GDPR cu ajutorul ISO 27001

Organizațiilor care au implementat ISO 27001 ar trebui să le fie mai ușor să implementeze GDPR (RGPD). Politicile și procedurile (măsurile administrative conform RGDP) ar trebui revizuite și actualizate pentru a reflecta noile cerințe.

Mai jos cîteva exemple de articole din Regulament și clauze ISO corespondente. Fiind exemple, nu este o listă completă :).

(Nu am făcut nici o referire la 6.1 Activitati pentru abordarea riscurilor si oportunitatilor din ISO 27001.

Pentru clauzele ISO am folosit traducerea în limba română din versiunea standardului publicată de ASRO)

 

Articol RGPD Clauza ISO 27001
Articolul 3 – Domeniul de aplicare territorial A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal
Articolul 4 – Definiții (date cu character personal) A.8.2.1 – Clasificarea informatiilor
Articolul 4 – Definiții (prelucrare) A.8.1.3 – Utilizarea rationala a resurselor
Articolul 4 – Definiții (operator) A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal
Articolul 4 – Definiții (persoană împuternicită de operator) A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal
Articolul 4 – Definiții (sediu principal) A.6.1.3 – Contactul cu autoritățile
Articolul 5 – Principii legate de prelucrarea datelor cu caracter personal

Articolul 6 – Legalitatea prelucrării

Articolul 7 – Condiții privind consimțământul

Articolul 8 – Condiții aplicabile în ceea ce privește consimțământul copiilor în legătură cu serviciile societății informaționale

Articolul 9 – Prelucrarea de categorii speciale de date cu caracter personal

A.12.1.1 – Proceduri operationale documentate

A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal

Articolul 12 – Transparența informațiilor, a comunicărilor și a modalităților de exercitare a drepturilor persoanei vizate A.12.1.1 – Proceduri operationale documentate
Articolul 13 – Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată

Articolul 14 – Informații care se furnizează în cazul în care datele cu caracter personal nu au fost obținute de la persoana vizată

Articolul 15 – Dreptul de acces al persoanei vizate

A.12.1.1 – Proceduri operationale documentate

A.6.1.1 – Roluri si responsabilităţi privind securitatea informaţiilor

A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal

A.8.2.1 – Clasificarea informatiilor

A.13.2.1 – Proceduri şi politici privind

Articolul 16 – Dreptul la rectificare

Articolul 17 – Dreptul la ștergerea datelor („dreptul de a fi uitat”)

Articolul 18 – Dreptul la restricționarea prelucrării

Articolul 19 – Obligația de notificare privind rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării

Articolul 20 – Dreptul la portabilitatea datelor

Articolul 21 -Dreptul la opoziție

Articolul 22 – Procesul decizional individual automatizat, inclusiv crearea de profiluri

A.12.1.1 – Proceduri operationale documentate

A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal

Articolul 24 – Responsabilitatea operatorului A.5.1.1 – Politici privind securitatea informatiilor

A.5.1.2 – Revizuirea politicilor privind securitatea informatiilor

A.18.2.2 – Conformitatea cu politicile şi standardele  de securitate

Articolul 25 – Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit A.5.1.1 – Politici privind securitatea informatiilor

A.6.1.5 – Securitatea informaţiilor în managementul de proiect

A.14.1.1 – Analiza si specificatia  cerintelor de securitate

A.14.2.5 – Principiile privind ingineria de securitate a sistemelor

Articolul 28 – Persoana împuternicită de operator A.9.2.2 – Asigurarea accesului utilizatorului

A.9.4.1 – Restrictionarea accesului la informatii

A.12.1.1 – Proceduri operationale documentate

A.13.2.1 – Proceduri şi politici privind transferul de informații

A.13.2.2 – Acorduri privind transferul de informatii

A.15.1.1 – Politica de securitate a informatiilor privind  relatiile cu furnizorii

A.15.1.2 – Tratarea securitatii in contractile cu furnizorii

A.16.1.3 – Raportarea breselor in securitatea informatiilor

Articolul 30 – Evidențele activităților de prelucrare A.12.1.1 – Proceduri operationale documentate
Articolul 32 -Securitatea prelucrării A.5.1.1 – Politici privind securitatea informatiilor

A.6.1.5 – Securitatea informaţiilor în managementul de proiect

A.9.4.1 – Restrictionarea accesului la informatii

A.10.1.1 – Politica privind utilizarea masurilor de securitate criptografice

A.12.3.1 – Copia de siguranţă a informațiilor

A.12.7.1 – Masuri de securitate privind auditul sistemelor informatice

A.14.1.1 – Analiza si specificatia  cerintelor de securitate

A.14.2.5 – Principiile privind ingineria de securitate a sistemelor

A.14.2.8 – Testarea securitatii sistemului

A.14.2.9 – Testarea la receptia sistemului

A.15.2.1 – Monitorizarea si analiza serviciilor furnizorului

A.17.1.1- Planificarea continuitatii securitatii informatiilor

A.17.1.2- Implementarea continuitatii securitatii informatiilor

A.18.2.1 – Analiza independenta a securitatii informatiei

Articolul 33 – Notificarea autorității de supraveghere în cazul încălcării securității datelor cu caracter personal A.6.1.3 – Contactul cu autoritățile

A.16.1.1 –  Responsabilităţi şi proceduri

A.16.1.5 – Reactia la incidentele de securitate a informatiilor

A.16.1.7 – Strangerea probatoriului

A.12.4.1 – Jurnalizarea evenimentelor

Articolul 34 – Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal A.16.1.5 – Reactia la incidentele de securitate a informatiilor
Articolul 35 – Evaluarea impactului asupra protecției datelor A.6.1.5 – Securitatea informaţiilor în managementul de proiect

A.14.1.1 – Analiza si specificatia  cerintelor de securitate

A.14.2.5 – Principiile privind ingineria de securitate a sistemelor

Articolul 36 – Consultarea prealabilă A.6.1.3 – Contactul cu autoritățile
Articolul 37 – Desemnarea responsabilului cu protecția datelor A.6.1.1 – Roluri si responsabilităţi privind securitatea informaţiilor
Articolul 44 – Principiul general al transferurilor A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal
Articolul 46 – Transferuri în baza unor garanții adecvate A.15.1.2 – Tratarea securitatii in contractile cu furnizorii

A.15.2.1 – Monitorizarea si analiza serviciilor furnizorului

Articolul 55 – Competența A.6.1.3 – Contactul cu autoritățile
Articolul 60 – Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate A.6.1.3 – Contactul cu autoritățile
Articolul 85 – Prelucrarea și libertatea de exprimare și de informare

Articolul 86 – Prelucrarea și accesul public la documente oficiale

Articolul 87 – Prelucrarea unui număr de identificare național

Articolul 88 – Prelucrarea în contextul ocupării unui loc de muncă

Articolul 89 – Garanții și derogări privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice

Articolul 90 – Obligații privind păstrarea confidențialității

A.18.1.4 – Intimitatea și protejarea informațiilor cu carcater personal
Anunțuri

Mulţumesc.

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s