GDPR - ISO/IEC 27001 og persónuverndarreglugerðin 27.11.18

 

Um fátt er meira talað innan upplýsingaöryggisgeirans þessa mánuðina en nýju persónuverndarlögin og persónuverndarreglugerðina. Oftast er vísað til þeirra saman sem GDPR.

Hentugt verkfæri
Í rúmt ár hef ég verið að vinna verkefni tengd GDPR, bæði á Íslandi og erlendis. Ekki eru allir klárir á því hvernig á að nálgast viðfangsefnið, enda er það á margan hátt flókið, amk. fyrir óvana. Hér ætla ég ekki að fjalla um flækjurnar heldur benda á hve staðallinn ÍST EN ISO/IEC 27001 er hentugt verkfæri í þessu sambandi. Á ég þá sérstaklega við stýringar sem er að finna í viðauka A staðalsins.

Val á öryggisstýringum
Ég hef verið spurður um hvaða stýringar í viðauka A eigi við vegna GDPR. Stutta svarið er: Allar. Allar stýringarnar geta á einn eða annan hátt tengst vinnslu persónuupplýsinga. Það veltur á umfangi innleiðingarinnar og rekstrarins sem um ræðir hverjar þeirra eru notaðar.

 Marino G. Njalsson
Marinó G. Njálsson.

Nokkrar nauðsynlegar stýringar eru ekki í viðauka A. Þær eru hins vegar í meginhluta staðalsins, þ.e. þeim hluta sem fjallar um skipulagningu, stuðning, rekstur, mat á frammistöðu og umbætur. Vissulega fjallar ISO 9001 ítarlegar um þessi atriði og getur verið gott að styðjast einnig við þann staðal.

Helsti kosturinn við að nýta sér ISO/IEC 27001 við innleiðingu GDPR er hve auðvelt er að skilgreina kröfur til vinnsluaðila. Flest stjórnunarkerfi upplýsingaöryggis eru byggð upp eftir aðferðafræði og kaflaskiptingu ISO/IEC 27001 og ISO/IEC 27002. Fylgi öryggiskerfi persónuupplýsinga því líka, þá er nánast hægt að afrita kröfurnar úr öryggiskerfinu yfir í kröfulýsinguna fyrir vinnsluaðilann.

Eitt að lokum: Persónuvernd gerir kröfu um að ábyrgðaraðili taki út stöðu öryggismála hjá vinnsluaðila áður en vinnsla er flutt til hans. Gera má ráð fyrir að stjórnunarkerfi vinnsluaðilans sé byggt á ISO/IEC 27001. Því er auðveldara að framkvæma slíka úttekt hafi ábyrgðaraðili líka byggt sitt stjórnunarkerfi á ISO/IEC 27001.

Höfundur er tölvunarfræðingur og sérfræðingur í stjórnun upplýsingaöryggis.

ATH. Námskeið um stjórnun upplýsingaöryggis. Nánar hér >>

Staðlaráð Íslands    Þórunnartúni 2, 3. hæð, 105 Reykjavík    Kennitala: 591193 2019    Opnunartími    Sími 520 7150 fax 520 7171

Þessi síða notar vefkökur (e. cookies).

Nánari upplýsingar

Samþykkja