La norma ISO 27001 è una struttura eccellente per la conformità con GDPR UE. Se un’organizzazione ha già implementato questo standard, è almeno a metà strada verso il garantire la protezione dei dati personali dati e minimizzare il rischio di una perdita il cui l’impatto finanziario e la visibilità potrebbe essere devastante per l’organizzazione stessa.
Vediamo come sono relazionati il GDPR e lo standard ISO 27001.
I dati personali, innanzitutto, sono quelle informazioni critiche che tutte le organizzazioni hanno bisogno di proteggere. Naturalmente, alcuni dei requisiti del GDPR sono delle novità, come ad esempio il diritto di informazione, eliminazione e portabilità dei dati.
Si seguito alcuni dei punti più rilevanti che caratterizzano il rapporto fra ISO 27001 e GDPR:
Risk assessment (Valutazione del rischio) – Visto l’importante impatto in termini sia finanziari e di visibilità che ogni azienda andrebbe ad affrontare in caso di fuoriuscite di dati, la valutazione dei rischi è un tema che non può che essere affrontato. D’altra parte, però, una delle direttive definite dal GDPR riguarda il cosiddetto Data Protection Impact Assessments, dove le organizzazioni dovranno andare ad analizzare, come prima cosa, i rischi per la loro privacy, esattamente come richiesto dallo standard ISO 27001.
Compliance – Con l’implementazione dello standard ISO 27001, è obbligatorio avere un elenco rilevante di requisiti legislativi, regolamentari, normativi e contrattuali. L’articolo A.18.1.4 (Privacy e protezione dei dati personali) di ISO 27001 guida le organizzazioni all’attuazione di una politica di protezione di dati e informazioni personali. Per i fornitori di servizi Cloud, l’ISO 27018 (A.11.1) stabilisce che gli accordi contrattuali per il trasferimento internazionale di dati devono essere disponibili al servizio dei clienti. Notifica delle violazioni – Società dovrà informare le autorità entro 72 ore dalla scoperta di una violazione dei dati personali.
Asset management – La ISO 27001 include la gestione dei dati personali come attività di sicurezza delle informazioni, e consente alle aziende di capire dove sono impiegati tali dati, per quanto tempo, la loro origine e chi ne ha accesso. Tutte queste voci fanno parte dei requisiti richiesti dal GDPR.
Privacy by Design – Privacy by design riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione. Tale requisito diventa obbligatorio con il GDPR e nello standard ISO 27001 veniva specificato che “la sicurezza delle informazioni è parte integrante dei sistemi informativi durante il loro intero ciclo di vita.
Rapporti con i fornitori – La ISO 27001 veniva specificata la necessità di “proteggere i beni dell’organizzazione che sono accessibili dai fornitori “. Per i fornitori di servizi cloud, la ISO 27018 raccomanda un’esplicita definizione delle responsabilità del fornitore di servizi cloud, dei subappaltatori e dei clienti.
Secondo GDPR, l’elaborazione e la conservazione dei dati personali dei fornitori dell’organizzazione esigono il rispetto dei requisiti del regolamento attraverso formali accordi.
Seguire la certificazione ISO27001 è quindi sufficiente per essere compliant?
Tralasciando tutta la parte relativa alle tecniche adottate per il monitoraggio e la creazione della documentazione necessaria, seguire la norma ISO 27001 promuove una cultura di consapevolezza dei rischi per la sicurezza nelle diverse organizzazioni.
I dipendenti di queste organizzazioni sono più consapevoli e sono in grado di rilevare e segnalare eventuali incidenti. È vitale ricordare la sicurezza non si basa solo su sistemi informatici ma soprattutto su persone e processi.
La prima cosa ogni l’organizzazione dovrebbe fare è un’analisi GDPR GAP UE per determinare ciò che resta da fare per soddisfare i requisiti UE GDPR, e quindi aggiungere i requisiti emersi nella Information Security Management System (già richiesta nello standard ISO 27001).
Ciò significa che un ISMS conforme allo standard ISO 27001 permette all’azienda di fare un enorme passo in avanti in previsione del raggiungimento della conformità richiesta dal GDPR, evitando il rischio di essere impreparata nel momento in cui dovranno essere introdotte misure che potrebbero modificare in modo sostanziale il suo modo di operare.
