ISO/IEC 27701:2019 - 5 cosas que necesitamos conocer

En Agosto del 2019 se ha publicado un nuevo estándar internacional que aborda por primera los aspectos de privacidad bajo un enfoque de sistema de gestión, el cual podrá ser utilizado para certificar la conformidad con este estándar.

Desde GTDI ya habíamos estado comentando varios aspectos de esta norma desde la publicación de su primer borrador a consulta pública ( https://www.gtdi.pe/iso_iec_27701_proxima_a_publicarse ), pero es importante que ahora abordemos algunos aspectos importantes para entender este nuevo estándar internacional.

1.- No es un tema nuevo

Si bien es un nuevo estándar, el trabajo del WG5 "Identity management and privacy technologies" del SC27 "Information security, cybersecurity and privacy protection" del JTC1 de ISO ha venido trabajando estándares sobre privacidad, normas como la ISO/IEC 29100, ISO/IEC 29134, ISO/IEC 29151, entre otras.

Con lo que podemos observar una preocupación constante sobre los aspectos de privacidad a nivel de este grupo de trabajo especializado que tiene muchos años trabajando y que ahora ha trabajado la nueva ISO/IEC 27701:2019, pero que continúa trabajando con otras normas complementarias.

2.- No es exactamente un sistema de gestión nuevo

ISO/IEC 27701 proporciona un conjunto de requisitos pero no de manera independiente, son requisitos que se deben "adicionar" a los ya contenidos en ISO/IEC 27001:2013 de modo que utilice los mismos requisitos para el sistema de gestión y en el caso de ISO/IEC 27701 le de un enfoque adecuado para que se pueda gestionar la seguridad de información de datos personales (privacidad), de este modo se presenta una necesidad de conocer los requisitos de un ISMS (Information Security Management System) para poder adicionar requisitos adicionales y transformarlo ne un PIMS (Privacy Information Management System).

En ese orden de ideas, ISO/IEC 27701:2019 necesita ser visto en conjunto con ISO/IEC 27001:2013 para comprender los requisitos completos para un PIMS.

3.- Sobre los requisitos adicionales

Es importante señalar que los requisitos y recomendaciones adicionales contenidas en ISO/IEC 27701:2019 no han sido generados de forma aislada a los SGSI, de hecho esta nueva norma ha aplicado los requisitos de ISO/IEC 27009:2016 "Sector-specific application of ISO/IEC 27001 — Requirements" con lo cual garantiza un alineamiento adecuado con ISO/IEC 27001:2013 e ISO/IEC 27002:2013 en cuanto a su extensibilidad y alineamiento hacia un sector específico, el cual, en este caso sería el de "Privacidad".

Cabe señalar que no es la primera norma que utiliza estos requisitos de ISO/IEC 27009:2013, ya habíamos observado otras normas como la ISO/IEC 29151 "Code of practice for personally identifiable information protection" pero es la primera en incluir requisitos específicos.

4.- Relación con el marco regulatorio - legal aplicable

Cuando me consultan sobre si con esta norma se cumple con la regulación de protección de datos (independiente del país que consulta), tengo que responder "Los estándares ISO son de adopción voluntaria" por lo tanto no son obligatorios y tampoco incluyen clausulas específicas para una regulación local específica, por lo que si aporta al cumplimiento pero cada país tendrá que incluir en su contexto el marco normativo-legal aplicable de modo que el sistema de gestión ayude al cumplimiento de estos marcos normativos-legales nacionales.

Cabe señalar que ninguna norma ISO sustituye o esta por sobre una ley o regulación nacional, por lo que incluso la certificación de esta norma no garantiza el cumplimiento de todas las responsabilidades normativas-legales nacionales.

Sin duda alguna ISO/IEC 27701:2019 será de gran ayuda en el cumplimiento normativo-legal, pero eso dependerá de varios factores (como el alcance del PIMS por ejemplo), por lo que es importante entender "que hace" y "que no hace" ISO/IEC 27701:0219 por la organización, dejando esta decisión en manos de las autoridades de la organización (que definen y aprueban el alcance del PIMS). Para garantizar los mejores resultados el alcance debería incluir toda la organización o todos los elementos en los que existan y se procesen datos personales o información personal (PII).

5.- Sobre la certificación

Este aspecto, es bastante interesante de abordar, toda vez que podemos encontrar organizaciones certificadas con ISO/IEC 27017 o ISO/IEC 27018 aún cuando estos estándares "no son certificables" , pero que algunas certificadoras pueden generar sus propios modelos y esquemas de certificación y que puede ser válido en la medida que sean aceptado por el mercado.

Pero a la fecha (8 de octubre del 2019) aún no se tiene información sobre si oficialmente será necesario modificar ISO/IEC 27006 o generar un nuevo estándar de requisitos para certificadoras o modificar otras normas necesarias para certificadoras, esto será oportunamente clarificado por los responsables de los temas de acreditación para certificación de sistemas de gestión y claro en la medida que tengamos información pública al respecto la estaremos compartiendo.

Estos 5 aspectos me parecen importante y por ello los comparto, esperando que pueda aportar a la difusión de una norma que con el tiempo cobrará cada vez mayor relevancia en el mercado como ISO/IEC 27701:2019.

Para los interesados en este estándar los invito a seguirnos en GTDI toda vez que tenemos varias actividades relacionadas a este estándar y otros, si tiene consultas específicas puede comunicarse con info@gtdi.pe.

 

Fuente : https://www.linkedin.com/pulse/isoiec-277012019-5-cosas-que-necesitamos-conocer-horna-vallejos/

Norma relacionada: 

Protección de datos personales Gobernanza TI  SGSI - 27001