Πώς το πρότυπο ISO 27001 σχετίζεται με τις απαιτήσεις του κανονισμού GDPR;

Στο παράρτημα Α, του προτύπου ISO 27001 περιγράφονται οι στόχοι και τα σημεία ελέγχου, που απαιτεί το πρότυπο που σχετίζονται σε μεγάλο βαθμό με το κανονισμό GDPR.

• Το σημείο ελέγχου του προτύπου ISO 27001, ορίζει την προστασία Προσωπικών Δεδομένων (ΠΔ) και την προστασία Πληροφοριών Προσωπικής Ταυτοποίησης (ΠΠΤ) και απαιτεί από τους οργανισμούς να προστατεύουν τις ΠΠΤ σύμφωνα με τις σχετικές νομοθετικές και κανονιστικές διατάξεις. Από το 2018, ο κανονισμός GDPR πλέον θα καθορίζει ειδικότερα την προστασία αυτή.
• Το πρότυπο ISO 27001 συνιστά την εφαρμογή πολιτικής προστασίας δεδομένων που θα λαμβάνει υπ’ όψιν της συγκεκριμένες νομικές ή άλλες απαιτήσεις, υποστηριζόμενη από συγκεκριμένες διεργασίες.Συνεπώς, εφόσον η προστασία των ΠΔ και ΠΠΤ και η συμμόρφωση με τη νομοθεσία αποτελεί ένα βασικό σημείο ελέγχου στο ISO 27001, μπορεί να υποστηριχθεί και η συμμόρφωση με το GDPR.
• Οι κρυπτογραφικοί μηχανισμοί και οι σχετικές τεχνολογίες μπορούν να χρησιμοποιηθούν για την προστασία προσωπικών πληροφοριών είτε αυτές βρίσκονται αποθηκευμένες ή κατά την μεταφορά τους σε δίκτυα. Η χρήση της κρυπτογράφησης ή/και ψευδωνυμοποίησης μπορεί να διατηρήσει την εμπιστευτικότητα των ΠΔ και ΠΠΤ, είτε στο δίκτυο, είτε σε κινητές συσκευές εξυπηρετώντας και τις απαιτήσεις του GDPR.
• Ο κανονισμός GDPR ορίζει ρόλους «υπεύθυνων επεξεργασίας δεδομένων» (Controllers) και «επεξεργαστών δεδομένων» (Processors) για τις διεργασίες, υποχρεώνοντας τους πρώτους να συνεργάζονται μόνο με τους επεξεργαστές που παρέχουν επαρκή εγγύηση για τους ελεγκτικούς μηχανισμούς στη διαχείριση ΠΔ. Μια παρόμοια προσέγγιση χρησιμοποιείται στο πρότυπο ISO 27001 για τη διαχείριση προμηθευτών και τρίτων. Με την αξιολόγηση των επεξεργαστών δεδομένων ή μια εγκεκριμένη πιστοποίησή τους, οι υπεύθυνοι επεξεργασίας δεδομένων μπορούν να υποστηρίξουν την κανονιστική συμμόρφωση.
• Ένα αξιοσημείωτο σημείο ελέγχου για το πρότυπο ISO 270001 αφορά την διαχείριση της επιχειρηματικής συνέχειας , όπου κατάλληλοι μηχανισμοί και συστήματα μπορούν να χρησιμοποιηθούν για την εξασφάλιση της διαρκούς διαθεσιμότητας των ΠΔ στις διεργασίες που απαιτείται, ικανοποιώντας και το GDPR.

Συμπερασματικά η συμμόρφωση με το πρότυπο ISO 27001 και τον κανονισμό GDPR μπορεί να λειτουργήσει συμπληρωματικά. Αν και η συμμόρφωση με το ISO 27001 δεν είναι υποχρεωτική, υπάρχουν σαφέστατα πεδία συνέργειας μιας και τα δύο πλαίσια μπορούν να συμβάλλουν στην ασφάλεια της πληροφορίας και των ΠΔ για κάθε οργανισμό από διαφορετική σκοπιά το καθένα.

Κωνσταντίνος Κωνσταντίνου Ιστοσελίδα Συντάκτη

Είμαι ο Κωνσταντίνος Κωνσταντίνου. Έχω σπουδάσει Οικονομικά και Νομική στο Παρίσι, έχω MBA και από το 1995 ασχολούμαι επαγγελματικά με την Ίδρυση Εταιρείας στη Βουλγαρία και τη Σύσταση Εταιρείας στην Κύπρο.