Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Gestione dei dati personali, ecco le novità della norma ISO/IEC 27552

Cosa c’è da sapere sulla norma ISO/IEC 27552 che sarà pubblicata quest’anno e prevede controlli aggiuntivi per la ISO/IEC 27001 e la ISO/IEC 27002

10 Giu 2019

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy


Nel 2019 sarà pubblicata la norma ISO/IEC 27552, dal titolo “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”.

In questo articolo fornirò alcuni elementi per comprendere quali saranno le novità previste dalla norma.

Struttura della ISO/IEC 27552

La ISO/IEC 27552 presenta controlli aggiuntivi per la ISO/IEC 27001 e la ISO/IEC 27002, va quindi letta insieme ad esse.

Per quanto riguarda la ISO/IEC 27001, la norma prevede:

  • la sua estensione alla “sicurezza delle informazioni e privacy”, dove i dati personali sono indicati come Personal identifiable information (PII);
  • l’analisi del contesto in quanto titolare o responsabile di trattamenti;
  • l’inclusione, tra le parti interessate, degli interessati ai trattamenti dei dati personali;
  • l’inclusione, tra i controlli da considerare per la Dichiarazione di applicabilità (Statement of applicability o SOA), di quelli proposti dalla stessa ISO/IEC 27552 nelle appendici A (per i titolari) e B (per i responsabili).

Per quanto riguarda la ISO/IEC 27002, la norma prevede l’estensione dei suoi controlli nel caso in cui l’organizzazione sia titolare o responsabile dei trattamenti. Ai titolari è dedicato il capitolo 7 e ai responsabili è dedicato il capitolo 8.

Ai controlli comuni e parzialmente già nella ISO/IEC 27002 è dedicato il capitolo 6. Dove opportuno, in questo capitolo sono riportate alcune considerazioni aggiuntive ai controlli già esistenti. Tra di esse, l’aggiunta:

  • tra le politiche, di impegni a soddisfare la legislazione vigente in materia di privacy;
  • tra i ruoli e le responsabilità, di persone di riferimento per quanto attiene alla privacy (alcuni punti riprendono quelli previsti per il DPO, nelle organizzazioni dove questa figura è presente; nelle altre è possibile prevedere un unico ruolo o ruoli distinti per il controllo e per la gestione);
  • tra la classificazione, di elementi relativi alle categorie di dati personali;
  • tra la gestione degli utenti, di considerazioni in merito ai servizi cloud in cui il cliente può autonomamente gestire i propri utenti; manca una relazione tra assegnazione delle autorizzazioni e istruzione e formazione, come invece previsto dal GDPR;
  • tra le misure relative al logging, di dettagli in merito agli accessi ai dati personali, alla messa a disposizione del titolare dei log da parte del responsabile e alla protezione dei log in quanto dati personali;
  • tra le misure relative allo sviluppo, di richiami all’importanza della privacy;
  • tra la gestione degli incidenti, della gestione delle violazioni dei dati personali (data breach).

Ulteriori misure sono incluse, ma si tratta principalmente di precisazioni in merito alle misure già presenti nella ISO/IEC 27002.

Il capitolo 7 presenta controlli aggiuntivi per i titolari del trattamento. Tra di essi, come è facile immaginare, ci sono controlli relativi a:

  • identificazione delle basi legali;
  • registro dei trattamenti;
  • PIA;
  • contratti con i responsabili;
  • informative;
  • gestione dei diritti degli interessati;
  • minimizzazione e limitazione dei trattamenti;
  • conclusione dei trattamenti;
  • tempi di conservazione;
  • trasferimenti in altri Paesi o organizzazioni internazionali.

Il capitolo 8 presenta controlli aggiuntivi per i responsabili del trattamento. Tra di essi, similmente a quelli per i responsabili, ci sono controlli relativi a:

  • registro dei trattamenti;
  • accordi con i clienti;
  • contratti con i sub-responsabili;
  • gestione dei diritti degli interessati;
  • conclusione dei trattamenti;
  • trasferimenti in altri Paesi o organizzazioni internazionali.

La certificazione rispetto alla ISO/IEC 27552

La ISO/IEC 27552 non è una norma che riporta solo controlli con cui estendere quelli della ISO/IEC 27001, ma requisiti relativi al sistema di gestione.

Questo ha come conseguenza che è possibile richiedere una certificazione direttamente rispetto alla ISO/IEC 27552 (che, a sua volta, implica anche la certificazione rispetto alla ISO/IEC 27001). Questo è diverso rispetto a norme come la ISO/IEC 27017 e ISO/IEC 27018, che invece non prevedono una certificazione a loro nome (è possibile “solo” avere una certificazione rispetto alla ISO/IEC 27001 con controlli estesi). La distinzione è sottile, ma importante.

L’impostazione della ISO/IEC 27552 prevede che la certificazione venga fatta come “sistema di gestione” e pertanto rispetto alla norma ISO/IEC 17021. E’ bene ricordare che il GDPR richiede certificazioni di “servizio”, rispetto alla norma ISO/IEC 17065.

Su questo elemento, il gruppo di lavoro responsabile della ISO/IEC 27552 (il ISO/IEC JTC 1 SC 27 WG 5) ha avviato una discussione, anche considerando che non esiste una norma specifica di collegamento tra la ISO/IEC 27552 e la ISO/IEC 17021 o la ISO/IEC 17065 (come, per esempio, la ISO/IEC 27006, che collega la ISO/IEC 17021 alla ISO/IEC 27001).

Una prima ipotesi, che intendo portare come contributo alla discussione, prevede la presenza di un sistema di gestione (certificato rispetto alla ISO/IEC 17021) che stabilisca i controlli per i trattamenti da certificare rispetto alla ISO/IEC 17065 come succede per la certificazione di alcuni prodotti. I controlli per i trattamenti da certificare, essendo derivati da uno standard internazionale, li renderebbe automaticamente significativi per tale certificazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3