La 27701:2019 es una nueva norma publicada el día 08/05/2019 (inicialmente bajo la definición ISO/IEC DIS 27552) incluyéndose en la familia ISO 27000 (estándares de la seguridad de la información).
Esta nueva norma sobre la seguridad de la información proporciona a las empresas la metodología necesaria para garantizar el cumplimiento de los requisitos establecidos en la RGPD y posteriormente trasladado a España mediante la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, además de otros requisitos sobre privacidad de datos, es en realidad la puesta en práctica del punto 23.4 del RGPD en cuanto a proporcionar unos estándares certificables que garanticen el cumplimiento de las obligaciones por parte del responsable de tratamiento.
La norma ISO 27701 está considerada una extensión de la norma ISO 27001 al incorporar requisitos adicionales en el sistema de gestión de la seguridad de la información (SGSI) de modo que cubra también los aspectos específicos sobre privacidad y que puedan extender el sistema de gestión para que la organización genere evidencias de un adecuado cumplimiento de las leyes y regulaciones locales en materia de privacidad o protección de datos personales, dentro la norma ISO 27701 existe un anexo (anexo F) donde se detalla la metodología para llevarlo a la práctica más adecuadamente.
Esta norma es certificable conjuntamente con la norma ISO 27001.
Su estructura es la siguiente:
Introducción
1 Alcance
2 Referencias normativas
3 Términos, definiciones y abreviaturas
4 Generalidades
4.1 Estructura de este documento
4.2 Aplicación de los requisitos de ISO / IEC 27001: 2013
4.3 Aplicación de las directrices ISO / IEC 27002: 2013
4.4 Cliente
5 Requisitos específicos de PIMS relacionados con ISO / IEC 27001
5.1 Generalidades
5.2 Contexto de la organización
5.3 Liderazgo
5.4 Planificación
5.5 Soporte
5.6 Operación
5.7 Evaluación de desempeño
5.8 Mejora
6 Orientación específica de PIMS relacionada con ISO / IEC 27002
6.1 General
6.2 Políticas de seguridad de la información
6.3 Organización de la seguridad de la información
6.4 Seguridad de los recursos humanos
6.5 Gestión de activos
6.6 Control de acceso
6.7 Criptografía
6.8 Seguridad física y ambiental
6.9 Seguridad de operaciones
6.10 Seguridad de comunicaciones
6.11 Adquisición, desarrollo y mantenimiento de sistemas
6.12 Relaciones con proveedores
6.13 Gestión de incidentes de seguridad de la información
6.14 Aspectos de seguridad de la información de la gestión de la continuidad del negocio
6.15 Cumplimiento
7 Orientación adicional ISO / IEC 27002 para controladores PII
7.1 Generalidades
7.2 Condiciones de recolección y procesamiento
7.3 Obligaciones con los directores de
7.4 Privacidad por diseño y privacidad por defecto
7.5 Compartir, transferir y revelar información personal identificable
8 Orientación adicional ISO / IEC 27002 para procesadores PII
8.1 Generalidades
8.2 Condiciones de recopilación y procesamiento
8.3 Obligaciones a los directores de información personal PII
8.4 Privacidad por diseño y privacidad por por defecto
8.5 PII compartir, transferir y revelar
Anexo A Objetivos y controles de control de referencia específicos de PIMS (Controladores PII)
Anexo B Objetivos y controles de control de referencia específicos de PIMS (Procesadores PII)
Anexo C Mapeo a ISO / IEC 29100 A
nexo D Mapeo a lo general Regulación de protección de datos
Anexo E Mapeo a ISO / IEC 27018 e ISO / IEC 29151
Anexo F Cómo aplicar ISO / IEC 27701 a ISO / IEC 27001 e ISO / IEC 27002
F.1 Cómo aplicar este documento
F.2 Ejemplo de depuración de estándares de seguridad