Inicia sesión       Contacta a ventas 
Agendar reunión

Por Sector

Por Reglamentación

Reglamentación por país 🌎
orm_icon

 

 Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

 Gestión
de seguridad de la información

Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

 Cumplimiento
normativo

Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

 Gestión de riesgos de lavado de activos

Identifica, establece controles y monitorea fácilmente los riesgos LAFT→
icono_auditoria

 

 Auditoría

Mejora tus procesos de auditoría, apoya el cumplimiento normativo y genera valor a tu organización a través de la mejora continua →

 

Recursos

 

como-hacer-un-analisis-causa-raiz-T13-pirani

Próxima clase: Cómo hacer un análisis causa raíz Jueves 02 de mayo, 10:00 a.m. GMT-5.

Agendar reunión

Por Sector

Por Reglamentación

Reglamentación por país 🌎
orm_icon

 

 Gestión de riesgos operacionales

Identifica, mide, controla y monitorea fácilmente los riesgos operativos de tu organización →
isms-icon

 

 Gestión
de seguridad de la información

Garantizar la confidencialidad, integridad y disponibilidad de tus activos de información →
compliance_icon-16

 

 Cumplimiento
normativo

Lleva el control de todas las normativas y regulaciones que debe cumplir tu organización →
aml-17

 

 Gestión de riesgos de lavado de activos

Identifica, establece controles, reporta operaciones sospechosas y monitorea fácilmente los riesgos LAFT →
icono_auditoria

 

 Auditoría

Mejora tus procesos de auditoría interna, apoya el cumplimiento normativo y genera valor a tu organización →

 

Recursos

 

como-hacer-un-analisis-causa-raiz-T13-pirani

Próxima clase: Cómo hacer un análisis causa raíz Jueves 02 de mayo, 10:00 a.m. GMT-5.

Piraní Academy
Blog

Conoce la ISO/IEC 27701 de gestión de privacidad de la información

Por Mónica María Jiménez, en febrero 22, 2024

ISO-27701-gestion-privacidad-de-la-informacion

Actualmente, la información de identificación personal (IPP) se ha convertido en un elemento clave para el funcionamiento de las organizaciones. Por eso, cada vez es más importante gestionar su privacidad para así poder garantizar los derechos de los usuarios interesados. 

La norma ISO/IEC 27701, publicada en el año 2019, es una herramienta de gran ayuda para una adecuada gestión y protección de la privacidad de los datos de una organización.

En este artículo podrás conocer un poco más sobre este estándar internacional: de qué se trata, cuál es su estructura, los beneficios de implementarlo, cómo se relaciona con la norma ISO/IEC 27001 y qué aspectos debes tener en cuenta para su implementación en tu organización. 

Sobre la ISO/IEC 27701

Esta norma, publicada por la Organización Internacional de Normalización (ISO), establece los requisitos para que las organizaciones gestionen adecuadamente la privacidad de la información de identificación personal, también llamada información personal identificable, por medio de la implementación de un Sistema de Gestión de Privacidad de la Información (SGPI).

En otras palabras, ISO/IEC 27701 contiene las pautas que deben seguir los responsables y encargados del tratamiento de datos personales para establecer, implementar, mantener y mejorar continuamente un SGPI en organizaciones de todo tipo de industrias y tamaños con el fin de lograr un mayor nivel de seguridad, confidencialidad, integridad y disponibilidad de los sistemas de información que manejan datos de identificación personal. 

Es importante mencionar que este estándar fue diseñado como una extensión de la norma ISO/IEC 27001 (Sistema de Gestión de Seguridad de la Información) y la ISO/IEC 27002 (Controles de Seguridad de la Información), es decir, amplía lo dispuesto en estas dos normas y sirve para mejorarlas para fortalecer la seguridad de la IIP en los sistemas de las entidades. 

Además, es certificable y permite a quienes la implementen dar cumplimiento al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a normativas similares de privacidad de datos en diferentes jurisdicciones, por ejemplo, en México a la Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados (sector público) o la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sector privado).

En cuanto a su estructura, la ISO/IEC 27701 incluye 8 cláusulas, 6 anexos y 263 controles en materia de seguridad. 

Las 8 cláusulas son:

  1. Alcance.
  2. Normativas de referencia.
  3. Términos, definiciones y abreviaturas.
  4. Requisitos generales.
  5. Requisitos específicos SGPI - ISO 27001.
  6. Requisitos específicos SGPI - ISO 27002.
  7. Medidas adicionales para los responsables.
  8. Medidas adicionales para los encargados.

Los anexos hay dos normativos (A y B) y cuatro informativos (C, D, E y F) y son:

Anexo A: Objetivos de control y controles específicos para los responsables.

Anexo B: Objetivos de control y controles específicos para los encargados.

Anexo C: Mapeo ISO 27701 - ISO 29100.

Anexo D: Mapeo ISO 27701 - GDPR (RGPD).

Anexo E: Mapeo ISO 27701 - ISO 27018 e ISO 29151.

Anexo F: Cómo aplicar ISO 27701 con ISO 27001 e ISO 27002. 

gestion-privacidad-de-la-informacion-ISO-27701

Beneficios de implementar la ISO/IEC 27701 

Más allá de orientar a los responsables y encargados del tratamiento de datos personales para una correcta gestión de la privacidad a través de un SGPI, esta norma ofrece otras ventajas o beneficios destacados a las organizaciones que la implementan, por ejemplo:

  • Mayor protección de la información de identificación personal (IIP) que manejan al poder garantizar su seguridad y confidencialidad.
  • Identificación, evaluación y mitigación de los riesgos relacionados con la recolección, mantenimiento y procesamiento de la IIP como puede ser el robo de datos, la pérdida o la violación de la confidencialidad. 
  • Tener claridad sobre las funciones y responsabilidades en seguridad y privacidad de la información dentro de la organización.
  • Mejorar la gestión de los contratos con el personal responsable y encargado del tratamiento de la IIP.
  • Generar confianza en clientes, empleados y terceros con respecto a la capacidad que tiene la empresa para gestionar, proteger y mantener la integridad de la información personal. Esto también ayuda a fortalecer las relaciones comerciales en un entorno que cada vez es más complejo.
  • Permitir a los propietarios de la información personal hacer valer sus derechos sobre esta.
  • Mejorar la eficiencia operativa con respecto al manejo de los datos personales, disminuir los errores y optimizar la gestión de la privacidad. Igualmente, promueve la adopción de la privacidad por diseño y por defecto en el tratamiento de datos.
  • Proteger la reputación de la organización, aumentar la satisfacción y la fidelidad de los clientes.
  • Tener una ventaja competitiva con respecto a los competidores. La gestión de la privacidad de la información se convierte en un activo estratégico que puede favorecer el éxito de la empresa.

Relación entre ISO 27701 e ISO 27001

Como se mencionó anteriormente, la ISO/IEC 27701 es una extensión de la ISO/IEC 27001, por eso están muy relacionadas. Al implementar un Sistema de Gestión de Privacidad de la Información (SGPI) las organizaciones amplían el alcance de su Sistema de Gestión de Seguridad de la Información (SGSI), es decir, incluyen prácticas y controles específicos para garantizar la protección y privacidad de los datos personales, así como para cumplir regulaciones sobre esto. 

Si en tu organización ya tienen implementado un SGSI pueden complementarlo y robustecerlo a través de un SGPI, que sin duda les ayudará a dar un manejo ético y seguro a toda la información de identificación personal que recolectan. 

Guía para obtener la certificación ISO 27001

Implementación de un SGPI

Para implementar un adecuado Sistema de Gestión de Privacidad de la Información (SGPI), según lo propuesto por la norma, es clave tener en cuenta aspectos como:

  1. Alcance del SGPI.
  2. Evaluación de riesgos de privacidad de la información.
  3. Políticas y procedimientos.
  4. Roles y responsabilidades.
  5. Controles de privacidad.
  6. Monitoreo y mejora continua.
  7. Formación y concientización. 

¿De qué se tratan cada uno de estos? Sobre este tema te contaremos en un próximo blog Pirani. ¡Espéralo!

Agenda una reunión de 15 minutos

 

También te puede interesar

Otros artículos de Seguridad de la información

Ciberseguridad

Las 4 etapas clave para la gestión de riesgos de ciberseguridad

febrero 14, 2024 |
Seguridad de la información

Importancia de contar con un Plan de Recuperación de Desastres (DRP)

enero 24, 2024 |
Seguridad de la información

Principales cambios de la norma ISO 27001:2022

noviembre 23, 2023 |

Escribe tu comentario

Permanece al día
en la prevención de riesgos
siguiéndonos en nuestras redes.

Contáctanos

Icono-contacto-ventasContactar a ventas →

whatsapp_icon   Whatsapp: +57 317 6436460

 

soporte-1Solicita ayuda aquí si eres cliente →

icono-somos-pirani Somos Pirani → 

help-center-icono Help Center→

 

BV_Cert_ISO-IEC-27001-2013

 

Copyright© 2014 - 2024, Pirani. Todos los derechos reservados.