ISO/IEC 27701 לניהול הפרטיות
אודות התקן
תקן ISO27701:2019 הוא תקן בינלאומי המהווה הרחבה לתקן אבטחת המידע הידוע ISO27001, והוא מתמחה בניהול פרטיות המידע. התקן פותח כדי לעזור לארגונים להקים, ליישם, לתחזק ולשפר באופן רציף מערכת ניהול מידע הפרטיות (Privacy Information Management System – PIMS). הוא מספק מסגרת מקיפה לארגונים המעוניינים להדגים ציות לדרישות הגנת הפרטיות, כולל תקנות כמו GDPR באירופה וחוקים דומים ברחבי העולם. התקן כולל בקרות מיוחדות להגנה על מידע אישי, הנחיות לטיפול בבקשות של נושאי הנתונים, ותהליכים לניהול סיכוני פרטיות. ISO27701 מאפשר לארגונים לבנות אמון עם לקוחות ושותפים עסקיים על ידי הוכחת מחויבות לפרטיות ולהגנה על נתונים אישיים.
דרישות התקן
התקן מחולק ל-8 חלקים עיקריים עם מערכת ניהול עצמאית. תקן זה מבדיל בין ארגון המעבד מידע פרטי ובין ארגון המחזיק מידע פרטי. החלק הראשון- מערכת הניהול- דומה מאוד ל 27001, תוך שימת דגש מיוחד על ניהול סיכוני פרטיות, זיהוי בעלי העניין הרלוונטיים לנושאי פרטיות, תאימות של מסמכי המדיניות וכו'.
בקרות התקן עוסקות במגוון רחב של נושאים כגון:
איסוף ועיבוד: זיהוי ותיעוד מטרות העיבוד, קביעת בסיס חוקי לעיבוד, קבלת ותיעוד הסכמה, הערכת השפעה על הפרטיות (PIA)
התחייבויות למנהלי המידע: מתן מידע ברור ונגיש על העיבוד, מנגנון לשינוי או ביטול הסכמה, זכות התנגדות לעיבוד, זכות גישה, תיקון ומחיקה
Privacy by Design: הגבלת איסוף – רק המידע הנחוץ למטרות שזוהו, הגבלת עיבוד – רק מה שהכרחי למטרות, דיוק ואיכות המידע, מזעור מידע – יעדים למזעור והשמדה בסיום
חוזים והתחייבויות: הסכם כתוב עם הלקוח, עיבוד רק לפי הוראות הלקוח, איסור שימוש במידע לשיווק ללא הסכמה
מנגנונים טכניים: החזרה/העברה מאובטחת של מידע, בקרות העברה ברשתות, ניהול קבלני משנה, הצפנה (לא חובה אבל מומלצת), גריטת ציוד שלא בשימוש, איסור מדיה נתיקה, גיבוי ושחזור ספציפי למידע אישי
ניהול ובקרה: סימון וזיהוי מידע מזהה אישי, הדרכות עובדים בנושאי הגנת פרטיות, לוגים מפורטים של גישה ושינוי מידע אישי, הסכמי סודיות עם התייחסות ספציפית למידע אישי
תהליכים וחירום: זיהוי חוקיים ורגולציות רלוונטיים, תהליך חשיפה לא רצויה – למי מודיעים ומי אחראי, זכות מחיקה ושינוי לבעלי המידע, איסור שימוש במידע אמיתי בבדיקות QA ופיתוח
התקן מדגיש את החשיבות של ניהול כפול – גם אבטחת מידע וגם הגנת פרטיות, תוך הבטחת זכויות נשואי המידע לאורך כל מחזור החיים של המידע.
למי מיועד התקן
התקן מתאים לכל ארגון המחזיק או מעבד מידע פרטי של אזרחים בארץ או בחו"ל, כמו חברות המחזיקות בבסיס נתונים המכיל מידע אישי של לקוחותיהם, ארגונים במגזר הבריאות, הפיננסים, גופים ציבוריים וממשלתיים ועוד.
תקנים נוספים בתחום:
