ISO/IEC 27701: o gerenciamento de informações sobre privacidade em segurança da informação

A ISO/IEC 27701:2019 – Security techniques – Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and Guidelines especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade (Privacy Information Management System – PIMS) na forma de uma extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de privacidade dentro do contexto da organização. Este documento especifica os requisitos relacionados ao PIMS e fornece orientação para os controladores de Personally Identifiable Information (PII) e processadores de PII que detêm responsabilidade e responsabilidade pelo processamento de PII.

Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e/ou processadores de PII dentro de um SGSI.

Conteúdo da norma

Prefácio……………………………… vi

Introdução…. …………………… vii

1 Escopo…. ………………………. 1

2 Referências normativas……… 1

3 Termos, definições e abreviaturas………………… 1

4 Geral………………………………. ………………….. 2

4.1 Estrutura deste documento…………. ……….. 2

4.2 Aplicação dos requisitos da ISO/IEC 27001: 2013… …….. 2

4.3 Aplicação das diretrizes ISO/IEC 27002: 2013 ……………. 3

4.4 Cliente………………………………………… .4

5 Requisitos específicos do PIMS relacionados à ISO/IEC 27001…….. 4

5.1 Geral…………………………………… …… 4

5.2 Contexto da organização………… ………. 4

5.2.1 Entendendo a organização e seu contexto…………. 4

5.2.2 Entendendo as necessidades e expectativas das partes interessadas……………5

5.2.3 Determinar o escopo do sistema de gerenciamento de segurança da informação…………………. 5

5.2.4 Sistema de gerenciamento de segurança da informação…………………………. … 5

5.3 Liderança…………………………… 5

5.3.1 Liderança e compromisso……………………….. 5

5.3.2 Política……. ………………………………….. 5

5.3.3 Funções organizacionais, responsabilidades e autoridades………………………. 5

5.4 Planejamento………………. 6

5.4.1 Ações para endereçar riscos e oportunidades…….. …. 6

5.4.2 Objetivos de segurança da informação e planejamento para alcançá-los………. …….. 7

5.5 Suporte………………………………… ….. 7

5.5.1 Recursos…… ………………………… 7

5.5.2 Competência……….. ……………………. 7

5.5.3 Conscientização………. ………………….7

5.5.4 Comunicação………………. ……………. 7

5.5.5 Informação documentada………………… 7

5.6 Operação………………………………………….. 7

5.6.1 Planejamento e controle operacional……………… 7

5.6.2 Avaliação de risco de segurança da informação…………… 7

5.6.3 Tratamento do risco de segurança da informação…………………………………………… 7

5.7 Avaliação de desempenho.. ……………. 8

5.7.1 Monitoramento, medição, análise e avaliação………………….. 8

5.7.2 Auditoria interna………. …………………. 8

5.7.3 Revisão da gestão……………………………. 8

5.8 Melhoria…………………………………………. 8

5.8.1 Não conformidade e ação corretiva…………… 8

5.8.2 Melhoria contínua…………………………………. 8

6 Orientações específicas do PIMS relacionadas à ISO/IEC 27002……………………… 8

6.1 Geral……………………………….. …… 8

6.2 Políticas de segurança da informação……………. …. 8

6.2.1 Direção da gerência para a segurança da informação…………………………… 8

6.3 Organização da segurança da informação…………….. 9

6.3.1 Organização interna…………………………………… 9

6.3.2 Dispositivos móveis e teletrabalho………………….. 10

6.4 Segurança dos recursos humanos…………………….. 10

6.4.1 Antes do emprego……………………………………………10

6.4.2 Durante o emprego……………………………………. 10

6.4.3 Rescisão e mudança de emprego…………… 11

6.5 Gestão de ativos…….. ……………………. 11

6.5.1 Responsabilidade pelos ativos……………….. 11

6.5.2 Classificação da informação………………….. 11

6.5.3 Manuseio de mídia…….. …………… 12

6.6 Controle de acesso…………………………. 13

6.6.1 Requisitos de negócios do controle de acesso….. 13

6.6.2 Gerenciamento de acesso do usuário………………. 13

6.6.3 Responsabilidades do usuário…………………………………………. ..14

6.6.4 Controle de acesso a sistemas e aplicativos……….. 14

6.7 Criptografia………. ……………………………….. 15

6.7.1 Controles criptográficos………………………….. 15

6.8 Segurança física e ambiental………………….. 15

6.8.1 Áreas seguras……………. …………………. 15

6.8.2 Equipamento………. ……………………. 16

6.9 Segurança operacional. …………………… 17

6.9.1 Procedimentos operacionais e responsabilidades……………. 17

6.9.2 Proteção contra malware…………………………… 18

6.9.3 Backup……………….. ……………………………. 18

6.9.4 Registro e monitoramento……………………….. 18

6.9.5 Controle do software operacional……………………. 19

6.9.6 Gerenciamento técnico de vulnerabilidades……………. 20

6.9.7 Considerações sobre auditoria de sistemas de informação………………………………. 20

6.10 Segurança de comunicações……………. ……… 20

6.10.1 Gerenciamento de segurança de rede……………………… 20

6.10.2 Transferência de informação……………………………. ..20

6.11 Aquisição, desenvolvimento e manutenção de sistemas…………………….. 21

6.11.1 Requisitos de segurança dos sistemas de informação…………………………………. 21

6.11.2 Segurança em processos de desenvolvimento e suporte……………………………….. 21

6.11.3 Dados de ensaio…………………….. 23

6.12 Relações com fornecedores …………….. 23

6.12.1 Segurança da informação nas relações com fornecedores…………………… 23

6.12.2 Gerenciamento de entrega de serviços de fornecedores…………………………. 24

6.13 Gerenciamento de incidentes de segurança da informação………………. …………….. 24

6.13.1 Gerenciamento de incidentes e melhorias de segurança da informação………………………. 24

6.14 Aspectos de segurança da informação na gestão de continuidade de negócios……………. ………….. 27

6.14.1 Continuidade da segurança da informação……………………. 27

6.14.2 Redundâncias………………… …………….. 27

6.15 Conformidade…………………………………. 27

6.15.1 Cumprimento dos requisitos legais e contratuais………… 27

6.15.2 Revisões de segurança da informação…………………………. 28

7 Orientação adicional ISO/IEC 27002 para controladores PII………………………… ..29

7.1 Geral…………………….. … 29

7.2 Condições para coleta e processamento…………………… 29

7.2.1 Identifique e documente a finalidade………………… 29

7.2.2 Identifique a base legal………………………………. 29

7.2.3 Determinar quando e como o consentimento deve ser obtido…………………………. 30

7.2.4 Obter e registrar o consentimento…………………. 30

7.2.5 Avaliação do impacto de privacidade…………… 31

7.2.6 Contratos com processadores PII………………….. 31

7.2.7 Controlador PII comum…………………….. …….. 32

7.2.8 Registros relacionados ao processamento de PII…………… 32

7.3 Obrigações com os princípios de PII………………….. ….. 33

7.3.1 Determinação e cumprimento de obrigações para com os princípios de PII…………………. 33

7.3.2 Determinando as informações para os principais objetos de informação pessoal…………………………….. 33

7.3.3 Fornecendo informações aos principais PII………. ……… 34

7.3.4 Fornecendo o mecanismo para modificar ou retirar o consentimento…………………… 34

7.3.5 Fornecendo o mecanismo para contestar o processamento de PII…………………………….. 35

7.3.6 Acesso, correção e/ou eliminação……………….. 35

7.3.7 Obrigações dos controladores de PII de informar terceiros…………………………….. 36

7.3.8 Fornecendo cópia das PII processadas……………………… 36

7.3.9 Processando solicitações……………………. …….. 37

7.3.10 Tomada de decisão automatizada………………………. 37

7.4 Privacidade por projeto e privacidade por norma………………………………………………………. 38

7.4.1 Cobrança limite………………………… 38

7.4.2 Processamento de limite…….. ………… 38

7.4.3 Precisão e qualidade…………………… ..38

7.4.4 Objetivos de minimização de PII……………….. 39

7.4.5 Desidentificação e eliminação de PII no final do processamento…………………………. 39

7.4.6 Arquivos temporários… ………….. 39

7.4.7 Retenção….. ………………………. 40

7.4.8 Descarte…. …………………………. 40

7.4.9 Controles de transmissão PII…………………. 40

7.5 Compartilhamento, transferência e divulgação de PII…………. 41

7.5.1 Identificar base para transferência de PII entre jurisdições………………………… 41

7.5.2 Países e organizações internacionais para os quais PII podem ser transferidos ………… 41

7.5.3 Registros de transferência de PII…………………… 41

7.5.4 Registros de divulgação de PII para terceiros……. 42

8 Orientação adicional ISO/IEC 27002 para processadores PII……………………………. … 42

8.1 Geral……………………………….. … 42

8.2 Condições para coleta e processamento……………………. 42

8.2.1 Contrato com o cliente……………………………….. .42

8.2.2 Finalidades da organização………………………………. 43

8.2.3 Marketing e publicidade…. ……………………….. 43

8.2.4 Instrução infratora……………………………. 43

8.2.5 Obrigações do cliente…………………………….. 43

8.2.6 Registros relacionados ao processamento de PII………………. 44

8.3 Obrigações aos principais PII…………………………. ….. 44

8.3.1 Obrigações para com os princípios de PII…………… 44

8.4 Privacidade por projeto e privacidade por norma…… 44

8.4.1 Arquivos temporários………… ……………. 44

8.4.2 Devolução, transferência ou descarte de PII………… 45

8.4.3 Controles de transmissão PII…………………. 45

8.5 Compartilhamento, transferência e divulgação de PII……… 46

8.5.1 Base para transferência de PII entre jurisdições….. 46

8.5.2 Países e organizações internacionais para as quais os PII podem ser transferidos…………. 46

8.5.3 Registros de divulgação de PII para terceiros… ……. 47

8.5.4 Notificação de solicitações de divulgação de PII………… 47

8.5.5 Divulgações de PII legalmente vinculativas………………………. 47

8.5.6 Divulgação de subcontratantes utilizados para processar PII……….. 47

8.5.7 Contratação de um subcontratado para processar PII…………………………………… 48

8.5.8 Mudança de subcontratado para processar PII………. 48

Anexo A (normativo) Objetivos e controles de referência específicos do PIMS (Controladores PII) …… 49

Anexo B (normativo) Objetivos e controles de referência específicos do PIMS (Processadores PII) ……. 53

Anexo C (informativo) Mapeamento para a ISO/IEC 29100……… 56

Anexo D (informativo) Mapeamento ao Regulamento Geral de Proteção de Dados………………… 58

Anexo E (informativo) Mapeamento para a ISO/IEC 27018 e ISO/IEC 29151……………. 61

Anexo F (informativo) Como aplicar a ISO/IEC 27701 à ISO/IEC 27001 e ISO/IEC 27002……………… 64

Bibliografia………………………66

Quase toda organização processa Informações Pessoais Identificáveis (Personally Identifiable Information – PII). Além disso, a quantidade e os tipos de PII processados estão aumentando, assim como o número de situações em que uma organização precisa cooperar com outras em relação ao processamento de PII. A proteção da privacidade no contexto do processamento de PII é uma necessidade social, bem como o tópico de legislação e/ou regulamentação dedicadas em todo o mundo.

O Sistema de Gerenciamento de Segurança da Informação (SGSI) definido na ISO/IEC 27001 foi projetado para permitir a adição de requisitos setoriais específicos, sem a necessidade de desenvolver um novo sistema de gestão. As normas do sistema de gestão ISO, incluindo as específicas do setor, são projetadas para serem implementadas separadamente ou como um sistema de Gestão combinado.

Os requisitos e as orientações para a proteção das PII variam de acordo com o contexto da organização, em particular quando existe legislação e/ou regulamentação nacional. A ISO/IEC 27001 exige que esse contexto seja compreendido e levado em consideração.

Este documento inclui mapeamento para: o quadro e os princípios de privacidade definidos na norma ISO/IEC 29100; ISO/IEC 27018; ISO/IEC 29151; e o Regulamento Geral de Proteção de Dados da UE. No entanto, estas proteções podem precisar ser interpretadas para levar em conta a legislação e/ou regulamentação local. Este documento pode ser usado por controladores PII (incluindo aqueles que são controladores PII de junção) e processadores PII (incluindo aqueles que usam processadores PII subcontratados e aqueles que processam PII como subcontratantes para processadores PII).

Uma organização que atenda aos requisitos deste documento gerará evidências documentadas de como ele lida com o processamento de PII. Tal evidência pode ser usada para facilitar acordos com parceiros de negócios onde o processamento de PII é mutuamente relevante. Isso também pode ajudar nas relações com outras partes interessadas.

O uso deste documento em conjunto com a ISO/IEC 27001 pode, se desejado, fornecer uma verificação independente dessa evidência. Este documento foi inicialmente desenvolvido como ISO/IEC 27552 e ele se aplica a estrutura desenvolvida pela ISO para melhorar o alinhamento entre os normas do sistema de gestão e permite que uma organização alinhe ou integre seu PIMS com os requisitos de outras normas de gestão.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: