ISO 27701: Sistemas de gestión de Privacidad de la Información
¿Qué es la norma ISO 27701?
La ISO/IEC 27701:2019 es una extensión de la ISO 27001 en materia de privacidad de datos. Esta norma de seguridad de la información recientemente publicada proporciona orientación para las organizaciones que buscan establecer sistemas para apoyar el cumplimiento del RGPD y otros requisitos de privacidad de datos. La norma ISO 27701, también abreviada como PIMS (Sistema de Gestión de Privacidad de la Información) esboza un marco para que los Controladores y Procesadores de Información Personal gestionen la privacidad de los datos. Los sistemas de gestión de la información sobre la privacidad se denominan a veces sistemas de gestión de la información personal.
Esto reduce el riesgo para los derechos de privacidad de las personas y para la organización al mejorar un sistema de gestión de la seguridad de la información existente.
Esta norma es una gran manera de demostrar a los clientes, a las partes interesadas externas y a los interesados internos que existen sistemas eficaces para apoyar el cumplimiento del RGPD y otra legislación de privacidad relacionada.
Las organizaciones que deseen obtener la certificación ISO 27701 para cumplir con el RGPD tendrán que tener una certificación ISO 27001 existente o implementar la ISO 27001 y la ISO 27701 de forma integrada, dado que la ISO 27701 es una ampliación natural de los requisitos de la ISO 27001.
La norma ISO 27001 proporciona un marco para un Sistema de Gestión de la Seguridad de la Información (SGSI) que permite mantener la confidencialidad, integridad y disponibilidad de la información, así como el cumplimiento de la legislación. Más de 60.000 organizaciones de todo el mundo se han certificado hasta la fecha con la norma ISO 27001, lo que demuestra que la certificación es una parte esencial de la protección de sus activos más vitales.
NQA es un líder en el despliegue de la norma ISO 27701, obteniendo la acreditación ANAB a principios de 2020 y teniendo más de una docena de auditores formados y tutelados que realizan algunas de las primeras auditorías en ISO 27701 en Estados Unidos.
Ofrecemos un servicio integral de auditoría de terceros, que evalúa su cumplimiento actual e identifica las áreas potenciales de mejora continua. NQA proporciona conocimientos y experiencia en auditorías ISO 27701 para garantizar que nuestros clientes reciban auditorías exhaustivas, rigurosas, de apoyo y coherentes.
¿Quiere implantar un sistema de gestión ISO 27701? ¿No sabe por dónde empezar? Eche un vistazo a nuestra Guía de implementación de la norma ISO 27701 aquí.
¿Cómo obtener la certificación ISO 27701?
Conseguir la certificación ISO 27701 requiere seguir unos pasos específicos. NQA puede ofrecer un servicio de análisis de deficiencias, si es necesario, para ayudarle a reconocer las principales deficiencias de su sistema de gestión con el fin de facilitar los pasos necesarios para el cumplimiento de la norma ISO 27701.
Como se detalla en el siguiente vídeo, tendrá que obtener la certificación ISO 27001 junto con la ISO 27701 o tener una certificación ISO 27001 previa con un organismo de certificación acreditado por ANAB/UKAS. La certificación ISO 27701 es una extensión de la ISO 27001.
La obtención de la certificación ISO 27701 implicará:
- Rellenar un formulario de solicitud de presupuesto (QRF).
- Recibir un presupuesto de certificación y firmarlo.
- Preparar la auditoría de certificación.
El siguiente vídeo ofrece imágenes y una explicación más detallada del proceso de certificación.
Cómo obtener la certificación ISO 27701
Útil con
- Cumplimiento del RGPD
- Derechos de privacidad de las personas
- Confidencialidad continuada
- Gobernanza informática
- Violación de datos
- Protección de la información personal
- Fomentar la confianza de los clientes
- Aumentar la satisfacción del cliente
- Proteger la reputación de la organización
Otras normas de gestión de riesgos:
Benefits of ISO 27701 Certification
Soporte al cumplimiento RGPD y privacidad de la información
Alineación con el RGPD, permitiendo a las organizaciones utilizar la norma para abarcar otras normas, regulaciones y requisitos sobre privacidad.
Mantener la integridad
Mantener la integridad de la información de clientes y partes interesadas. Llevar a cabo las actividades de la organización con la seguridad de saber que su sistema puede ayudarle a gestionar riesgos de privacidad de la información.
Ahorre tiempo y gane licitaciones
La certificación ISO 27001 facilitará la respuesta cuestionarios de seguridad, demostrando cumplimiento y asegurando la protección de la información de los individuos. Esta norma puede proporcionar una garantía extra respecto a potenciales clientes y ayudarle a ganar más licitaciones.
Preparación
Desarrolle más el Reglamento General de Protección de Datos.
Compromiso con la seguridad
Desmostar compromiso con la seguridad de la información a clientes, proveedores y otras partes interesadas.
Reconocimiento global como proveedor reputado
La certificación se reconoce y acepta en la cadena de suministro aeroespacial como un referente de la industria.
¿Es la certificación ISO 27701 adecuada para mi empresa?
La certificación ISO 27701 ofrece varias ventajas clave para una amplia gama de industrias:
- Norma global: La certificación ISO 27701 es una norma respetada para los sistemas de gestión de la información sobre la privacidad en todo el mundo. Contar con estas credenciales demuestra la posición de su empresa como líder en este campo.
- Evaluación rigurosa: Esta certificación somete a sus operaciones a un riguroso estándar que demuestra el nivel de minuciosidad y detalle de sus operaciones al cumplir los requisitos más exigentes.
- Flexibilidad jurisdiccional: Las disposiciones de la norma ISO 27701 obligan a su organización a cumplir una norma mundial. Al mismo tiempo, esta certificación le permite adherirse a los requisitos de las jurisdicciones regionales. Puede seguir cumpliendo plenamente con los requisitos locales y mundiales.
El Reglamento General de Protección de Datos (RGPD) está en pleno apogeo. Desde su entrada en vigor en mayo de 2018, esta legislación histórica de la UE ha supuesto un cambio radical en los derechos de privacidad de los datos, especialmente en lo que respecta a quién es el "propietario" de los datos, quién los controla y quién tiene la última palabra en sus usos y transacciones en el mundo digital actual.
En virtud del RGPD, el límite máximo podría alcanzar los 20 millones de euros o el 4% de la facturación global anual de una organización, lo que sea mayor. Las organizaciones también se enfrentan a un importante riesgo de daño a la reputación por el incumplimiento y las violaciones de datos. Para algunas empresas esto podría suponer una amenaza de quiebra o incluso de cierre.
La implantación de un sistema de gestión de privacidad de la información (PIMS) que cumpla los requisitos de la norma ISO 27701 permitirá a las organizaciones evaluar, reaccionar y reducir los riesgos asociados a la recogida, el mantenimiento y el tratamiento de la información personal. La certificación de la norma ISO 27701 no confirma el cumplimiento legal del RGPD, pero proporciona un marco valioso para su cumplimiento.
Diferencias entre la ISO 27001 y la ISO 27701
La norma ISO 27701 está llamada a ser la norma de referencia para el cumplimiento de la normativa del RGPD, del mismo modo que la norma ISO 27001 se considera el "patrón oro" para la gestión de la seguridad de la información. La ISO 27701 se centra específicamente en abordar los requisitos del RGPD para garantizar normas específicas del sector que se ajusten a las necesidades operativas pertinentes.
Se alinea con el RGPD, pero también permite a las organizaciones utilizar la norma para incorporar otras leyes, reglamentos y requisitos de privacidad. Esto hace que sea una excelente opción para las organizaciones de todos los sectores y tamaños que buscan demostrar su cumplimiento con el principio de "responsabilidad" del RGPD. Demuestra responsabilidad y experiencia en los requisitos y ayuda a aumentar la rentabilidad operativa y el valor en la industria.
Obtenga la certificación ISO 27701
Si ya tiene acreditada la certificación ISO 27001, le resultará bastante sencillo aplicar los principios de gestión de riesgos de la información a la información personal.
Las normas exigen que las organizaciones con certificación ISO 27001 incluyan la gestión de la privacidad, lo que significa revisar el análisis contextual, la evaluación de riesgos y el entorno de control de la organización para garantizar que se incorpore la gestión de la privacidad.
A continuación, el sistema de gestión de la información sobre la privacidad debe documentarse. Las organizaciones que tienen menos confianza en el cumplimiento del GDPR encontrarán la norma ISO 27701 especialmente útil, ya que ofrece recomendaciones específicas sobre las acciones para cumplir con el reglamento.
Podemos evaluar su cumplimiento de la norma ISO 27701 como complemento a su evaluación de la norma ISO 27001. Nos aseguraremos de que nuestro enfoque siga el mismo método que la norma: examinar un sistema que apoye la seguridad de la información y la gestión de la información personal.
Preguntas frecuentes sobre la norma ISO 27701
Muchos sectores tienen preguntas sobre el funcionamiento de la certificación de la norma ISO 27701, por lo que hemos recopilado algunas preguntas y respuestas clave. También tenemos una lista más extensa en nuestra sección de herramientas de seguridad de la información si necesita información adicional.
P: ¿A quién se aplica la norma ISO 27701?
R: La certificación ISO 27701 tiene un diseño específicamente adaptado a los controladores y procesadores de datos. Es muy relevante para este campo y es más valiosa cuando la utilizan los profesionales de estas áreas específicas.
P: ¿Cuánto cuesta obtener la certificación ISO 27701?
R: Los costes variarán en función de su organización, su nivel de complejidad, el número de empleados y las instalaciones. Podemos ofrecerle un presupuesto rápido si nos facilita algunos datos de la empresa e información sobre sus objetivos.
P: ¿Cuánto tiempo se tarda en obtener la certificación ISO 27701?
R: Conseguir la certificación ISO 27701 puede llevar tan sólo dos o tres meses con una gestión estratégica y experimentada. Puede llevar más de seis meses si el personal no dispone de los mejores recursos para la formación. Hay varios factores que pueden influir en la duración total de la certificación, como el tamaño de la organización, el número de empleados y el número de sedes empresariales.
Podemos trabajar juntos y ayudarle a determinar el mejor enfoque para su empresa. Le recomendamos que trate la certificación como un proyecto que puede completar a través de un consultor ISO 27701 o internamente, dependiendo de sus habilidades y experiencia.
PROCESO DE CERTIFICACIÓN
-
Paso 1
Necesitará rellenar el formulario de solicitud para que NQA puede comprender las necesidades y requisitos de su empresa. También puede hacernos llegar su solicitud rellenando el presupuesto rápido o formal. Utilizaremos la información proporcionada para definir el alcance de la auditoría y proporcionarle un presupuesto de certificación.
-
Paso 2
Una vez haya aceptado y firmado el presupuesto, estableceremos una fecha de auditoría. La certificación inicial está compuesta por dos visitas (fase 1 y fase 2). Por favor, tenga en cuenta que su sistema de gestión habrá tenido que estar en funcionamiento por al menos 3 meses y haber superado una revisión por la dirección y una auditoría interna.
-
Paso 3
Si supera con éxito la auditoría inicial (fase 1 y fase 2) y el resultado es positivo, NQA emitirá un certificado acorde a la norma solcitada. Recibirá una copia física y digital de su certificado, el cual es válido por 3 años y será mantenido mediante un programa de vistas de mantenimiento anual y una recertificación trienal.