E por que implementar em sua empresa?
A ISO 27701 – Sistema de Gestão de Informação, publicada em agosto de 2019, é uma norma de extensão da ISO 27001 e 27002, serve para gerenciar informações privadas no que diz respeito a organização e pode ser aplicada em todos os tipos e tamanhos das mesmas, incluindo a esfera públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Podemos dizer também que é uma forma de ampliar a ISO 37001, com o tema corrupção e suborno, essa norma surge como uma alternativa real de combate a estas causas, o que ajuda a preservar os dados.
Essas normas com todos os seus padrões a serem seguidos, são uma espécie de pacote afim de cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o melhor funcionamento da organização. Enquanto a ISO 37001 atua nos controles antissuborno/anticorrupção, é essencial para sua efetividade a segurança de dados, tendo em mente a necessidade de compreender as exigências legais no que se refere a coleta, manutenção e descarte de dados no âmbito de áreas de Riscos e Controles Internos, é nisso que entra a norma ISO 27001, ISO 27002 sobre boas práticas para gestão de segurança da informação e, finalmente, a ISO 27701.
O ISO.org diz que a ISO27701 “especifica requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS) na forma de uma extensão da ISO / IEC 27001 e ISO / IEC 27002 para gerenciamento de privacidade no contexto da organização. ” …
“especifica os requisitos relacionados ao PIMS e fornece orientações para controladores de IPI(Informação pessoalmente identificável) e processadores de IPI responsáveis e responsáveis pelo processamento de IPI.” …
“é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de IPI e / ou processadores de IPI que processam IPI dentro de um SGSI (sistema de gerenciamento de segurança da informação, do inglês ISMS).”
Está norma, ISO 27701, vem para padronizar a Lei Geral de Proteção de Dados Pessoais(LGPD) e General Data Protection Regulation (GDPR) da União Europeia, ou seja, ela vem para implementar procedimentos para a proteção de informação, além de exigem que profissionais envolvidos, como controladores e processadores de dados pessoais, tomem medidas necessárias, tanto técnicas e organizacionais, para assegurar a proteção, assim como cultura de segurança para garantir a privacidade dos dados pessoais, dessa forma a organização também demonstra está de acordo com a lei nº 13.709/2018. Embora seja nova, já foi lançada na Associação Brasileira de Normas Técnicas (ABNT) e faz parte da lista das normas em seu acervo. Isso irá ajudar e muito a disseminar a norma no Brasil. A criação dessa norma é um marco importante pois é uma oportunidade para certificações a padronizações, certificar empresas, pessoas físicas e profissionais. Dito isso, qualquer organização que quiser implementar o Sistema de Gestão de Privacidade das Informações, como previsto em norma, poderá requerer uma auditoria e tirar seu certificado ISO 27701, se a auditoria estiver de acordo.
Os Senadores entraram em acordo para prorrogar parcialmente a vigência da LGPD: propuseram a vigência da lei em 03º de maio de 2021. Se quiser saber mais sobre LGPD, leia nosso artigo clicando aqui.
Para que seja implementada, é preciso seguir 16 etapas:
1. ter apoio da direção da empresa;
2. utilizar metodologia de gerenciamento de projeto;
3. definir antecipadamente um escopo do Sistema de Gestão de Gestão de Segurança da Informação (SGSI);
4. determinar como será a política de segurança da informação de alto nível da sua organização;
5. especificar uma metodologia para a realização de análise de riscos;
6. realizar a avaliação de riscos como definido previamente;
7. elaborar uma Declaração de Aplicabilidade;
8. definir um Plano de Tratamento de Riscos;
9. definir métricas para a verificação de eficácia do definido pelo SGSI;
10. implementar os controles e procedimentos definidos previamente;
11. estabelecer um cronograma de treinamentos e conscientização dos seus colaboradores;
12. garantir que todas as operações do seu SGSI sejam seguidas;
13. realizar o monitoramento do seu SGSI;
14. realizar auditoria interna constante;
15. realizar uma análise crítica de suas ações— responsabilidade da direção;
16. realizar ações corretivas.
POR QUE TER A CERTIFICAÇÃO ISO 27701?
A certificação ISO 27701 Sistema de Gestão de Informação, visa colocar as organizações dentro dos parâmetros no que diz respeito aos dados sensíveis de acordo com a Lei Geral de LGPD e GDPR, como vimos anteriormente. Está ISO, como todas as outras, é reconhecida no mundo todo como a principal ferramenta de gestão para auxiliar as empresas na proteção de dados e na comprovação de adequação a esses regulamentos. Dessa forma a ISO 27701 tem como objetivo auxiliar as empresas a demonstrem a agências, órgãos públicos, investidores, sociedade e seus clientes que a organização está empenhada em adotar controles eficazes, respeitando o direito de todos e que estão realizando as melhores práticas internacionais em proteção de dados.
Saiba mais sobre nossos serviços, entre em contato conosco!
ARTIGO ESCRITO POR ANDRÉ VICTOR MOREIRA COSTA.
