CERTIFICAZIONE ISO 27001 UN VANTAGGIO PER ALLINEAMENTO GDPR
L’azienda certificata ISO 27001 ha in sé un vantaggio competitivo congruo al GDPR UE. Il Regolamento Europeo in materia di protezione dei dati personali richiama infatti gli stessi principi dello standard normativo ISO 27001 – Sistemi di gestione della sicurezza delle informazioni.
In primo luogo, intendiamo per dati personali e sensibili le informazione che un’azienda deve tutela e custodire. Il GDPR ha posto l’attenzione sul diritto di informazione, eliminazione e portabilità dei dati.
Che relazione dunque tra la ISO 27001 e il GDPR?
“Risk assessment (Valutazione del rischio) – Visto l’importante impatto in termini sia finanziari e di visibilità che ogni azienda andrebbe ad affrontare in caso di fuoriuscite di dati, la valutazione dei rischi è un tema che non può che essere affrontato. D’altra parte, però, una delle direttive definite dal GDPR riguarda il cosiddetto Data Protection Impact Assessments, dove le organizzazioni dovranno andare ad analizzare, come prima cosa, i rischi per la loro privacy, esattamente come richiesto dallo standard ISO 27001;
Compliance – Con l’implementazione dello standard ISO 27001, è obbligatorio avere un elenco rilevante di requisiti legislativi, regolamentari, normativi e contrattuali. L’articolo A.18.1.4 (Privacy e protezione dei dati personali) di ISO 27001 guida le organizzazioni all’attuazione di una politica di protezione di dati e informazioni personali. Per i fornitori di servizi Cloud, l’ISO 27018 (A.11.1) stabilisce che gli accordi contrattuali per il trasferimento internazionale di dati devono essere disponibili al servizio dei clienti. Notifica delle violazioni – Società dovrà informare le autorità entro 72 ore dalla scoperta di una violazione dei dati personali;
Asset management – La ISO 27001 include la gestione dei dati personali come attività di sicurezza delle informazioni, e consente alle aziende di capire dove sono impiegati tali dati, per quanto tempo, la loro origine e chi ne ha accesso. Tutte queste voci fanno parte dei requisiti richiesti dal GDPR;
Privacy by Design – Privacy by design riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto. Questo implica la messa in atto di determinati meccanismi i quali garantiscono il trattamento esclusivo di dati personali necessari per quella specifica progettazione. Tale requisito diventa obbligatorio con il GDPR e nello standard ISO 27001 veniva specificato che “la sicurezza delle informazioni è parte integrante dei sistemi informativi durante il loro intero ciclo di vita;
Rapporti con i fornitori – La ISO 27001 veniva specificata la necessità di “proteggere i beni dell’organizzazione che sono accessibili dai fornitori “. Per i fornitori di servizi cloud, la ISO 27018 raccomanda un’esplicita definizione delle responsabilità del fornitore di servizi cloud, dei subappaltatori e dei clienti.
Secondo GDPR, l’elaborazione e la conservazione dei dati personali dei fornitori dell’organizzazione esigono il rispetto dei requisiti del regolamento attraverso formali accordi.” (Fonte: compet-e.com)
In definitiva, la certificazione ISO 27001 trova la sua ragion d’essere nella cultura della sicurezza informatica all’interno dell’assetto aziendale nelle singole aziende. Diffondere questo tipo di cultura rende anche i dipendenti responsabili e consapevoli. A livello operativo, invece, allo stato attuale delle cose, tutte la aziende dovrebbero allinearsi al GDPR e soddisfare i requisiti dallo stesso richiesti.
Certificazione UNI EN ISO 27001 | Tutto sul GDPR | Testa qui la sicurezza informatica della tua azienda! | Approfondisci la tematica
