PN-EN ISO/IEC 27701:2021 System Zarządzania Informacjami o Ochronie Prywatności

Certyfikat ISO/IEC 27701 (Privacy Information Management System – PIMS)

Zadbaj o prywatność danych – zyskaj przewagę rynkową.
Certyfikat ISO/IEC 27701 to potwierdzenie, że Twoja organizacja skutecznie chroni dane osobowe i dba o prywatność swoich klientów, partnerów oraz pracowników. Uzyskanie certyfikacji zwiększa zaufanie interesariuszy i stanowi wyraźny sygnał, że Twoje procesy są zgodne z najlepszymi praktykami w zakresie ochrony danych.

Certyfikacja zgodna z ISO/IEC 27701 może być kolejnym krokiem na drodze do pełnej zgodności z RODO (GDPR), a jednocześnie realnym wsparciem w zarządzaniu ryzykiem związanym z przetwarzaniem danych osobowych.

Co to jest ISO/IEC 27701?

ISO/IEC 27701 (PN-EN ISO/IEC 27701:2021) to międzynarodowy standard rozszerzający system zarządzania bezpieczeństwem informacji ISO/IEC 27001 o wymagania dotyczące ochrony prywatności. Norma ta wprowadza dodatkowe kontrole i wytyczne (w oparciu także o ISO/IEC 27002), które wspierają organizacje w spełnianiu wymagań regulacyjnych dotyczących danych osobowych.

Podstawą normy z rodziny ISO 27 jest analiza ryzyka, pozwalająca każdej organizacji – niezależnie od branży i wielkości – dostosować rozwiązania do własnych potrzeb. Certyfikacja ISO/IEC 27701 w połączeniu z ISO/IEC 27001 pomaga uporządkować procesy, zwiększyć ochronę prywatności  i tym samym wiarygodność organizacji.

Certyfikacja ISO/IEC 27701 – jakie działania obejmuje?

Certyfikacja ISO/IEC 27701 to proces potwierdzający, że system zarządzania informacjami dotyczącymi prywatności w Twojej organizacji działa skutecznie i zgodnie z wymaganiami normy. Aby przystąpić do certyfikacji, organizacja powinna wcześniej:

• wdrożyć System Zarządzania Bezpieczeństwem Informacji (SZBI) zgodny z ISO/IEC 27001 oraz rozszerzenie w postaci ISO/IEC 27701,
• przeprowadzić analizę ryzyka w obszarze ochrony danych osobowych,
• zrealizować audyt wewnętrzny,
• przeprowadzić przegląd zarządzania.

Masz już wdrożony SZBI z wymaganiami dotyczącymi ochrony prywatności, ale nie masz pewności, czy wszystko funkcjonuje zgodnie z normami ISO/IEC 27001 i ISO/IEC 27701?

Jeśli zastanawiasz się, czy Twoja organizacja jest gotowa na właściwy audyt certyfikacyjny – skorzystaj z audytu wstępnego. To opcjonalna, ale bardzo pomocna forma przygotowania, która pozwoli Ci:

• ocenić stan wdrożenia systemu,
• zidentyfikować potencjalne niezgodności,
• uniknąć niespodzianek podczas audytu właściwego.

W ramach audytu wstępnego oferujemy spotkanie informacyjne, analizę dokumentacji oraz wskazanie obszarów wymagających poprawy. To realna szansa na zwiększenie efektywności wdrożenia i sukcesu w procesie certyfikacyjnym.

Masz pytania? Skontaktuj się z nami – chętnie pomożemy!

Jesteś gotowy, aby przystąpić do procesu certyfikacji? Poniżej przedstawiamy główne etapy, które prowadzą do uzyskania certyfikatu ISO/IEC 27701.

Certyfikacja ISO/IEC 27701 może zostać przeprowadzona wraz z audytem certyfikacyjnym ISO/IEC 27001 jako systemy zintegrowane lub po pomyślnym zakończeniu audytu certyfikacyjnego na zgodność z ISO/IEC 27001 – rozszerzenie certyfikacji.

1. Audyt certyfikujący – składający się z  2 etapów: 

ETAP I – celem tego etapu jest potwierdzenie gotowości organizacji do przeprowadzenia audytu certyfikacyjnego na etapie drugim. 

• Analiza samooceny klienta – przekażemy Ci formularz samooceny, który należy uzupełnić.
• Audytor oceni formularz oraz przekazaną dokumentację (za pośrednictwem serwera FTP do transferu plików).
• Przewidujemy także audyt na miejscu (w formie zdalnej lub stacjonarnej).

ETAP II

• Przegląd wdrożonego systemu zarządzania – weryfikacja, czy organizacja działa zgodnie z wymaganiami normy.
• Audyt na miejscu (stacjonarny lub zdalny) – analiza procesów, dokumentacji oraz sposobu funkcjonowania organizacji.
• Wywiady z pracownikami – rozmowy z kluczowym personelem w celu potwierdzenia znajomości i stosowania procedur.
• Ocena zgodności i skuteczności działań – sprawdzenie, czy organizacja realizuje wymagania normy w praktyce.
• Identyfikacja niezgodności i obszarów do doskonalenia.
• Podsumowanie wyników audytu – przedstawienie wniosków, wstępnego raportu i omówienie dalszych kroków.

2. Raport i rekomendacja
Sporządzenie raportu z audytu, jego weryfikacja oraz rekomendacja do wydania certyfikatu.

3. Decyzja i wydanie certyfikatu
Po pozytywnej decyzji jednostki – otrzymujesz certyfikat ISO/IEC 27701 ważny przez 3 lata pod warunkiem corocznych audytów nadzoru.

4. Pierwszy audyt nadzoru
Musi odbyć się do 12 miesięcy od daty podjęcia decyzji certyfikacyjnej.

5. Drugi audyt nadzoru
Powinien zostać przeprowadzony do 24 miesięcy od decyzji certyfikacyjnej, przy czym należy zachować zasadę, że audyt nadzoru odbywa się co najmniej raz w roku.

6.Recertyfikacja
Po trzech latach – złożenie wniosku o ponowną certyfikację i rozpoczęcie procesu certyfikacji z jednoetapowym audytem w pierwszym roku.

Przygotowanie do certyfikacji ISO 27701

Krok pierwszy: zastosowanie wymagań normy, czyli wdrożenie systemu zarządzania bezpieczeństwem informacji oraz systemu zarządzania informacjami o ochronie prywatności.

Krok drugi: kontakt z jednostką certyfikującą systemy zarządzania na zgodność z normą ISO/IEC 27001 oraz ISO/IEC 27701. Pamiętaj, że jednostka certyfikująca musi uzyskać więcej informacji o Twojej organizacji, dlatego na tym etapie poprosimy Cię o wypełnienie wniosku o certyfikację wraz z załącznikiem. W przypadku jakichkolwiek pytań nie wahaj się i skontaktuj się z nami, a postaramy się na nie odpowiedzieć.

Kiedy wypełniony wniosek trafia do nas, przystępujemy do trzeciego kroku, czyli analizy. Robimy to, aby mieć pewność, że mamy zdolność i kompetencje do przeprowadzenia audytu w Twojej firmie, a także określamy liczbę dni audytowych potrzebnych na proces certyfikacji systemu zarządzania bezpieczeństwem informacji oraz systemu zarządzania informacjami o ochronie prywatności. Zwieńczeniem tego etapu jest przygotowanie oferty w formie elektronicznej.

Jeśli zdecydujesz się na współpracę z nami, to kolejny etap obejmuje podpisanie umowy i ustalenie dogodnego terminu audytu certyfikującego systemu zarządzania bezpieczeństwem informacji. Tak zaczyna się proces certyfikacji ISO/IEC 27001 z rozszerzeniem ISO/IEC 27701!

Certyfikat ISO/IEC 27701 – cena

Koszt procesu certyfikacji ISO/IEC 27701 zależy od wielu czynników (takich jak liczba pracowników czy lokalizacji) i wylicza się go na podstawie regulacji dotyczące obszaru 27001, które obowiązują jednostki certyfikujące. Najprostszym sposobem oszacowania kosztów jest wypełnienie wniosku o certyfikację i otrzymanie od nas oferty, która do niczego nie zobowiązuje.

Zapraszamy do dołączenia do grona naszych klientów!