Главная Стандарты Отрасли Почему BALTUM ✦ AI-оценка — baltum.ai Получить расчёт →
ГлавнаяСтандарты → ISO 27701

ISO/IEC 27701 — Управление конфиденциальностью информации

Международный стандарт для систем управления конфиденциальностью информации (PIMS). ISO 27701 расширяет ISO 27001 мерами контроля, специфичными для защиты персональных данных, обеспечивая структурированную и аудируемую основу для соответствия GDPR, LGPD, PIPEDA и другим нормам конфиденциальности.

ISO 27701:2019PIMSСоответствие GDPRЗащита приватности

Что такое ISO/IEC 27701?

ISO/IEC 27701:2019 — расширение стандартов ISO 27001 и ISO 27002, устанавливающее требования и рекомендации по созданию, внедрению, поддержанию и постоянному улучшению системы управления конфиденциальностью информации (PIMS). Стандарт описывает меры контроля конфиденциальности для ролей контроллеров персональных данных (PIC) и обработчиков персональных данных (PIP).

Связь с ISO 27001

ISO 27701 не является самостоятельным стандартом — он расширяет ISO 27001. Организации должны иметь сертификат ISO 27001 (или получать его одновременно) до получения сертификата ISO 27701. Интегрированная программа использует общую структуру управления СУИБ, что значительно сокращает трудозатраты на внедрение и стоимость аудита по сравнению с раздельными проектами.

Кому необходим ISO 27701?

  • Организациям, обрабатывающим персональные данные граждан ЕС в рамках обязательств GDPR
  • Облачным сервис-провайдерам и обработчикам данных, работающим с персональными данными клиентов
  • Платформам в сфере здравоохранения и HR-технологий
  • Компаниям финансового сектора, подчинённым требованиям нескольких юрисдикций в области конфиденциальности
  • Любой организации, стремящейся продемонстрировать подотчётность в соответствии со статьёй 5(2) GDPR

ISO 27701 и соответствие GDPR

Хотя сертификация ISO 27701 не является юридическим подтверждением соответствия GDPR, она предоставляет документированную, независимо аудированную структуру, которая напрямую соответствует обязательствам GDPR по подотчётности. Надзорные органы и специалисты по защите данных повсеместно признают ISO 27701 надёжной мерой подотчётности в рамках статьи 24 GDPR.

Ключевые области контроля

  • Условия сбора и обработки персональных данных
  • Обязательства перед субъектами данных: прозрачность, доступ, исправление, удаление
  • Принципы конфиденциальности по умолчанию и при проектировании (Privacy by Design)
  • Контроль передачи данных, включая механизмы трансграничной передачи
  • Управление обработчиками и субподрядчиками в рамках статьи 28 GDPR
  • Процедуры уведомления об утечке данных в соответствии с 72-часовым требованием GDPR

Типичные сроки

Для организаций, уже имеющих сертификат ISO 27001: 2–3 месяца для добавления сертификации ISO 27701. Для организаций, получающих ISO 27001 + ISO 27701 одновременно: 4–6 месяцев.