ISO 27701: Sistemas de gestão da privacidade da informação
O que é a ISO 27701?
A ISO/IEC 27701:2019 é uma extensão da ISO 27001 sobre privacidade de dados. Esta norma de segurança da informação recentemente publicada fornece orientações para as organizações que procuram estabelecer sistemas para apoiar a conformidade com o RGPD e outros requisitos de privacidade de dados. A norma ISO 27701, também abreviada como PIMS (Privacy Information Management System), define um quadro para os responsáveis pelo tratamento e os processadores de informações pessoais gerirem a privacidade dos dados. Os sistemas de gestão da informação sobre privacidade são por vezes referidos como sistemas de gestão da informação pessoal.
Isto reduz o risco para os direitos de privacidade das pessoas e para a organização, melhorando um sistema de gestão da segurança da informação existente.
Esta norma é uma óptima forma de demonstrar aos clientes, às partes interessadas externas e às partes interessadas internas que existem sistemas eficazes para apoiar a conformidade com o RGPD e outra legislação relacionada com a privacidade.
As organizações que pretendam obter a certificação ISO 27701 para efeitos de conformidade com o RGPD terão de possuir uma certificação ISO 27001 existente ou implementar a ISO 27001 e a ISO 27701 de forma integrada, uma vez que a ISO 27701 é uma extensão natural dos requisitos da ISO 27001.
A norma ISO 27001 fornece uma estrutura para um Sistema de Gestão da Segurança da Informação (SGSI) para manter a confidencialidade, integridade e disponibilidade da informação, bem como a conformidade com a legislação. Até à data, mais de 60.000 organizações em todo o mundo foram certificadas com a norma ISO 27001, demonstrando que a certificação é uma parte essencial da proteção dos seus activos mais vitais.
A NQA é líder na implementação da ISO 27701, tendo obtido a acreditação da ANAB no início de 2020 e tendo mais de uma dúzia de auditores formados e orientados a realizar algumas das primeiras auditorias ISO 27701 nos Estados Unidos.
Oferecemos um serviço abrangente de auditoria por terceiros, que avalia a sua conformidade atual e identifica potenciais áreas de melhoria contínua. A NQA fornece conhecimentos e experiência em auditorias ISO 27701 para garantir que os nossos clientes recebem auditorias abrangentes, rigorosas, de apoio e consistentes.
Pretende implementar um sistema de gestão ISO 27701 e não sabe por onde começar? Consulte o nosso Guia de implementação da ISO 27701 aqui.
Como obter a certificação ISO 27701?
A obtenção da certificação ISO 27701 exige o cumprimento de etapas específicas. O NQA pode fornecer um serviço de análise de lacunas, se necessário, para o ajudar a reconhecer as principais deficiências do seu sistema de gestão, de modo a facilitar os passos necessários para a conformidade com a ISO 27701.
Conforme detalhado no vídeo abaixo, será necessário obter a certificação ISO 27001 em conjunto com a ISO 27701 ou ter uma certificação ISO 27001 anterior com um organismo de certificação acreditado pela ANAB/UKAS. A certificação ISO 27701 é uma extensão da ISO 27001.
A obtenção da certificação ISO 27701 envolverá:
- Preencher um formulário de pedido de orçamento (QRF).
- Receber um orçamento de certificação e assiná-lo.
- Preparar-se para a auditoria de certificação.
O vídeo seguinte apresenta imagens e uma explicação mais pormenorizada do processo de certificação.
Contacto
Como obter a certificação ISO 27701
Útil com
- Conformidade com o RGPD
- Direitos de privacidade das pessoas
- Continuação da confidencialidade
- Governação das TI
- Violações de dados
- Proteção das informações pessoais
- Criar confiança nos clientes
- Aumentar a satisfação do cliente
- Proteger a reputação da organização
Outras normas de gestão do risco:
Benefícios da certificação ISO 27701
Conformidade com o RGPD e apoio à privacidade dos dados
Alinhamento com o RGPD, permitindo que as organizações utilizem a norma para abranger outras regras, regulamentos e requisitos de privacidade.
Manter a integridade
Manter a integridade das informações dos clientes e das partes interessadas. Conduzir as actividades da organização com a segurança de saber que o seu sistema pode ajudá-lo a gerir os riscos de privacidade da informação.
A certificação ISO 27701 é adequada para a minha empresa?
A certificação ISO 27701 oferece várias vantagens importantes para uma vasta gama de indústrias:
- Norma global: A certificação ISO 27701 é uma norma respeitada para sistemas de gestão de informações sobre privacidade em todo o mundo. Ter estas credenciais demonstra a posição da sua empresa como líder neste domínio.
- Avaliação rigorosa: Esta certificação submete as suas operações a uma norma rigorosa que demonstra o nível de rigor e detalhe das suas operações, cumprindo os requisitos mais exigentes.
- Flexibilidade jurisdicional: As disposições da norma ISO 27701 obrigam a sua organização a cumprir uma norma global. Ao mesmo tempo, esta certificação permite-lhe aderir aos requisitos das jurisdições regionais. Pode manter-se totalmente em conformidade com os requisitos locais e globais.
O Regulamento Geral sobre a Proteção de Dados (RGPD) está em pleno andamento. Desde a sua entrada em vigor em maio de 2018, esta legislação histórica da UE provocou uma mudança radical nos direitos de privacidade dos dados, especialmente em termos de quem "detém" os dados, quem os controla e quem tem a última palavra sobre as suas utilizações e transacções no mundo digital de hoje.
Ao abrigo do RGPD, o limite máximo pode atingir 20 milhões de euros ou 4% do volume de negócios global anual de uma organização, consoante o valor mais elevado. As organizações também enfrentam um risco significativo de danos à reputação decorrentes do incumprimento e das violações de dados. Para algumas empresas, isto pode significar uma ameaça de falência ou mesmo de encerramento.
A implementação de um sistema de gestão da privacidade da informação (PIMS) que cumpra os requisitos da norma ISO 27701 permitirá às organizações avaliar, reagir e reduzir os riscos associados à recolha, manutenção e tratamento de informações pessoais. A certificação ISO 27701 não confirma a conformidade legal com o GDPR, mas fornece uma estrutura valiosa para a conformidade.
Diferenças entre a ISO 27001 e a ISO 27701
A ISO 27701 está definida para ser a norma de referência para a conformidade com o RGPD, da mesma forma que a ISO 27001 é considerada a "norma de ouro" para a gestão da segurança da informação. A ISO 27701 centra-se especificamente na abordagem dos requisitos do RGPD para garantir normas específicas do sector que satisfaçam as necessidades operacionais relevantes.
Está alinhado com o RGPD, mas também permite que as organizações utilizem a norma para incorporar outras leis, regulamentos e requisitos de privacidade. Isto torna-a uma excelente escolha para organizações de todos os sectores e dimensões que procuram demonstrar conformidade com o princípio de "responsabilidade" do RGPD. Demonstra responsabilidade e experiência nos requisitos e ajuda a aumentar a rentabilidade operacional e o valor no sector.
Obter a certificação ISO 27701
Se já estiver acreditado na norma ISO 27001, é bastante simples aplicar os princípios da gestão dos riscos da informação às informações pessoais.
As normas exigem que as organizações com certificação ISO 27001 incluam a gestão da privacidade, o que significa rever a análise contextual, a avaliação de riscos e o ambiente de controlo da organização para garantir que a gestão da privacidade é incorporada.
De seguida, o sistema de gestão da informação sobre privacidade deve ser documentado. As organizações menos confiantes quanto à conformidade com o RGPD considerarão a norma ISO 27701 particularmente útil, uma vez que fornece recomendações específicas sobre acções para cumprir o regulamento.
Podemos avaliar a sua conformidade com a norma ISO 27701 como um complemento à sua avaliação da norma ISO 27001. Asseguraremos que a nossa abordagem segue o mesmo método que a norma: examinar um sistema que apoie a segurança das informações e a gestão das informações pessoais.
Perguntas frequentes sobre a ISO 27701
Muitos sectores têm dúvidas sobre o funcionamento da certificação ISO 27701, pelo que compilámos algumas perguntas e respostas importantes. Também temos uma lista mais extensa na nossa secção de ferramentas de segurança da informação, caso necessite de informações adicionais.
P: A quem se aplica a norma ISO 27701?
R: A certificação ISO 27701 é especificamente concebida para responsáveis pelo tratamento e processadores de dados. É altamente relevante para este domínio e é mais valiosa quando utilizada por profissionais nestas áreas específicas.
P: Quanto custa obter a certificação ISO 27701?
R: Os custos variam consoante a sua organização, o nível de complexidade, o número de empregados e as instalações. Podemos fornecer-lhe um orçamento rápido se nos fornecer alguns dados da empresa e informações sobre os seus objectivos.
P: Quanto tempo é necessário para obter a certificação ISO 27701?
R: A obtenção da certificação ISO 27701 pode demorar apenas dois ou três meses com uma gestão estratégica e experiente. Pode demorar mais de seis meses se o pessoal não dispuser dos melhores recursos para a formação. Existem vários factores que podem influenciar a duração total da certificação, tais como a dimensão da organização, o número de empregados e o número de locais de atividade.
Podemos trabalhar em conjunto e ajudá-lo a determinar a melhor abordagem para a sua empresa. Recomendamos que trate a certificação como um projeto que pode ser concluído através de um consultor ISO 27701 ou internamente, dependendo das suas competências e experiência.
PROCESSO DE CERTIFICAÇÃO
-
Passo 1
Terá de preencher o formulário de candidatura para que o NQA possa compreender as necessidades e os requisitos da sua empresa. Também pode apresentar o seu pedido preenchendo o orçamento rápido ou formal. Utilizaremos as informações fornecidas para definir o âmbito da auditoria e fornecer-lhe um orçamento de certificação.
-
Passo 2
Depois de ter aceite e assinado o orçamento, marcaremos uma data para a auditoria. A certificação inicial é composta por duas visitas (fase 1 e fase 2). O seu sistema de gestão deve estar a funcionar há pelo menos 3 meses e ter sido aprovado numa análise da gestão e numa auditoria interna.
-
Passo 3
Se passar com sucesso a auditoria inicial (fase 1 e fase 2) e o resultado for positivo, o NQA emitirá um certificado de acordo com a norma solicitada. Receberá uma cópia física e digital do seu certificado, que é válido por 3 anos e será mantido através de um programa anual de visualização de manutenção e de uma recertificação trienal.