GDPR este un regulament european ce introduce un nou set de reguli care cer organizațiilor să implementeze masuri, proceduri si controale pentru a proteja datele cu caracter personal. Implementarea standardului ISO/IEC 27001:2018, va ajuta organizațiile să poată răspunde acestor cerințe.
ISO/IEC 27001 este un standard international pentru protecția informațiilor. GDPR identifica datele personale ca informații critice pe care toate organizațiile au obligatia să le protejeze.
Nu toate cerintele GDPR sunt acoperite în mod direct de un sistem de management al securitatii informatiei conform cu ISO/IEC 27001. Susținerea drepturilor subiecților de date cu caracter personal: dreptul de a fi informați, dreptul la ștergerea datelor și transferabilitatea datelor, sunt cerinte ce nu sunt acoperite de ISO/IEC 27001 dar, dacă implementarea standardului in cadrul companiei identifică datele personale ca fiind un element de securitate a informațiilor, o mare parte a cerințelor GDPR va fi acoperită.
Standardul ISO/IEC 27001 oferă mijloacele necesare pentru a asigura protecția datelor cu caracter personal. Există multe aspecte în care standardul poate ajuta companiile să realizeze respectarea acestui regulament(GDPR), iar cele mai relevante sunt: evaluarea si analiza riscurilor, conformitatea, gestionarea activelor, confidențialitatea prin proiectare, relația cu furnizorii si cu clientii.
ISO/IEC 27001:2018 cuprinde cerințele pentru stabilirea, implementarea, întreținerea și îmbunătățirea continuă a unui sistem de management al securității informației în cadrul organizațiilor.
Totodata ISO/IEC 27001 include cerințe pentru evaluarea și tratarea riscurilor de securitate a informației potrivit nevoilor organizației. Standardul fiind unul general, cerințele specificate în prezentul standard internațional pot fi aplicate oricarui tip de organizatie.
Un sistem de management al securității informației implementat sau integrat (bineinteles si functional) in cadrul organizatiei păstrează confidențialitatea, integritatea și disponibilitatea informațiilor prin aplicarea unui proces de management al riscului și conferă încredere părților interesate că riscurile sunt gestionate corespunzător.
(Sursa EUGDPR si ASRO)