursos certificados em ISO 27005 Cyber Risks Recursos certificados em ISO cybersecurity Lead manager Recursos certificados em ISO 22301 Lead Auditor Auditor certificado em Sistemas de Gestão de Privacidade da Informação Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Cobit Recursos certificados em ITIL Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Privacidade e Proteção de Dados Recursos certificados em Agile Recursos certificados em Agile Recursos certificados em PMI Recursos certificados em Management 3.0 Recursos certificados em CISM - ISACA Recursos certificados internacionalmente

Contacte-nos

Contacte-nos para mais informações

SUCCESS!!! A sua mensagem foi enviada com sucesso. Obrigado!

SEDE DA WESECURE

PORTUGAL
Rua Soares dos Reis, nº765 - 3
4400 - 317 Vila Nova de Gaia
TEMOS ESCRITÓRIOS EM 14 PAÍSES AO REDOR DO MUNDO. Venha visitar-nos em:

escritórios em 14 paises