Estensione dell’accreditamento SSI allo standard “ISO/IEC 27701:2019 Privacy Information Management”

Estensione dell’accreditamento SSI allo standard “ISO/IEC 27701:2019 Privacy Information Management”

TÜV Italia ha conseguito l'estensione del suo accreditamento ISO/IEC 27001 allo standard ISO/IEC 27701:2019 Privacy Information Management.

Come noto, molte organizzazioni hanno implementato un ISMS (Information Security Management System) rispettando i requisiti ed i controlli riportati nella normativa ISO/IEC 27001, il cui ultimo recepimento è datato 2017. Lo standard ISO/IEC 27001 consente di implementare un sistema di gestione con l'obiettivo primario di assicurare la sicurezza del patrimonio informativo aziendale.

Rispetto a questo obiettivo vengono definiti i requisiti da soddisfare ed i controlli, cioè le misure di mitigazione del rischio, (descritti nell’Annex A della norma) che devono essere implementati e verificati. La ISO/IEC 27002 completa questo  modello con le linee guida per tale implementazione.

Tuttavia, queste due normative non prendono in stretta considerazione gli aspetti relativi alla privacy. La ISO/IEC 27701 nasce proprio con l’obiettivo di implementare un PIMS (Privacy Information Management System) cioè un sistema per la protezione dei dati personali, quindi un ISMS specializzato sulle tematiche peculiari della privacy.

La ISO/IEC 27701 possa essere un importante strumento per i vari stakeholder coinvolti nella protezione dei dati personali:

• le organizzazioni che hanno uno schema dettagliato di requisiti e controlli da implementare per dimostrare la conformità alla legislazione vigente (accountability);
• i DPO, che hanno uno strumento dettagliato per adempiere a quanto richiesto dall’art 39 paragrafo 1 punti (a) e (b);
• gli organi ispettivi che hanno a disposizione una checklist dettagliata rispetto alla quale poter impostare i controlli di merito.