A norma ISO 27701 especifica os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação (SGPI).
Assim como as demais normas da família 27000, em especial 27001 e 27002, a ISO 27701 apresenta requisitos relacionados ao SGPI (Sistema de Gestão da Privacidade da Informação) e também diretrizes para os controladores e operadores de dados pessoais, atores com grandes responsabilidades nas atividades de tratamento.
É aplicável a todos os tipos de organizações, tanto públicas quanto privadas e também se relaciona com outras normas técnicas que lhe dão suporte para a implementação da conformidade.
A norma nasce como uma extensão de requisitos da ISO 27001 e de diretrizes da 27002, todos focados em privacidade da informação e não em um sistema de gestão próprio. A norma complementa as demais normas de segurança da informação com seus requisitos específicos.
Para compreensão da ISO 27701 é preciso ter em mente que ela se relaciona a todo instante com as normas de segurança da informação, ora ampliando diretrizes e requisitos, ora criando novas e específicas, até mesmo mantendo as diretrizes já disciplinadas nas normas de segurança da informação.
Dentre os 5 passos para entender a norma, rapidamente citamos:
- Compreender que a seção 5 traz requisitos específicos de um sistema de gestão de privacidade da informação, em momentos ratificando os da 27001, em outros promovendo acréscimos e atualizações.
- Compreender que a seção 6 traz diretrizes específicas de um sistema de gestão de privacidade da informação, em parte ratificando os da 27002, ora promovendo acréscimos e atualizações. Aqui, aliás, temos muitos acréscimos em comparação com a seção 5.
- Compreender que a seção 7 traz o que chamamos de diretrizes adicionais à ISO 27002 para controladores e que também tem relação com o Anexo A da norma, que trata dos controles e objetivos de controle específicos para controladores.
- Compreender que a seção 8 traz o que chamamos de diretrizes adicionais à ISO 27002 para operadores e que também tem relação com o Anexo B da norma, que trata dos controles e objetivos de controle específicos para operadores de DP.
- Compreender os anexos da norma, sendo o “A” destinado a controladores e “B” a operadores (atualizando os controles e objetivos de controle da ISO 27001), o “C” traz um mapeamento da norma com os princípios de privacidade, o “D” e “N/A” fazem o mapeamento entre as exigências da GDPR e LGPD e os controles trazidos pela norma, que ajudam na conformidade, e o “E” uma relação da norma com outras ISOs não menos importantes, 27018 (Cloud) e 29151 (diretrizes e controles adicionais). Não se pode tirar de vista o anexo “F”, que justamente nos ensina como aplicar a ISO/IEC 27701 com as normas “base”, 27001 e 27002.
Deste modo, a ISO 27701 tem como objetivo contribuir para que empresas demonstrem a agências, órgãos públicos, investidores e sociedade que a organização está empenhada em adotar controles eficazes e que são considerados melhores práticas internacionais em proteção de dados.
Estes 5 (cinco) passos apresentam de forma clara e simples como compreender a aplicação e utilizar as seções da norma na adequação de empresas e negócios. Após esta atividade, é momento de iniciar o plano de implementação, que envolve avaliação, priorização de pontos críticos, implementações e auditoria periódica. Não há tempo a perder e quanto mais ágil for a resposta corporativa a esta importante fase que inaugura a ISO 27701, melhor para o avanço rumo à conformidade com um padrão internacional envolvendo a privacidade da informação.
Preparamos um e-book, denominado 5 PASSOS PARA ENTENDER A ABNT NBR ISO/IEC 27701:2019, onde fornecemos instruções detalhadas sobre o processo de compreensão da norma, os passos, e sua relação com demais normas de segurança da informação e privacidade. É gratuito. Baixe já o seu e deixe seu comentário.
