ISO/IEC 27701
ISO/IEC 27701:2019 нь ISO/IEC 27001 стандартын хувийн нууцлалд зориулсан өргөтгөл юм. Зорилго нь Мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог (МАБУТ) өргөтгөж Хувийн мэдээллийн удирдлагын тогтолцооны (ХМУТ) бий болгох, хэрэгжүүлэх, хэвийн үргэлжлүүлэх, тасралтгүй сайжруулах үйл ажиллагааг багтаахад оршино. [1] Энэхүү стандарт нь Мэдээлэл хариуцагч болон мэдээлэл боловсруулагч нарт хүний хувийн мэдээллийн нууцлалыг хангах, мэдээллийн эзний эрхийг хамгаалахад тулгарч болох эрсдэлийг бууруулах, хяналтуудыг удирдахад туслана.
ISO/IEC 27701-ийн баталгаажуулалт нь ISO/IEC 27001-ийн баталгаажуулалтын өргөтгөл болно. Өөрөөр хэлбэл ISO/IEC 27701 гэрчилгээ авахаар төлөвлөж буй бол ISO/IEC 27001 гэрчилгээтэй байх шаардлагатай.
Стандартын зорилтот хэрэглээ
[засварлах | кодоор засварлах]ISO/IEC 27701 стандартын зорилго нь байгууллагын МАБУТ-г хувийн нууцлалын хяналтуудаар сайжруулж, улмаар байгууллагад хувийн нууцлалын үр дүнтэй удирдлагын тогтолцоог бий болгож, ХМУТ-г үүсгэх явдал юм.
Сайн хэрэгжүүлсэн ХМУТ нь мэдээлэл хариуцагч болон мэдээлэл боловсруулагчдад олон давуу тал авчирна. Тухайлбал:
Хууль тогтоомж, дүрэм журам, гэрээ, хэлцэл, түүнчлэн компанийн нууцлалын бодлого зэрэгт заасан хувийн мэдээлэл хамгаалах шаардлагууд нь мэдээлэл хариуцагч болон мэдээлэл боловсруулагч нарт тодорхой бус, ойлгомжгүй байдаг нь нийцлийг хангахад хүндрэлтэй.
Харин ХМУТ-ыг нэвтрүүлсэнээр дээрх бүх шаардлагад нийцэх, хянах зэрэг нэмэлт ажлуудыг системтэй, үр дүнтэй хэрэгжүүлэх боломжтой болно. Жишээ нь тус стандартын Хавсралт С-д дурдсан нэг нууцлалын хяналт нь Өгөгдөл Хамгаалах Ерөнхий Журмын (GDPR) олон шаардлагыг хангана. [2]
Холбогдох шаардлагуудад нийцэх, даган мөрдөхөд байгууллагуудад засаглалын болон хяналтын асуудал тулгарна. ХМУТ хэрэгжүүлсэн байгууллагад Өгөгдлийн Хамгаалах ажилтнууд дээд удирдлага, эрх баригчид болон бусад сонирхогч талуудад нууцлалын холбогдох шаардлагыг хангасан гэдгээ баталгаажуулж, шаардлагатай нотлох баримтыг гаргаж чадна.
Мөн ХМУТ нь хэрэглэгч болон харилцагч байгууллагуудад холбогдох нууцлалын нийцлийг хангасан гэдгийг илтгэх үнэ цэнэтэй зүйл юм. Мэдээлэл хариуцагч нь Мэдээлэл боловсруулагчаас хувийн нууцлалын шаардлагыг дагаж мөрддөг гэсэн нотолгоог шаардах эрхтэй. Олон улсын стандартад үндэслэсэн, ялангуяа итгэмжлэгдсэн гуравдагч талын аудитор нотлох баримтыг баталгаажуулсан бол дээрх нотолгооны хүчинтэй байдлыг илтгэх ил тод бөгөөд найдвартай баталгаа болдог. [3] Нийцлийн мэдээлэл ил тод байх нь бизнесүүд нэгдэх, худалдан авах, хамтран мэдээлэл боловсруулах зэрэг үйл ажиллагаанд чухал ач холбогдолтой.
Эцэст нь хэлэхэд, ХМУТ буюу ISO/IEC 27701 стандартыг нэвтрүүлж, гэрчилгээжих нь тухайн байгууллагын олон нийтийн итгэлийг татах гол хүчин зүйл билээ.
Норматив ишлэл
[засварлах | кодоор засварлах]ISO/IEC 27701 стандартад дараахь баримт бичгүүдийг иш татсан болно.
- ISO/IEC 27001
- ISO/IEC 27002:2017-06
Стандартын бүтэц
[засварлах | кодоор засварлах]Стандартын шаардлагыг дараах дөрвөн бүлэгт хуваана.
- ISO/IEC 27001-тэй холбоотой ХМУТ-ны шаардлагыг 5-р зүйлд;
- ISO/IEC 27002- тай холбоотой ХМУТ-ны шаардлагыг 6-р зүйлд;
- Мэдээлэл хариуцагчдад зориулсан ХМУТ-ны удирдамжийг 7-р зүйлд;
- Мэдээлэл боловсруулагчдад зориулсан ХМУТ-ны удирдамжийг 8-р зүйлд тус тус тусгасан.
Стандартад дараах хавсралтууд багтсан болно: [4]
- Хавсралт А: ХМУТ-нд зориулсан лавлагааны хяналтын зорилтууд ба хяналтууд (Мэдээлэл хариуцагчид зориулсан);
- Хавсралт B: ХМУТ-нд зориулсан лавлагааны хяналтын зорилтууд ба хяналтууд (Мэдээлэл боловсруулагчид зориулсан);
- Хавсралт С: ISO/IEC 29100 стандартын уялдаа;
- Хавсралт D: Өгөгдөл хамгаалах ерөнхий журмын (GDPR) уялдаа;
- Хавсралт E: ISO/IEC 27018 болон ISO/IEC 29151 стандартын уялдаа;
- Хавсралт F: ISO/IEC 27701-ийг ISO/IEC 27001 ба ISO/IEC 27002-д хэрхэн тохируулах талаар.
Стандартын түүх
[засварлах | кодоор засварлах]JTC 1/SC 27- д ажлын шинэ зүйлийг JTC 1/SC 27/WG 5 "Identity management and нууцлалын технологи"-оос 2016 оны 4-р сард Францын үндэсний байгууллагын JTC 1/SC 27-ийн мэргэжилтнүүдийн санаачилгад үндэслэн санал болгосон.
Дараа нь төслийг JTC 1/SC 27/WG 5-д ISO/IEC 27552 дугаарын дагуу боловсруулсан.
Британийн Стандартын Институт (BSI) 2018 оны 2-р сард өөрийн вэбээр ISO/IEC 27552 стандартын анхны CD-г олон нийтэд нээлттэй болгосон.
ISO/IEC 27552 стандартын хоёр дахь CD 2018 оны 8-р сард хэвлэгдсэн.
ISO/IEC 27552 стандартын DIS нь 2019 оны 1-р сард гарсан бөгөөд 2019 оны 3-р сард батлагдсан. Техникийн өөрчлөлт хийх шаардлагагүй байсан тул FDIS саналын хуудсыг алгассан.
ISO/IEC JTC 1/SC 27 нь ISO/IEC 27552 стандартын техникийн ажлыг 2019 оны 4-р сард хийж дуусгасан.
Нийтлэхээс өмнө ISO/IEC 27552-ыг ISO/IEC 27701 болгон өөрчилсөн бөгөөд ISO/Техникийн удирдлагын зөвлөлийн 39/2019 тоот тогтоолоор аливаа Удирдлагын тогтолцоо "А төрлийн" (шаардлага агуулсан) нь "-ээр төгссөн дугаартай байх ёстой" гэж заасан. 01"-ийг сүүлийн хоёр оронтой тоогоор илэрхийлнэ. Дугаар солих ажлыг 2019 оны долдугаар сард эцэслэн шийдвэрлэсэн.
Стандартыг 2019 оны 8-р сарын 6-нд албан ёсоор нийтэлсэн.
Бусад холбоотой мэдээлэл
[засварлах | кодоор засварлах]Эх сурвалжууд
[засварлах | кодоор засварлах]- ↑ https://www.iso.org/standard/71670.html ISO/IEC 27701:2019 [ISO/IEC 27701:2019]
- ↑ "Privacy matters: Managing personal information with ISO/IEC 27552" (PDF). 2018.
- ↑ Katko, Peter (June 13, 2019). "How GDPR compliance demands have shifted the focus to certification". Archived from the original on Хоёрдугаар сар 3, 2022. Татаж авсан: Хоёрдугаар сар 3, 2022.
- ↑ https://www.iso.org/obp/ui/#iso:std:iso-iec:27701:ed-1:v1:en ISO/IEC 27701:2019 [ISO/IEC 27701:2019] Table of contents