A ISO/IEC 27001 é a norma internacional de gestão de segurança da informação. Ela descreve como colocar em prática um sistema de gestão
de segurança da informação avaliado e certificado de forma independente. Isso permite que você proteja todos os dados financeiros e confidenciais de maneira mais eficiente, minimizando a probabilidade de serem acessados ilegalmente ou sem permissão.
Com a norma ISO/IEC 27001, você poderá demonstrar compromisso e conformidade com as melhores práticas globais, provando a clientes, fornecedores e partes interessadas que segurança é fundamental na operação de sua organização.
O RGPD (Regulamento Geral sobre a Proteção de Dados), incentiva o uso de esquemas de certificação como a ISO 27001 para servir o propósito de demonstrar que a organização está a gerir ativamente a sua segurança de dados de acordo com as melhores práticas internacionais.
Os Benefícios da ISO 27001 são:
- Identificação de riscos e definição de controles para gerenciá-los ou eliminá-los
- Flexibilidade para adaptar os controles a todas as áreas ou a áreas selecionadas de sua organização
- Ganhe a confiança das partes interessadas e dos clientes, que sabem que seus dados estão protegidos
- Demonstre conformidade e obtenha o status de fornecedor preferencial
- Atenda às expectativas mais sensíveis, demonstrando conformidade
Constituem controles ISO/IEC 27001 significativos para o GDPR:
- Metodologia de avaliação dos riscos e garantia do seu tratamento
- Controle Gestão de ativos, que implica a gestão dos ativos críticos para a organização e a classificação da informação face a sua
exposição ao risco de quebra de confidencialidade, integridade e disponibilidade - Controle Desenvolvimento de SW com a garantia da Privacy by Design
- Controle Gestão dos Fornecedores que implica a contratualização das relações entre responsáveis pelo controle e processamento dos dados pessoais
- Controle Incidentes de Segurança da informação, para gestão das notificações de brechas
- Controle Gestão da continuidade do negócio em caso de cenário de crise com resultante quebra de reputação
- Controle Compliance e Proteção dos Dados Pessoais, para garantia de conformidade à legislação aplicável
Constituem requisitos específicos do RGPD os seguintes:
- Obrigação de avaliação do impacto das operações de tratamento suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, como tratamento automatizado, incluindo a definição de perfis e grande escala de categorias especiais de dados
- Obrigação de consulta prévia à autoridade de controle quando a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado risco na ausência das medidas tomadas pelo responsável pelo tratamento para atenuar o risco
- Obrigação da nomeação do DPO nas condições previstas no Regulamento
- Cumprir os direitos dos titulares dos dados pessoais como o direito de transparência e de ser informado; de acesso; de retificação, de bloqueio e apagamento; de objeção; de portabilidade; limitação das decisões automatizadas; e de apresentar reclamações à autoridade local.
- Respeitar os princípios do tratamento dos dados pessoais como: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; dados exatos e atualizados; limitação da conservação; integridade e confidencialidade; responsabilização do responsável pelo tratamento e processamento.
- Verificação das condições aplicáveis ao consentimento.
- Verificação dos requisitos de tratamento de categorias especiais de dados pessoais.
