ISO 27701

La Norma ISO 27701:2019, publicada el 6 de agosto de 2019 y llamada ISO 27552 durante el período de redacción de la misma, constituye una extensión de la norma de requisitos ISO/IEC 27001 y de la guía ISO/IEC 27002 sobre sistemas de Gestión de Seguridad de la Información.

El objetivo de esta norma es aumentar el Sistema de Gestión de Seguridad de la Información (SGSI) de las organizaciones con requisitos adicionales, para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Privacidad de la Información (SGPI), contribuyendo al cumplimiento con otras normas, en especial con el Reglamento General de Protección de Datos. Establece un marco para que los responsables y encargados del tratamiento de datos de carácter personal gestionen los controles de privacidad, a fin de reducir el riesgo para los derechos de privacidad de las personas.

La certificación ISO/IEC 27701 está pensada para organizaciones que dispongan de la certificación ISO 27001, también para cualquier organización interesada en disponer de un Sistema de Gestión de Seguridad de la Información y de la Privacidad, pudiendo implantar e integrar ISO 27001 e ISO 27701 en un único proceso.

Aplicación de la Norma ISO 27701

Más allá de las innegables ventajas que la conocida como Sociedad de la Información nos aporta, la actual tecnificación que vivimos ha introducido nuevos retos. De todos ellos, la protección de los datos de carácter personal es hoy en día los principales.

Estos datos de carácter personal son todos aquellos relativos a una persona física identificada o identificable y que permitirían conocer alguno de los elementos propios de su identidad, ya se de tipo ideológico, cultural, personal, etc.

Es por ello que los diferentes gobiernos y agencias han creado una serie de nuevas regulaciones encaminadas a la protección de esta información.

Las organizaciones tienen por delante la tarea de dar respuesta a estos nuevos derechos y garantizar tanto un tratamiento adecuado de los datos de carácter personal como una protección suficiente de los mismos. 

Preguntas frecuentes

Estructura de la Norma ISO 27701

La norma está compuesta de 8 apartados y 6 anexos.

La norma establece los nuevos requisitos y guías de implementación al cuerpo normativo de la norma ISO 27001 e ISO 27002, para la implantación del Sistema de Gestión de la Privacidad de la Información.

Además, incluye un mapeo entre la ISO 27701 y las normas ISO 29100, ISO 27018 y ISO 29151; así como una relación entre las exigencias del RGPD y la norma.

Puntos más destacables de la ISO 27701

  • Esta norma requiere de la realización de un análisis de riesgos específico para privacidad de la información, que puede ser parte integral del análisis de riesgos de seguridad de la información de la organización.
  • La organización debe realizar una declaración de aplicabilidad que incluya los nuevos controles de privacidad de la información.
  • La criptografía pasa a tener mayor peso en los procesos de tratamiento de datos.
  • Los controles relativos al registro y revisión de eventos elevan su cantidad de requisitos y de exigencia.
  • Es necesario una política específica para las copias de seguridad que detalle entre otros: frecuencia de realización, periodos de retención, procedimientos de restauración y un registro de las solicitudes de restauración realizadas con relación a los datos protegidos.
  • La política de desarrollo seguro, con un mayor control durante todo el ciclo de vida del software.
  • Son necesarios nuevos procedimientos de respuesta ante incidentes específicos para incidentes relacionados con la privacidad de la información.

Más información sobre la estructura de la Norma ISO 27701.

Integración de ISO 27701 con ISO/IEC 27001

Es necesaria la existencia o desarrollo de un SGSI conforme a ISO/IEC 27001.
La implantación del Sistema de Gestión de Privacidad de la Información (SGPI) requerirá:

  • Una ampliación de los requisitos del cuerpo normativo de ISO/IEC 27001.
  • Una ampliación de los requisitos de algunos de los controles del anexo A de ISO/IEC 27001.
  • La implantación de nuevos controles de seguridad del anexo A de ISO/IEC 27701 en el caso de los responsables del tratamiento.
  • La implantación de nuevos controles de seguridad del anexo B de ISO/IEC 27701 en el caso de los encargados del tratamiento.

Más información sobre la Integración de ISO 27701 con ISO/IEC 27001.

Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) tiene como principal finalidad proteger derechos fundamentales de las personas que puedan verse afectados por el tratamiento de sus datos personales, especialmente en lo relativo a la intimidad, la propia imagen y la toma automatizada de decisiones. Por lo tanto, el RGPD, con el objeto de garantizar los derechos indicados, limita y regula el uso de los datos de carácter personal, así como la recolección y gestión de los mismos.

Más información sobre el Reglamento General de Protección de Datos.

Contacta con nosotros para obtener más información sobre ISO 27701

Síguenos                                                                                 

Camino de la Zarzuela, 15 | Bloque 2 | 1ª Planta | 28023 Madrid

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad