NEWS

Cosa è la ISO/IEC 27701?

Lo standard ISO/IEC 27701: 2019 specifica i requisiti e fornisce una guida per stabilire, implementare, mantenere e migliorare continuamente un PIMS (Privacy Information Management System o sistema di gestione delle informazioni sulla privacy) attraverso un set di requisiti, obiettivi di controllo e controlli che integrano ed estendono quanto definito nello standard ISO/IEC 27001: 2013 per la gestione della sicurezza delle informazioni.

Le organizzazioni che hanno già implementato un ISMS (Information Security Management System) secondo la ISO/IEC 27001 saranno in grado di utilizzare la ISO/IEC 27701 per estendere la copertura dell’information security alla gestione della privacy, comprendendo anche i trattamenti di dati personali (PII - Personally Identifiable Information ), in modo da poter dimostrare la conformità con le legislazioni cogenti in materia di protezione dei dati personali come il GDPR (cfr. art. 42 - General Data Protection Regulation (EU) 2016/679).

Le organizzazioni che non sono dotate di un ISMS possono anche implementare ISO/IEC 27001 e ISO/IEC 27701 insieme in un singolo progetto, in quanto la ISO/IEC 27701 estende semplicemente i requisiti forniti dalla 27001 e dal suo “codice di condotta” (ISO/IEC 27002), e non è quindi necessario realizzare due sistemi di gestione e/o progetti di implementazione separati.

La Norma ISO/IEC 27701 è stata progettata per essere utilizzata da tutte le organizzazioni, siano esse titolari del trattamento o responsabili del trattamento. Come per la ISO/IEC 27001, la norma è fondata su un approccio basato sul rischio in modo che ciascuna organizzazione che voglia essere e mantenersi conforme affronti i rischi specifici riguardanti il trattamento dei dati personali e la privacy a cui è soggetta. La norma è quindi applicabile per tutte le organizzazioni, qualsiasi sia la loro dimensione e il loro settore di attività.

La norma ISO/IEC 27701 fornisce requisiti e linee guida per costruire, implementare, mantenere e migliorare costantemente un PIMS, sia che l’organizzazione operi come titolare del Trattamento (Data Controller), sia come Responsabile (Data Processor).

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev Che cosa è il "vishing"?

Nicola Bernardi, presidente di Federprivacy, intervistati a Kudos su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo