Equivalences Iso 27001 et RGPD

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’ISO / IEC 27701 est une nouvelle norme axée sur la protection des données, basée sur la célèbre norme de sécurité ISO et IEC 27001. ISO / IEC 27700 est la première de son genre dans le monde et représente une avancée importante pour la protection des données et les normes de sécurité en général. Sources : [12,12]

La norme fournit un cadre pour améliorer et étendre le système de gestion de la sécurité de l’information (ISO 27001) aux systèmes de protection des données et de gestion de l’information (PIMS). Le projet vise à rendre la protection des données et la sécurité des données dans le cadre du RGPD plus accessibles au public. [Sources : 2,7]

Les organisations devraient envisager la certification ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment solides pour protéger les données sensibles. Les organisations de toutes tailles doivent se conformer au RGPD et revoir en profondeur leurs systèmes de protection des données et de gestion de l’information (PIMS). [Sources : 4,5]

Cette conformité sera bénéfique pour votre entreprise à bien des égards, et la mise en œuvre de l’ISO / IEC 27001 peut vous aider à développer un système de contrôle qui répond à toutes les exigences, plutôt que de travailler individuellement sur les exigences de chacun et de développer plusieurs contrôles pour répondre à plusieurs exigences. Tout comme l’ISO / IEC 27001, l’ISO ou l’IEC 27701 est un cadre largement applicable. [Sources : 15,15]

Cela élargit le champ d’application pour inclure toutes les informations qui ont une valeur pour votre entreprise, y compris les informations sur vos employés, vos clients, les informations personnelles des employés et d’autres informations. Les exigences du RGPD incluent également les exigences ISO / IEC 27701 telles que les informations sur les données personnelles et l’utilisation des données dans la gestion de vos données et la collecte d’informations. [Sources : 10,3]

L’ISO / IEC 27701 est une exigence stipulée par le Bureau de gestion technique de l’ISO selon laquelle chaque système de management de type A qui la contient doit avoir un numéro se terminant par « 01 » comme préfixe, comme spécifié dans l’ISO 27001. L’ISO 27010 définit les exigences techniques pour l’établissement, la mise en œuvre, la maintenance et l’amélioration d’un système de gestion de l’information sur la protection des données, tel qu’un système de protection des données et de sécurité de l’information, ainsi que les exigences du RGPD dans le cadre du règlement sur la protection des données personnelles et la confidentialité des informations dans les systèmes d’information (PICIS). [Sources : 5,3,0,11]

Le RGPD comporte de nombreuses exigences supplémentaires à respecter et ISO / 27001 est une norme reconnue qui, si elle est mise en œuvre et adaptée correctement, peut grandement faciliter sa conformité. Comme les préoccupations et les exigences concernant la protection des données continuent de croître dans le monde entier, cette norme devient de plus en plus importante pour les organisations. Les normes ne s’appliquent pas seulement aux informations personnelles. Leur certification est reconnue et conforme aux exigences du règlement général sur la protection des données. [Sources : 10,10,1]

L’introduction d’une norme claire et cohérente pour la protection des données et la conformité aux exigences du RGPD permet aux entreprises du monde entier d’impliquer leurs clients, partenaires et autres parties prenantes ainsi que les parties prenantes dans la responsabilité. [Sources : 7]

Les normes ISO peuvent être utilisées pour gérer la gouvernance, le risque et la conformité dans de nombreuses disciplines, et dans certains cas, la norme ISO 27001, si elle est correctement structurée, peut utiliser le RGPD. Il faut recommander à toutes les organisations de mettre en œuvre et de planifier la norme ISO 27001, mais il faut vous aider à adapter votre système de gestion ISO 26001 (PIMS) existant ou tout autre système de gestion de la protection des données et de l’information pour le mettre en œuvre avec une certification UKAS reconnue par l’Association internationale des systèmes de gestion de la vie privée et de l’information (IAPIS).

Sources: 

  • [0] : https://en.wikipedia.org/wiki/ISO/IEC_27701
  • [2] : https://www.dropbox.com/business/trust/compliance/certifications-compliance
  • [3] : https://www.nqa.com/en-gb/resources/blog/November-2018/iso-27001-gdpr
  • [4] : https://www.vigilantsoftware.co.uk/topic/webinar
  • [6] : https://www.cloudops.com/blog/overcoming-compliance-confusion-why-you-need-a-soc-2-foundation/
  • [7] : https://github.com/microsoft/data-protection-mapping-project
  • [8] : https://www.itgovernance.co.uk/gdpr-and-iso-27001
  • [9] : https://www.itgovernance.eu/blog/en/how-an-iso-27001-compliant-isms-helps-you-comply-with-the-gdpr
  • [10] : https://www.assentriskmanagement.co.uk/iso-27001-gdpr/
  • [11] : https://pricoris.com/iso-27701-pims/
  • [13] : https://www.urmconsulting.com/consultancy/iso-27701-gdpr/
  • [14] : https://www.riskmanagementstudio.com/how-to-use-nist-frameworks-for-gdpr-requirements/
  • [15] : https://hyperproof.io/resource/what-is-iso-iec-27701/