Un nou instrument pentru protecția datelor și a confidențialității
Autor: Andreea Tărpescu, redactor ASRO
IMM-urile și microîntreprinderile, marile corporații ale lumii, instituțiile publice, ONG-urile, mediul universitar și multe alte organizații gestionează un volum mai mare sau mai mic de date cu caracter personal, iar protejarea eficientă a vieții private devine o parte integrată, dar și o provocare pentru toate acestea. Drept urmare, cerințele și orientările standardelor reprezintă cea mai bună modalitate de a gestiona eficient protejarea confidențialității datelor.
Suntem mai conectați ca niciodată, iar mediul online și tehnologiile digitale au devenit esențiale în viața noastră cotidiană. Cu toate acestea, atacurile cibernetice, care au crescut considerabil, în special odată cu izbucnirea pandemiei de COVID-19 și cu mutarea cât mai multor activități profesionale în online, reprezintă o amenințare din ce în ce mai importantă la adresa stabilității globale. Astfel, nu este deloc surprinzător faptul că preocupările legate de protecția datelor cu caracter personal au crescut considerabil: modul în care o organizație gestionează acest tip de date – venite din partea clienților, utilizatorilor, investitorilor și a altor părți interesate – a devenit o necesitate a prezentului.
Crearea la nivel mondial a mai multor legi și regulamente privind confidențialitatea datelor, precum Regulamentul general al UE privind protecția datelor (GDPR), Legea privind confidențialitatea consumatorilor din California (CCPA), Legea privind securitatea cibernetică din China și nu numai, a pus o presiune suplimentară asupra organizațiilor și a modului în care își gestionează datele în mediul digital.
Din momentul publicării acestora, sancțiunile impuse au avut un impact semnificativ asupra organizațiilor, ceea ce le-a determinat să acorde o atenție sporită riscurilor de confidențialitate și să pună în aplicare măsuri de atenuare a acestora. Comunitatea internațională de standardizare a venit în sprijinul tuturor organizațiilor, indiferent de tipul sau dimensiunea acestora, și a publicat în anul 2019 standardul ISO/IEC 27701, elaborat în cadrul ISO/IEC JTC 1/SC 27 – Securitatea informațiilor, securitatea cibernetică și protecția confidențialității.
La nivel național, ASRO a adoptat acest standard în anul 2021, cu versiune în limba engleză, sub indicativul SR EN ISO/IEC 27701:2021 – Tehnici de securitate. Extindere la ISO/IEC 27001 și ISO/IEC 27002 pentru managementul informațiilor de confidențialitate. Cerințe și linii directoare. Documentul specifică cerințe și oferă îndrumări pentru stabilirea, implementarea, menținerea și îmbunătățirea continuă a unui sistem de management al informațiilor privind confidențialitatea (PIMS) sub forma unor extensii la ISO/IEC 27001 și ISO/IEC 27002 pentru gestionarea vieții private în contextul unei organizații.
Standardul face parte din patrimoniul de standarde al comitetului tehnic ASRO/CT 208 – Tehnici de securitate în informatică, comitet care răspunde provocărilor de securitate în tehnologia informației la nivel național.
Noul standard oferă un cadru pentru gestionarea confidențialității datelor care se bazează în mod special pe standardul SR EN ISO/IEC 27001:2018 privind furnizarea cerințelor pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației. Astfel, organizațiile care doresc să implementeze SR EN ISO/IEC 27701 trebuie să aibă deja implementat un sistem de management al securității informațiilor conform SR EN ISO/IEC 27001, cel dintâi venind în completarea acestuia.
În plus, bunele practici recomandate în cadrul SR EN ISO/IEC 27701:2021 ghidează organizațiile cu privire la politicile și procedurile care trebuie aplicate pentru a se conforma cu GDPR și cu alte reglementări din același domeniu. Mai mult, acesta stabilește un set de liste de verificare operaționale (cu ajutorul cărora companiile își pot documenta politicile, procedurile și activitățile).
Printre avantajele principale ale implementării SR EN ISO/IEC 27701 se regăsesc: integrarea cu principalele standarde de securitate a informațiilor, generarea încrederii în gestionarea informațiilor cu caracter personal și sprijinirea respectării legilor, reglementărilor și a normelor și cerințelor de confidențialitate.
Standardul SR EN ISO/IEC 27701:2021 a fost elaborat pentru a fi utilizat de către toți cei responsabili pentru prelucrarea datelor cu caracter personal. Implementarea acestuia într-o organizație devine un avantaj competitiv pentru aceasta, deoarece va putea demonstra consumatorilor și colaboratorilor că deține mecanisme de păstrare a datelor în siguranță, în conformitate cu GDPR sau cu alte acte normative privind confidențialitatea datelor, îmbunătățindu-și reputația și imaginea organizației.
Revista Standardizarea, ed. nr. 1/2022