BM Trada Logo Library
Solicitar presupuesto
Home Recursos Blog Diciembre 2019

¿Cómo se relacionan ISO 27701 e ISO/IEC 27001?

13 diciembre 2019
Su organización puede beneficiarse de integrar la ISO 27701 a sus sistema de gestión de seguridad de la información existente, de esta forma, puede conseguir el cumplimiento con el RGPD y mejorar la seguridad de sus datos.

Publicada en agosto de 2019, la ISO 27701 es una nueva norma para la privacidad de los datos e información. El nombre original del borrador era ISO 27552 y fue redactada por un grupo de trabajo ISO/IEC. Su organización puede beneficiarse de integrar la ISO 27701 a su sistema de gestión de seguridad de la información existente, de esta forma, puede conseguir el cumplimiento con el RGPD y mejorar la seguridad de sus datos.

¿Qué es la ISO 27701?

Es sencillamente una extensión de mejora de la ISO 27001. La norma proporciona la privacidad de los datos y la seguridad de la información solicitada por el Reglamento General de Protección de Datos (RGPD). Para gestionar eficientemente la privacidad, contiene la figura de procesadores y controladores de la información personal. Implantar la ISO 27001 resultará en la creación de un sistema de gestión de privacidad de la información (SGPI).

Utilizar la norma ISO 27701 para la seguridad de los datos demuestra a clientes y partes interesadas que su empresa cumple con el RGPD y la legislación sobre privacidad. También asegura que dispone de sistemas efectivos en los que puede confiar. Al reducir los riesgos potenciales de seguridad de la información y privacidad mediante controles, crea una marca de mayor renombre. 

¿Cuál es el propósito de la ISO 27701?

Dado que la ISO 27701 es un sistema de gestión de privacidad de la información (SGPI), su propósito está puramente relacionado con la privacidad y seguridad de los datos. Contiene el marco de trabajo y los requsitos para los controles y prácticas de privacidad. La ISO 27701 sirve como extensión de la ISO 27001, de este modo, se requiere que su empresa ya tengo implantada la ISO 27001.

El principal objetivo de la ISO 27701 es:

  • Reforzar el sistema de gestión de seguridad de la información (SGSI) con la extensión del SGPI y controles relacionados con la privacidad.
  • Simplificar la gestión de leyes de privacidad interrelacionadas.
  • Crear un programa de privacidad basado en la evidencia y que demuestre el cumplimiento del RGPD a través de un certificado reconocido.
  • Actuar como base para el cumplimiento del RGPD.

La norma ISO 27701 también tiene otros muchos propósitos. Sirve como esquema de la relación y conexión del SGPI con el SGSI. También detalla las funciones requeridas y enumera los controles de privacidad del SGPI para los procesadores y controladores. A una escala mayor, la ISO 27701 esquematiza los requisitos de privacidad de la información para las normas ISO relevantes y el RGPD.

¿Cómo se relaciona la ISO 27701 con la ISO 27001?

La ISO 27701 sirve como una mejora de la ISO 27001. Es una de las muchas normas de gestión de riesgos, pero se centra en el cumplimiento del RGPD y otras regulaciones sobre privacidad de la información aplicables. Antes de experimentar los beneficios de seguridad y mejora de la ISO 27701, debe tener implantado un sistema ISO 27001. Sin embargo, la ISO 27001 no cumple con los requisitos del RGPD de forma independiente, por ello esta extensión es importante.

iso 27701 and GDPR

Como extensión de la ISO 27001, la ISO 27701 tiene el potencial de reducir el riesgo relacionado con fugas de privacidad e información. Al integrarlo en su SGSI, demuestra que su organización dispone de sistemas efectivos para proteger los datos de clientes y partes interesadas.

Los requisitos técnicos para los sistemas de gestión de seguridad de la información y de privacidad de la información son parcialmente comunes. La conexión entre los dos hace que la implantación de la ISO 27001 e ISO 27701 sea directa. La norma internacional ISO refuerza su sistema de gestión de la información con requisitos de seguridad adicionales.

Los beneficios de disponer del certificado ISO 27701 incluyen:

  • Cumplimiento con la privacidad de datos y RGPD: La ISO 27701 asegura el cumplimiento del RGPD por su empresa y le permite utilizar dicha norma de cara a otras regulaciones y requisitos de privacidad.
  • Integridad: Su organización puede llevar a cabo actividades de forma rutinaria con la seguridad de que puede gestionar sus riesgos  de seguridad de la información de sus partes interesadas.
  • Ahorro de tiempo: Con la ISO 27701, será capaz de responder a cuestionarios de seguridad, cumplir con las regulaciones de seguridad y asegurar a los individuos que dispone de sistemas de gestión de riesgos implantados.
  • Preparación:  Si el Reino Unido abandona la Unión Europea, la ISO 27701 le ayudará a preparar a su organización frente al desarrollo de la Ley de Protección de Datos inglesa (Data Protection Act). El marco de trabajo ya estará implantado.

¿Cómo conseguir el certificado ISO 27701?

Para empresas que dispongan del certificado ISO 27001, el proceso de aplicación de la ISO 27701 es relativamente directo. Las normas requieren que los solicitantes de la norma ISO 27701 también implanten un sistema de gestión de seguridad de la información. Para asegurar que está implantado y que cumple los principios de gestión de riesgos y con las normas, necesita comprender el contexto de su organización, los requisitos internos y externos, los riesgos aplicables y los criterios de aceptación de riesgos. Esto le ayudará a asegurar que el sistema de gestión de privacidad de la información está bien desarrollado y es completo.

Hay 3 pasos para conseguir el certificado ISO 27701:

  • Paso 1: En primer lugar, debe trabajar con un organismo de certificación cualificado que audite su organización. Una vez lo haya encontrado, deberá rellenar un formulario de solicitud. Esto servirá para elaborar un presupuesto que se ajuste a su organización.
  • Paso 2: Una vez acepte el presupuesto, un auditor le proporcionará una evalución de su organización. La auditoría de certificación inicial consiste en una visita obligatoria del auditor. Este comprobará si dispone de un sistema de gestión operativo implantado. También comprobará si el sistema ha pasado una revisión por la dirección y un ciclo de auditoría interna. 
  • Paso 3: Una vez el auditor termine la auditoría, el organismo de certificación determinará si su organización cumple con los requisitos. Si el resultado es positivo, recibirá un certificado conforme a la norma auditada. A partir de entonces, el certificado tiene una validez de 3 años, sujeto a visitas de mantenimiento anuales combinadas con las auditorías de ISO 27001, y seguido de una auditoría de recertificación trienal.

Si su organización no dispone de un certificado ISO 27001, necesitará conseguir dicho certificado o realizar una auditoría integrando la ISO 27001 y la ISO 27701. Si no necesita la ISO 27001, puede implantar la BS 10012:2017 con el Anexo A1:2018. Funciona como un sistema de gestión de seguridad de la información independiente sin requerir la ISO 27001 como prerequisito.

Consiga su certificado ISO 27701 con NQA

NQA proporciona los servicios necesarios a un excelente valor. Nuetras auditorías van más allá de la comprobación del cumplimiento de requisitos de las normas, también le ayudan a mejorar su organización. Nuestra pasión es exceder sus expectativas. NQA le proporcionará un servicio al cliente de calidad, tarifas competitivas y sin gastos subyacentes.

get iso 27701 certified

Asegúrese de que su organización cumple con el RGPD, solicite presupuesto a NQA para empezar a trabajar con su certificado.