Pourquoi l’ISO 27701 ?

L’Organisation internationale de normalisation (ISO) a publié la norme ISO 27701, une norme pour la protection et la gestion des données et informations personnelles. En août 2019, l’ISO a publié la norme internationale pour la protection et la gestion du traitement des données personnelles. La Société internationale pour la protection et la gestion des données (ISDPD), une organisation mondiale pour la protection des données, est publiée par l’organisation internationale des entreprises et organisations informatiques du monde entier. [Sources : 13,9,14]

L’ISO 27701 (2019) est une norme pour l’établissement, la mise en œuvre, la maintenance et l’amélioration continue du système de gestion de l’information sur la protection des données (PIMS). La norme définit les exigences et fournit des lignes directrices pour l’établissement, la mise en œuvre, la maintenance, l’amélioration continue (ieC) Protection des données et des informations personnelles. Sources : 7,10]

Comme la norme ISO 27001, la norme ISO 27701 n’attend pas des organismes qu’ils prennent en charge tous les contrôles dans toutes les situations. Comme la norme ISO 27001, elle contiendra un certain nombre de contrôles, d’objectifs et d’instructions que les organisations pourraient prendre en compte. [Sources : 1,0]

Alors que l’ISO 27701 ne fait qu’étendre les exigences et les lignes directrices de la norme ISO 27001 pour les systèmes de gestion de la sécurité de l’information, il est également possible d’intégrer un certain nombre de nouveaux contrôles, objectifs et instructions provenant d’autres normes telles que l’ISO 27001. En outre, il sera possible de les mettre tous en œuvre dans un seul projet, pour autant qu’ils soient compatibles avec les exigences existantes du système de gestion de la sécurité de l’information (SGSI). Sources : 4,5]

La norme ISO 27701 ne peut pas être mise en œuvre en tant que norme autonome, mais les organisations qui n’ont pas mis en œuvre de SMSI peuvent la mettre en œuvre ensemble dans un seul projet de mise en œuvre. Les normes ISO 27001 et ISO27701 sont mises en œuvre par un organisme sans SMSI, et elles peuvent également être mises en œuvre conjointement dans le cadre d’un même projet, à condition qu’elles soient compatibles avec les exigences existantes pour le système de management de la sécurité de l’information (SMSI). La norme ISO 277 011 ne peut pas être mise en œuvre de manière indépendante, et les organismes qui ne l’ont pas mise en œuvre peuvent la mettre en œuvre dans le cadre d’un seul et unique projet de mise en œuvre des systèmes de gestion de la sécurité de l’information (SGSI). Sources : 4,2,16]

Les organismes qui ont déjà mis en œuvre la norme ISO 27001 et qui souhaitent l’appliquer peuvent envisager d’y ajouter la norme ISO 27701. Comme mentionné dans cet article, il s’agit d’un choix évident, mais les organismes qui mettent déjà en œuvre la norme ISO 27001 ou qui sont en train de la mettre en œuvre peuvent également l’envisager car ils peuvent aussi vouloir l’ajouter. Sources : 3,1]

Si votre organisation ne dispose pas actuellement d’une certification ISO 27001 appropriée, il est possible de travailler simultanément sur les deux normes ISO 27001 et ISO 27701. Si vous utilisez déjà l’une des deux normes ISO 29001 ou ISO 27002, l’ISO 27701 vous permet de créer un cadre cohérent pour protéger vos PII. Sources : 15,12]

La norme ISO 27701 est alors appelée à devenir la norme pour la mise en œuvre de systèmes de gestion de l’information sur la protection des données. Cette norme aidera les organisations à établir, maintenir et améliorer le système de gestion de l’information sur la protection des données (PIMS) afin d’améliorer le SGSI existant, sur la base des meilleures pratiques de l’Organisation internationale pour la protection de la vie privée et la sécurité de l’information (IOPIS) et de l’Organisation mondiale de la santé (OMS). Systèmes de gestion de la protection des données (PMS). L’ISO 27700 a donc vocation à devenir la première norme mondiale et la plus complète pour l’introduction d’un système de protection des données, d’information et de gestion. Les normes aideront les organismes à établir, maintenir et améliorer le système de gestion de l’information et de la vie privée (PRISM) ou un système de protection de l’information et de la vie privée en améliorant la version actuelle ou future d’un ISMS existant ou tout autre type de protection des IPI sur la base des informations les plus récentes dont disposent l’organisme et ses utilisateurs. Sources : 3,6,6]

L’annexe A concerne spécifiquement la protection des données et, en étendant les clauses de l’ISO 27001, l’ISO 27701 aide les organisations à le faire. Les organisations qui ont adopté la norme ISO 27001 peuvent adopter les contrôles et les exigences de la norme ISO 27701 en étendant leurs pratiques existantes en matière de sécurité des données afin d’atteindre le même niveau de protection des données que celui de l’Organisation internationale pour la protection des données et la sécurité de l’information (IOPIS) et de l’Organisation mondiale de la santé (OMS). La norme ISO 27801 prévoit un chevauchement croissant entre les exigences qu’une organisation doit respecter et celles d’une autre. Sources : 4,11,12]

Si vous avez déjà mis en œuvre la norme ISO 27001, la mise en œuvre de la norme ISO 27701 est un peu plus facile, mais les deux normes ont des exigences techniques qui se chevauchent. Si vous utilisez l’extension du SMSI et que votre organisation a déjà intégré l’Organisation internationale pour la protection des données et la sécurité de l’information (IOPIS) ou l’Organisation mondiale de la santé (OMS) dans ses exigences en matière de protection des données, alors la norme ISO 27701 représente une tâche beaucoup plus importante pour vous et une extension de votre organisation que vous auriez pu intégrer dans vos propres pratiques de sécurité des données ou dans les exigences de l’OMS ou du CIO. Lorsque vous passerez par les extensions de l’IS MS ou de l’OMS et que vous pourrez impliquer vos organisations dans leurs exigences de confidentialité et de sécurité des données au préalable, l’ISO 277010 sera la plus grande tâche pour vous et les vôtres. [Sources : 1,15,8]

Les organisations qui sont déjà certifiées ISO 27001, qui ont déjà mis en place un programme efficace de conformité au GDPR et qui ont intégré par défaut la protection des données dans le processus de gestion de projet auront une tâche relativement facile pour atteindre la norme ISO 27701. Les organisations qui disposent des compétences, des processus et des systèmes adéquats pour utiliser les normes de protection et de sécurité des données telles que le SMSI peuvent se conformer au règlement et atténuer les risques de manière plus générale pour garantir la confidentialité et la sécurité. Sources : 15,17]

Sources:

• [0] : https://www.csoonline.com/article/3437437/why-every-business-should-consider-iso-27701-compliance-for-their-vendors.html
• 1] : https://www.readynez.com/en/blog/what-is-the-iso-27701-a-comprehensive-guide-to-privacy-information-management/
• 2] : https://www.bobsguide.com/guide/news/2019/Nov/12/iso-27701-the-new-international-privacy-standard/
• [3] : https://www.apomatix.com/blog/what-is-iso-27701/
• [4] : https://www.itgovernanceusa.com/iso-27701
• [5] : https://www.dnv.com/services/iso-iec-27701-international-standard-for-privacy-information-management-159186
• [6] : https://www.sscsrl.com/iso-27701-training-courses-certification/
• [7] : https://eurocloud.org/news/article/gdpr-versus-iso-27701/
• [8] : https://hub.schellman.com/iso-certifications/the-much-anticipated-iso-27701
• [9] : https://blog.cloudflare.com/iso-27701-privacy-certification/
• [10] : https://exemplarglobal.org/certification/privacy-and-data-protection/privacy-information-management-system-auditor-iso-27701/
• [11] : https://www.itgovernance.eu/blog/en/iso-27701-the-new-international-standard-for-data-privacy
• [13] : https://www.corporatecomplianceinsights.com/iso-27701-gdpr-certification/
• [14] : https://www.urmconsulting.com/blog/what-is-iso27701-privacy-information-management/
• [15] : https://www.trilateralresearch.com/the-implications-of-iso-27701-for-organisations-seeking-privacy-certification/
• [16] : https://techspective.net/2020/01/16/iso-27701-the-new-international-privacy-standard-to-demonstrate-compliance-with-privacy-laws/
• [17] : https://www.sriregistrar.com/standards/iso-iec-277012019/