Comment mettre en œuvre la norme Iso 27701 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Dans sa première édition, publiée le 6 août 2019, l’Organisation internationale de normalisation (ISO) a introduit la norme ISO 27701, le système de gestion des informations sur la protection des données (PIMS), en tant que CEI. Elle définit des lignes directrices pour l’établissement, la mise en œuvre, la maintenance et l’amélioration d’un système de gestion des informations sur la protection des données, tel qu’un système de protection des données et des informations (PIPS), et pour l’utilisation de ces systèmes dans le secteur public. Le règlement international sur la protection des données (RIPD) de l’Union européenne (UE), publié en août 2019, définit un ensemble complet de lignes directrices et d’orientations pour la création, la mise en œuvre, la maintenance et l’amélioration de la confidentialité et de la sécurité de l’information des systèmes d’information (PI) en Europe et dans d’autres pays. [Sources : 9,13]

La norme ISO 27701 (anciennement ISO IEC 27552 pendant la période de conception) définit les exigences pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion des informations sur la protection des données (PIMS). ISO 27700, le système de gestion de l’information sur la protection des données et la sécurité de l’information sur la protection des données des systèmes d’information (IPs) tels que définis dans ISO27701, 2019, qui contient un ensemble complet de politiques et de lignes directrices pour la création, la mise en œuvre, la maintenance et l’amélioration de la confidentialité et de la sécurité de l’information des systèmes d’information (IPs) tels qu’ils sont établis, mis en œuvre, maintenus et améliorés en permanence.
Les normes ISO et Iec 277010 définissent les exigences et fournissent un ensemble complet et une spécification des procédures et des exigences pour l’établissement, la mise en œuvre, la maintenance, l’amélioration continue et l’entretien d’un système de gestion des informations privées (« PimS ») dans le secteur public, tel qu’un système de protection des données en Europe et dans d’autres pays, et pour l’utilisation de tels systèmes dans le secteur public. Les exigences de la norme ISO / I EC 277001 définissent les principes et les modalités d’établissement et de mise en œuvre d’un système de gestion de l’information sur la protection des données (aPAMS) dans un secteur privé ou un autre système public. [Sources : 6,4,3,10]

La norme ISO 27701 prévoit un chevauchement croissant des exigences auxquelles un organisme doit satisfaire en ce qui concerne un système de gestion des informations sur la protection des données (PIMS). Sources : 12,0]

Les objectifs de minimisation des données de la norme ISO 27701 se rapportent à deux normes, mais précisons la différence entre les deux en termes d’exigences de protection des données et de gestion de l’information. Sources : 12,14]

Si votre organisation ne dispose pas actuellement d’une certification ISO 27001 appropriée, il est possible de mettre en œuvre la norme ISO 27701 en un seul projet, à condition que le système de gestion de la sécurité de l’information existe. Si vous avez déjà la norme ISO 26001, vous pouvez travailler simultanément sur les normes ISO 29001 et ISO 27701. Cependant, si vous n’avez pas ISO27001, actuellement, vous devez la mettre en œuvre pour atteindre les objectifs de minimisation des données et les exigences de gestion de l’information de la nouvelle norme. En outre, il est possible de lier la norme ISO 27801 à cette dernière même si l’organisation ne dispose pas actuellement d’un cadre adéquat de protection et de gestion des données pour ses systèmes d’information afin de s’assurer que le cadre essentiel est déjà en place. Sources : 6,8,16,16]

L’annexe A concerne spécifiquement la protection des données, et en étendant les clauses de l’ISO 27001, l’ISO 27701 aide les organisations à le faire. Si vous n’avez pas encore mis en œuvre la norme ISO 27001 ou ISO 27002, vous pouvez tout de même l’utiliser pour contrôler le processus de gestion des IPI. Une organisation qui a mis en œuvre la norme ISO 26001 pourra intégrer les exigences de contrôle de la norme ISO 27801 pour étendre ses pratiques existantes en matière de sécurité des données afin de répondre aux objectifs de minimisation des données et aux exigences de gestion de l’information de la nouvelle norme. Toutefois, si vous n’avez pas encore mis en œuvre les normes ISO 28001 et ISO 29001 dans votre organisation, votre entreprise peut utiliser la norme ISO 27701 comme alternative pour étendre ses efforts de sécurité afin de couvrir les exigences de protection des données. Sources : 0,7,10,2]

Si vous avez mis en œuvre ISO ou IEC 27001, ISO / I EC 27701 peut également étendre vos efforts de sécurité à la gestion de la protection des données. Sources : 6]

C’est une extension de la norme ISO 27001 et elle a moins de deux ans, mais c’est une certification. La norme ISO 27701 vise à créer un système de protection et de gestion de la vie privée, puisqu’elle vise à créer un système de gestion de la sécurité de l’information (SGSI), puis elle vise à devenir une norme pour la mise en œuvre de systèmes de protection des données et de gestion de l’information. Elle est adaptée au concept de système de gestion ISMS et ne diffère pas de la norme ISO / IEC 27700, qui est une extension de la norme IEC 2700. Sources : 17,18,15,13].

Sources :

  • 1] : https://www.prnewswire.com/news-releases/onetrust-achieves-worlds-first-iso-27701-certification-the-privacy-extension-to-iso-27001-300903196.html
  • 2] : https://www.itgovernance.eu/blog/en/iso-27701-the-new-international-standard-for-data-privacy
  • [3] : https://www.itgovernance.eu/en-ie/iso-27701-ie
  • [4] : https://exemplarglobal.org/certification/privacy-and-data-protection/privacy-information-management-system-auditor-iso-27701/
  • [5] : https://hub.schellman.com/blog/the-much-anticipated-iso-27701
  • [6] : https://www.dnv.com/services/iso-iec-27701-international-standard-for-privacy-information-management-159186
  • [7] : https://www.bobsguide.com/guide/news/2019/Nov/12/iso-27701-the-new-international-privacy-standard/
  • [8] : https://www.trilateralresearch.com/the-implications-of-iso-27701-for-organisations-seeking-privacy-certification/
  • [9] : https://solit.legal/privacy-data-protection/iso-27701-the-new-kid-on-the-block-why-privacy-information-management-systems-pims-will-gain-importance-in-the-near-future/
  • [10] : https://www.itgovernanceusa.com/iso-27701
  • [11] : https://www.linkedin.com/pulse/pecb-webinar-privacy-trends-key-practical-steps-isoiec-geelen-
  • [12] : https://www.urmconsulting.com/blog/what-is-iso27701-privacy-information-management/
  • [13] : https://www.certvalue.com/iso-27701-certification-in-india/
  • [14] : https://pricoris.com/implementing-iso-27701/
  • [15] : https://blog.cloudflare.com/iso-27701-privacy-certification/
  • [16] : https://www.qmsuk.com/news/upgrade-your-information-security-with-iso-27701
  • [17] : https://www.apomatix.com/blog/what-is-iso-27701/
  • 18] : https://www.riskinsight-wavestone.com/en/2020/01/iso-27701-international-framework-privacy/