Área Clientes
 
User
 
Password
 
Formação e-Learning
 
 
User
 
Password
Notícias

ISO/IEC 27001 e o novo RGPD

22 de Março

 

Com a entrada em vigor do novo Regulamento Geral de Proteção de Dados [EU 2016/679], muitas organizações se questionam: Como implementar o regulamento? Como posso preparar a minha organização? 


Já conhece a norma ISO/IEC 27001?

Trata-se de uma norma relativa aos Sistemas de Gestão (tal como a norma ISO 9001 no caso da Qualidade), mas dedicada à Segurança da Informação. É uma norma reconhecida internacionalmente, que define o quadro de melhores práticas para gerir os riscos relacionados com a segurança da informação, incluindo os relacionados a informações pessoais e privacidade. Uma entidade que implemente esta norma pode certificar-se, evidenciando desta forma o seu compromisso com a segurança da informação, com o cumprimento da legislação, com a proteção da informação, incluindo dados pessoais.

 

 

Qual é a relação entre a ISO / IEC 27001 e o RGPD?

Ambos os documentos possuem um conjunto de requisitos comuns, o que facilita a implementação conjunta. De entre estes salientamos:

 

·         Avaliação de risco

As multas previstas em caso de incumprimento do RGPD (até 20 milhões de euros ou até 4% do volume de negócios mundial anual total da empresa-mãe) pode ter um impacto financeiro muito alto sobre o seu negócio. ISO / IEC 27001 requer uma avaliação de risco na qual se deve considerar o aumento do risco relacionado com as informações pessoais e as suas implicações financeiras.

 

·         Conformidade Legal

É uma parte integrante da norma ISO / IEC 27001 a exigência do cumprimento das exigências legais, regulamentares e contratuais.

 

·         Classificação de dados

É requisito da norma ISO / IEC 27001 que a informação seja classificada em termos da sua importância, e dado um nível adequado de proteção de acordo com esta. Neste contexto, os dados pessoais devem ser tratados de uma forma que garante a segurança apropriada, tal como o regulamento exige.

 

·         Notificações e Cooperação com as autoridades

A norma ISO / IEC 27001 exige um processo de gestão de incidentes, para que os eventos de segurança da informação sejam documentados e relatados através dos canais de gestão adequadas o mais rápido possível, e exige que "os contactos adequados com as autoridades competentes sejam mantidos." Já o RGPD requer quer sejam alertadas as autoridades de supervisão no prazo de 72 horas, e requer que as organizações cooperem com as autoridades.

 

·         Gestão de ativos

Segundo a norma deve ser efetuado um levantamento e identificação dos ativos da organização e definidas responsabilidades - quem detém os ativos e qual é de uso aceitável dos mesmos. Em termos do regulamento, este exige que se identifiquem os dados pessoais recolhidos, como são obtidos, onde são armazenados, por quanto tempo são mantidos e quem a eles tem acesso.

 

·         Proteção integrada

A segurança da informação, segundo a norma ISO / IEC 27001, deve ser concebida e implementada como parte integrante de todo o ciclo de vida de desenvolvimento de sistemas de informação. Já o regulamento requer que sejam integradas salvaguardas desde a fase mais precoce do desenvolvimento (proteção de dados desde a conceção e por predefinição)

 

·         Relacionamento com Fornecedores

Se a norma ISO / IEC 27001 exige a proteção dos ativos da empresa acessíveis por parte dos fornecedores e monitoriza-los relativamente aos requisitos de segurança da informação. Já o RGPD, que também se aplica aos prestadores de serviços subcontratados (que processam dados pessoais em nome de terceiros) exige que devem ser definidos controles e restrições através de acordos formais.

 

·         Documentação

Ambos os referenciais exigem que sejam documentados aspetos fundamentais do processamento da informação em função da complexidade dos processos, no caso da norma, ou identificando os dados pessoais recolhidos, os fins para os quais recolhidos e o seu processamento, por exemplo, no caso RGPD.

 

Os pontos comuns entre ambos os documentos não se esgotam nos acima referidos. A formação e sensibilização, por exemplo, são requisitos fundamentais em ambos os casos, e a norma apenas por si só não considera todos os requisitos específicos do regulamento, como por exemplo o consentimento explícito, o direito ao esquecimento ou a nomeação do DPO [Data Protection Officer]. No entanto a norma ISO / IEC 27001 é um excelente referencial, internacionalmente reconhecido, como demonstração do comprometimento com a segurança da informação e privacidade.

 

Fonte: Intedya Internacional

Solicita mais informação
Soluções Relacionadas

 


Entidade formadora acreditada por DGERTAliança com a PrevensystemMembros da Green Industry PlatformAderidos ao Pacto do LuxemburgoMembros da European Association for International EducationMembros da AENORMembros da Associação Espanhola da QualidadeCÂMARA DE COMÉRCIOMembros de Associação de Consultores e Formadores em Segurança AlimentarMEMBROS DA AMERICAN SOCIETY FOR QUALITYMEMBROS DO PACTO MUNDIAL DAS NAÇÕES UNIDAS

Esta página web utiliza cookies para obter dados estatísticos da navegação dos seus usuários. Se continuar a navegar , consideramos que aceita a sua utilização. Mais informação X Fechar