STN EN ISO/IEC 27701
| Označenie: | STN EN ISO/IEC 27701 |
| Platnosť: | Platná |
| Počet strán: | 72 |
| Jazyk: |
SK
|
| Listinná verzia: | 28,80€ |
| Elektronická verzia: |
a) Bez možnosti tlače, prenosu textu a obrázkov:
25,92€ b) Bez možnosti tlače, s prenosom textu a obrázkov: 28,80€ c) S možnosťou tlače, prenosu textu a obrázkov: 37,44€ |
| Slovenský názov: | Bezpečnostné metódy. Rozšírenie noriem ISO/IEC 27001 a ISO/IEC 27002 o riadenie bezpečnosti osobných údajov. Požiadavky a usmernenia (ISO/IEC 27701: 2019) |
| Anglický názov: | Security techniques. Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. Requirements and guidelines |
| Dátum vydania: | 01. 03. 2022 |
| Dátum zrušenia: | |
| ICS: | 35.020, 35.040 |
| Triediaci znak: | 97 4123 |
| Úroveň zapracovania: | idt ISO/IEC 27701:2019, idt EN ISO/IEC 27701:2021 |
| Vestník: | 02/22 |
| Zmeny: | |
| Nahradzujúce normy: | |
| Nahradené normy: | STN EN ISO/IEC 27701:2021-08 (97 4123) |
| Poznámka vo Vestníku: | |
| Predmet normy: | Tento dokument špecifikuje požiadavky a poskytuje návod na vytvorenie, implementáciu, udržiavanie a neustále zlepšovanie Systému riadenia informácií o ochrane osobných údajov (PIMS) vo forme rozšírenia noriem ISO/IEC 27001 a ISO/IEC 27002 na účely riadenia ochrany osobných údajov v súvislostiach organizácie. Tento dokument špecifikuje požiadavky súvisiace s PIMS a poskytuje usmernenia pre prevádzkovateľov a sprostredkovateľov PII, ktorí nesú zodpovednosť za spracovanie PII. Tento dokument sa vzťahuje na všetky typy a veľkosti organizácií vrátane verejných a súkromných spoločností, vládnych subjektov a neziskových organizácií, ktoré sú prevádzkovateľmi PII a/alebo sprostredkovateľmi PII spracúvajúcimi PII v rámci ISMS. |
| Náhľad normy: | Náhľad normy (PDF) |
| Obsah: |
Európsky predhovor 9 Úvod 10 1 Predmet normy 11 2 Normatívne odkazy 11 3 Termíny, definície a skratky 11 4 Všeobecne 12 4.1 Štruktúra dokumentu 12 4.2 Použitie požiadaviek normy ISO/IEC 27001:2013 12 4.3 Použitie smerníc ISO/IEC 27002:2013 13 4.4 Zákazník 14 5 Špecifické požiadavky na PIMS súvisiace s normou ISO/IEC 27001 14 5.1 Všeobecne 14 5.2 Súvislosti organizácie 14 5.2.1 Pochopenie organizácie a jej súvislostí 14 5.2.2 Pochopenie potrieb a očakávaní zainteresovaných strán 14 5.2.3 Určenie predmetu systému manažérstva informačnej bezpečnosti 15 5.2.4 Systém manažérstva informačnej bezpečnosti 15 5.3 Vodcovstvo 15 5.3.1 Vodcovstvo a záväzok 15 5.3.2 Politika 15 5.3.3 Roly, zodpovednosti a právomoci v organizácii 15 5.4 Plánovanie 15 5.4.1 Opatrenia na zvládnutie rizík a príležitostí 15 5.4.2 Ciele informačnej bezpečnosti a plánovanie ich dosiahnutia 16 5.5 Podpora 16 5.5.1 Zdroje 16 5.5.2 Kompetentnosť 16 5.5.3 Povedomie 16 5.5.4 Komunikácia 16 5.5.5 Zdokumentované informácie 16 5.6 Prevádzka 17 5.6.1 Plánovanie a riadenie prevádzky 17 5.6.2 Posúdenie rizík informačnej bezpečnosti 17 5.6.3 Ošetrenie rizík informačnej bezpečnosti 17 5.7 Hodnotenie výkonnosti 17 5.7.1 Monitorovanie, meranie, analýza a hodnotenie 17 5.7.2 Interný audit 17 5.7.3 Preskúmanie manažmentom 17 5.8 Zlepšovanie 17 5.8.1 Nezhoda a nápravné opatrenia 17 5.8.2 Trvalé zlepšovanie 17 6 Špecifické usmernenia PIMS týkajúce sa normy ISO/IEC 27002 17 6.1 Všeobecne 17 6.2 Politiky informačnej bezpečnosti 18 6.2.1 Smerovanie manažmentu v oblasti informačnej bezpečnosti 18 6.3 Organizácia informačnej bezpečnosti 18 6.3.1 Vnútorná organizácia 18 6.3.2 Mobilné zariadenia a práca na diaľku 19 6.4 Personálna bezpečnosť 19 6.4.1 Pred nástupom do zamestnania 19 6.4.2 Počas zamestnania 19 6.4.3 Ukončenie a zmena zamestnania 20 6.5 Riadenie aktív 20 6.5.1 Zodpovednosť za aktíva 20 6.5.2 Klasifikácia informácií 20 6.5.3 Zaobchádzanie s médiami 20 6.6 Riadenie prístupov 21 6.6.1 Požiadavky na riadenie prístupu 21 6.6.2 Riadenie používateľských prístupov 21 6.6.3 Zodpovednosť používateľov 22 6.6.4 Riadenie systémových a aplikačných prístupov 22 6.7 Kryptografia 23 6.7.1 Kryptografické opatrenia 23 6.8 Fyzická bezpečnosť a bezpečnosť prostredia 23 6.8.1 Zabezpečené oblasti 23 6.8.2 Bezpečnosť zariadení 24 6.9 Bezpečnosť prevádzky 25 6.9.1 Prevádzkové postupy a zodpovednosť 25 6.9.2 Ochrana pred škodlivým softvérom 25 6.9.3 Zálohovanie 25 6.9.4 Zaznamenávanie dát a monitorovanie 26 6.9.5 Riadenie prevádzkového softvéru 26 6.9.6 Riadenie technickej zraniteľnosti 27 6.9.7 Audit informačných systémov 27 6.10 Komunikačná bezpečnosť 27 6.10.1 Riadenie bezpečnosti v sieťach 27 6.10.2 Prenos informácií 27 6.11 Akvizícia, vývoj a údržba informačných systémov 28 6.11.1 Bezpečnostné požiadavky na informačné systémy 28 6.11.2 Bezpečnosť pri vývoji a pri podporných procesoch 28 6.11.3 Testovacie údaje 29 6.12 Riadenie vzťahov s dodávateľmi 29 6.12.1 Informačná bezpečnosť vo vzťahoch s dodávateľmi 29 6.12.2 Riadenie dodávateľských služieb 30 6.13 Riadenie incidentov informačnej bezpečnosti 30 6.13.1 Riadenie incidentov informačnej bezpečnosti a zlepšovania 30 6.14 Aspekty informačnej bezpečnosti v riadení kontinuity 32 6.14.1 Kontinuita informačnej bezpečnosti 32 6.14.2 Redundancia 32 6.15 Súlad 32 6.15.1 Súlad s právnymi a zmluvnými požiadavkami 32 6.15.2 Preskúmanie informačnej bezpečnosti 33 7 Dodatočné usmernenie ISO/IEC 27002 pre prevádzkovateľov PII 34 7.1 Všeobecne 34 7.2 Podmienky získavania a spracovania 34 7.2.1 Určenie a zdokumentovanie účelu 34 7.2.2 Určenie právneho základu 34 7.2.3 Určenie okolností získania súhlasu 35 7.2.4 Získanie a zaznamenanie súhlasu 35 7.2.5 Posúdenie vplyvu na ochranu osobných údajov 36 7.2.6 Zmluvy so sprostredkovateľmi PII 36 7.2.7 Spoloční PII prevádzkovatelia 36 7.2.8 Záznamy súvisiace so spracovaním osobných údajov 37 7.3 Povinnosti voči dotknutým osobám 37 7.3.1 Určenie a plnenie povinností voči dotknutým osobám 37 7.3.2 Určenie informácií pre dotknuté osoby 38 7.3.3 Poskytovanie informácií dotknutým osobám 38 7.3.4 Poskytnutie mechanizmu na zmenu alebo odvolanie súhlasu 39 7.3.5 Poskytnutie mechanizmu na vznesenie námietky proti spracúvaniu osobných údajov 39 7.3.6 Prístup, oprava a/alebo vymazanie 39 7.3.7 Povinnosti prevádzkovateľov osobných údajov informovať tretie strany 40 7.3.8 Poskytnutie kópie spracovaných PII 40 7.3.9 Vybavovanie žiadostí 40 7.3.10 Automatizované rozhodovanie 41 7.4 Špecificky navrhnutá a štandardná ochrana osobných údajov 41 7.4.1 Obmedzenie zberu osobných údajov 41 7.4.2 Obmedzenie spracúvania osobných údajov 41 7.4.3 Presnosť a kvalita 42 7.4.4 Ciele minimalizácie PII 42 7.4.5 Deidentifikácia a vymazanie PII na konci spracovania 43 7.4.6 Dočasné súbory 43 7.4.7 Uchovávanie 43 7.4.8 Likvidácia 43 7.4.9 Opatrenia prenosu PII 44 7.5 Zdieľanie, prenos a zverejňovanie osobných údajov 44 7.5.1 Identifikácia základu pre prenos PII medzi jurisdikciami 44 7.5.2 Krajiny a medzinárodné organizácie, do ktorých možno preniesť PII 44 7.5.3 Záznamy o prenose PII 44 7.5.4 Záznamy o sprístupnení PII tretím stranám 45 8 Dodatočné usmernenie ISO/IEC 27002 pre sprostredkovateľov PII 45 8.1 Všeobecne 45 8.2 Podmienky zberu a spracovania 45 8.2.1 Zmluva so zákazníkom 45 8.2.2 Účely organizácie 46 8.2.3 Marketingové a reklamné využitie 46 8.2.4 Porušujúce pokyny 46 8.2.5 Povinnosti zákazníka 46 8.2.6 Záznamy súvisiace so spracovaním PII 47 8.3 Povinnosti voči dotknutým osobám 47 8.3.1 Povinnosti voči dotknutým osobám 47 8.4 Špecificky navrhnutá a štandardná ochrana osobných údajov 47 8.4.1 Dočasné súbory 47 8.4.2 Vrátenie, prenos alebo likvidácia PII 48 8.4.3 Opatrenia prenosu PII 48 8.5 Zdieľanie, prenos a zverejňovanie osobných údajov 48 8.5.1 Základ pre prenos PII medzi jurisdikciami 48 8.5.2 Krajiny a medzinárodné organizácie, do ktorých možno preniesť PII 49 8.5.3 Záznamy o sprístupnení PII tretím stranám 49 8.5.4 Oznamovanie žiadostí o sprístupnenie PII 49 8.5.5 Právne záväzné zverejňovanie PII 49 8.5.6 Zverejnenie subdodávateľov používaných na spracovanie PII 50 8.5.7 Zapojenie subdodávateľa do spracovania PII 50 8.5.8 Zmena subdodávateľa na spracovanie PII 50 Príloha A (normatívna) – Referenčné ciele riadenia a opatrenia špecifické pre PIMS (prevádzkovatelia PII) 51 Príloha B (normatívna) – Referenčné ciele riadenia a opatrenia špecifické pre PIMS (sprostredkovatelia PII) 55 Príloha C (informatívna) – Mapovanie na ISO/IEC 29100 58 Príloha D (informatívna) – Mapovanie na Všeobecné nariadenie o ochrane údajov 61 Príloha E (informatívna) – Mapovanie na ISO/IEC 27018 a ISO/IEC 29151 65 Príloha F (informatívna) – Ako aplikovať ISO/IEC 27701 na ISO/IEC 27001 a ISO/IEC 27002 68 Literatúra 70 |