Comment obtenir la norme Iso 27701 ?

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

L’Organisation internationale de normalisation (ISO) a introduit la norme ISO 27701, une nouvelle norme pour le code de conduite international (CEI), qui a été publiée en août 2019. Il s’agit de la première nouvelle norme ISO depuis que l’ISO a publié sa première ISO en 2005 et de la deuxième depuis l’introduction de l’Organisation mondiale de la santé (OMS). Sources : 17,10]

La norme ISO 27701 prévoit des mesures spécifiques pour le contrôle de la protection des données et fait partie de l’annexe A, qui concerne spécifiquement la protection des données. Les organisations qui ont adopté la norme ISO 27001 peuvent adopter les exigences de contrôle de la norme ISO 27701 pour étendre leurs pratiques de sécurité des données existantes afin d’atteindre le même niveau de protection des données que les exigences de protection des données de la CEI. En étendant les clauses de l’ISO 27001, l’ISO 27801 aide les organisations à le faire. Outre l’intégration des dispositions relatives à la protection des données dans leurs pratiques actuelles en la matière, les organismes peuvent également utiliser la norme ISO 2751 pour étendre leurs efforts de sécurité aux obligations de protection des données prévues par le Code de conduite international et d’autres normes internationales telles que l’ISO 26001. Sources : 0,7,12,3]

Ces principes sont définis dans les normes ISO et CEI 29100 (2011) ainsi que dans le Code de conduite international et d’autres normes internationales telles que les normes ISO 26001 et ISO 27001. Sources : 18]

La norme ISO 27701 ne peut pas être mise en œuvre en tant que norme autonome, mais elle peut également être proposée aux clients qui ont créé un système de gestion ISO 27001 pour eux-mêmes. Depuis l’établissement de la norme, nous dirigeons le projet de certification ISO 27001 et sommes responsables de la mise en œuvre du Code de conduite international et d’autres normes internationales en Inde. Nous disposons de tout ce dont vous avez besoin pour étendre votre SMSI à la gestion de la protection des données ISO 277001. Toute organisation qui n’a pas mis en œuvre le SMSI peut mettre en œuvre à la fois l’ISO 26001 et l’ISO 26001. ISO27701 en un seul projet de mise en œuvre. Les organismes dotés d’un SGSI qui ont mis en œuvre les normes ISO 270001 et ISO 27801, ainsi que ceux qui n’ont mis en œuvre ni l’une ni l’autre, peuvent les mettre en œuvre ensemble dans le cadre de leur propre mise en œuvre dans le cadre d’un projet. [Sources : 12,2,12,7]

Les organisations qui ont déjà mis en œuvre l’ISO 27001 et qui sont ou voudraient devenir ISO 27001 peuvent envisager d’ajouter l’ISO 27701. Comme mentionné dans cet article, il s’agit d’un choix évident, mais toute organisation qui met déjà en œuvre la norme ISO 26001 ou qui est en train de le faire devrait y réfléchir, car elle pourrait également vouloir l’ajouter. Il n’y a aucune garantie que le programme final de la norme ISO 17065 inclura la certification ISO 27801, et dans l’ensemble, il sera plus robuste et donc plus coûteux. Sources : 13,5,4]

Si une organisation ne dispose pas actuellement d’une certification ISO 27001 appropriée, il est possible de travailler simultanément sur les normes ISO 26001 et ISO 27701, mais il est essentiel de les combiner, car elles ne font qu’étendre les exigences et les lignes directrices fournies par le programme ISO 17065 et l’Organisation internationale de normalisation (IOS). Si une organisation dispose de la norme ISO27001 avant de recevoir la norme ISO 27801, son établissement servira de bon point de départ pour développer un nouveau programme de certification pour cette certification. Sources : 9,9,12]

Les clients qui confient à un prestataire le traitement et la conservation des DPI en leur nom doivent exiger contractuellement que le prestataire se conforme non seulement à la norme ISO 27001 mais aussi à la norme ISO 27701 et puisse être certifié pour la sensibilité raisonnable des données. De même, contrairement à la norme ISO 27001, elle contiendra une série de contrôles et d’instructions objectives qu’une organisation pourrait envisager. Contrairement à la norme ISO 26001, elle n’attend pas de l’organisation qu’elle mette en œuvre ces contrôles dans chaque situation. Sources : 6,5,6]

Pour obtenir un certificat ISO 27701, une organisation doit subir des audits initiaux menés par un organisme de certification et être certifiée ISO 27001. En d’autres termes, toute organisation souhaitant obtenir la certification ISO ou IEC 27700 doit également être certifiée ISO ou IEC 2701. Pour obtenir la certification selon ISO / I EC 277001, l’organisation ne peut pas être obtenue indépendamment, elle doit actuellement mettre en œuvre le mécanisme de certification, qui n’est pas officiellement reconnu par le GDPR. [Sources : 17,1,16,8]

Si vous voulez être audité et certifié selon la norme ISO 27701, vous devez mettre en œuvre la norme ISO 27001 dans votre entreprise. Si vous voulez auditer et certifier selon l’ISO / I EC 277001, vous devez également l’implémenter dans l’ISO 27701 si vous voulez être audité ou certifié selon l’ISO 27501. Sources : 5,4]

Si vous avez une norme ISO 27001 existante, vous n’avez pas besoin de la mettre en œuvre pour obtenir l’ISO 27701, car vous ne l’avez pas actuellement. Mais si vous l’avez fait, vous pouvez la visser, car elle utilisera le cadre de base qui existe déjà. Sources : 2,2]

Il convient également de mentionner qu’il s’agit d’une extension de la norme ISO 27001 et qu’elle ne vous oblige pas à la mettre en œuvre comme condition. Il est possible d’obtenir la certification ISO 27701 en la combinant avec un audit ISO 27001. Cette certification est le sigle de l’Organisation internationale de normalisation (ISO), la norme internationale en matière d’assurance qualité et de certification. Il existe un certain nombre d’autres normes, comme celle de l’Organisation mondiale de la santé (OMS), qui sont similaires à la norme ISO27701, mais il n’est pas obligatoire qu’elles soient certifiées selon celle-ci. Sources : 12,11,14]

Sources :

  • 0] : https://brandcompliance.com/en/news/what-is-iso-27701/
  • 1] : https://docs.microsoft.com/en-us/azure/compliance/offerings/offering-iso-27701
  • 2] : https://www.qmsuk.com/news/upgrade-your-information-security-with-iso-27701
  • [3] : https://www.itgovernance.eu/blog/en/iso-27701-the-new-international-standard-for-data-privacy
  • [4] : https://www.apomatix.com/blog/what-is-iso-27701/
  • [5] : https://www.readynez.com/en/blog/what-is-the-iso-27701-a-comprehensive-guide-to-privacy-information-management/
  • [6] : https://www.csoonline.com/article/3437437/why-every-business-should-consider-iso-27701-compliance-for-their-vendors.html
  • [7] : https://www.bobsguide.com/guide/news/2019/Nov/12/iso-27701-the-new-international-privacy-standard/
  • [8] : https://a-lign.com/iso-27701-streamlines-data-privacy-with-gdpr-ccpa/
  • [9] : https://www.trilateralresearch.com/the-implications-of-iso-27701-for-organisations-seeking-privacy-certification/
  • [10] : https://blog.cloudflare.com/iso-27701-privacy-certification/
  • [11] : https://www.certvalue.com/iso-27701-certification-in-india/
  • [12] : https://www.itgovernanceusa.com/iso-27701
  • [13] : https://www.tripwire.com/state-of-security/regulatory-compliance/what-is-iso-27701/
  • [14] : https://ictinstitute.nl/iso-27701-summary/
  • [15] : https://www.aprio.com/services/information-assurance/iso-27701-compliance-and-certification/
  • [16] : https://www.infocomply.com/solutions/iso-27701/
  • [17] : https://solit.legal/privacy-data-protection/iso-27701-the-new-kid-on-the-block-why-privacy-information-management-systems-pims-will-gain-importance-in-the-near-future/
  • 18] : https://www.urmconsulting.com/consultancy/iso-27701-gdpr/