בעידן הדיגיטלי של ימינו, הגנה על נתונים אישיים נמצאת בחשיבות עליונה (גם אם עדיין אינה תמיד קיימת…).
המידע עלינו שווה המון כסף.
ככל שקיים יותר מידע פרטי אשר אנו חושפים בין אם במתכוון ובין אם כי אין לנו הרבה ברירות אחרות, מתגלות יותר פרצות שדרכן נתונים עלולים לזלוג. הפרטיות הפכה להיות משהו מאוד “שביר” וכפועל יוצא מכך, גם אם באיחור, ארגונים ברחבי העולם נמצאים תחת לחץ הולך וגובר להוכיח את מחויבותם לשמירה על פרטיות המידע של הלקוחות, המטופלים, הפציינטים וצרכני השירותים השונים.
תקן ה-ISO 27701 מסמיך ארגונים וחברות בתחום אבטחת המידע ובדגש על פרטיות המידע. תקן זה מסמיך ומדריך חברות וארגונים על ניתוח, ניהול ובקרה על סיכוני פרטיות ומהווה אסמכתא המעידה על עמידת הארגון בתקנות הפרטיות הבינלאומיות.
מדריך זה נועד לספק סקירה מקיפה של הסמכת ISO 27701 תוך התמקדות מה התקן הזה מייצג, מהן הדרישות העיקריות בו, כיצד מתבצע תהליך היישום שלו ומהם היתרונות לארגון אשר בוחר להיות מוסמך אליו.
מה זו הסמכת ISO 27701?
ISO 27701 הוא למעשה הרחבה של התקן המאוד נפוץ ISO/IEC 27001 שעוסק בהקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול אבטחת מידע (ISMS- Information Security Management System) .
בעוד שתקן ISO 27001 מתמקד בעיקר באבטחת מידע, תקן ה- ISO 27701 מכיל דרישות ספציפיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול מידע בנושא פרטיות וחסיון מידע (PIMS- Privacy Information Management System).
תקן ה- ISO 27701 מקביל בדרישותיו לדרישות רגולציית ה- GDPR האירופאיות ועמידה בתקן זה מאפשרת לארגון להוכיח עבודה בהתאם לדרישות הרגולציה של ה- GDPR.
להסמכת ISO 27701 יש חשיבות לארגונים המבקשים לשפר את ניהול הפרטיות שלהם והוא מהווה אסמכתא פורמלית למחויבות הארגון להגנה על נתונים אישיים, ובכך למעשה מגביר את אמון הלקוחות ומאפשר להם להיות בטוחים שהמידע שלהם נמצא בידיים טובות.
יתרה מכך, הסמכת ISO 27701 משמשת כהוכחה לעמידה בתקנות פרטיות שונות, כגון תקנת הגנת המידע הכללית (GDPR) , חוק פרטיות הצרכן של קליפורניה (CCPA) וכמובן לחוק הגנת הפרטיות בישראל.
הדרישות העיקריות של ISO 27701
ISO 27701 מכיל סט של דרישות להטמעת מערכת ניהול מידע פרטיות (PIMS) בתוך ארגון.
להלן דוגמאות לדרישות הנכללות בהסמכה לתקן ISO 27701:
דרישה בתקן | דוגמאות |
מדיניות פרטיות ויעדים | · קביעה של מדיניות הפרטיות בחברה
· הצבת ויעדים המשקפים את מחויבות הארגון להגנת הפרטיות · בדיקה תקופתית של השגת היעדים · שיפור מתמיד במדדי אבטחת מידע ופרטיות בארגון |
דרישות משפטיות ורגולטוריות | · זיהוי הדרישות הרגולטוריות רלוונטיות לארגון, לפי התחום והטריטוריה בו הוא פועל
· הבטחת עמידה בחוקי הפרטיות הרלוונטיים, בתקנות ובחובות החוזיות · הצגת הסמכות ואסמכתאות המעידות על עמידה בתקנים, החוקים והרגולציה · סקירה תקופתית של שינויים ברגולציה ופעולה בהתאם |
ניהול סיכוני פרטיות | · הערכות השפעה על הפרטיות
· יישום אמצעים להפחתת סיכוני פרצות מידע הקשור בחסיון מידע אישי ופרטיות |
זכויות נושא הנתונים (הלקוח/המטופל/הפציינט) | · קביעת תהליכים ונהלים לטיפול בבקשות לקוח בנושאי פרטיות נתונים, מידע וזכויות
· לאפשר גישה פשוטה לפניה של הלקוח/המטופל/הפציינט לארגון · לאפשר ללקוח/למטופל/לפציינט גישה לתיקון ומחיקה מיידיים של נתונים אישיים |
אבטחת מידע ופרטיות עוד משלבי הפיתוח | · שילוב דרישות אבטחת מידע בשירותים ומוצרים עוד בשלבי התכנון הראשוניים
· שילוב דרישות ושיקולי פרטיות בשלבי התכנון הראשוניים של השירות או המוצר · בדיקה וולידציה לביצועי מערכות אבטחת המידע והפרטיות בשירות ו/או במוצר |
ניהול ספקים | · בחירה ועבודה עם ספקים איכותיים בלבד, שעברו תהליך הסמכה על ידי הארגון
· הערכה וניהול סיכוני הקשורים לספקים/קבלני משנה, שותפים עסקיים ונותני שרותים · בדיקת ביצועים תקופתית של ספקים/קבלני משנה ונותני שרותים |
תגובה לאירועים והתראה על הפרות | · כתיבה ו יישום נהלים לתגובה לאירועי פריצה, זליגת מידע ופגיעה בחסיון מידע
· טיפול מיידי בהפרות ואירועים חריגים תוך ניסיון למזעור נזקים · חקירת אירועים חריגים ויישום פעילויות מתקנות ומונעות · הודעה לבעלי עניין רלוונטיים בזמן · שיפור מתמיד על ציר הזמן |
תהליך ההטמעה של ISO 27701
היישום של תקן ISO 27701 אינו מסתכם בכתיבת מסמכי מדיניות ונהלים.
היישום כולל מספר שלבים מרכזיים, וביניהם:
שלב ליישום | דוגמאות |
ניתוח פערים | · השלמת ניתוח פערים בין מערכת אבטחת המידע הקיימות בארגון לבין דרישות החוק
· כתיבה נהלי הגנה על חסיון ופרטיות חסרים · עדכון מסמכי המדיניות, נהלי אבטחת המידע והפרטיות הנוכחיים · מסמכים מבוקרים, טפסים ותוכנות התומכות ביישום דרישות התקן והתיעוד הנדרש |
הדרכה ומודעות | · בניית תכנית הדרכות והסמכות יעודית לתחומי אבטחת המידע והפרטיות בארגון
· הדרכה והסמכת העובדים · הדרכות אבטחה וחסיון מידע לעובדים חדשים · הדרכות רענון תקופתיות בנושאי אבטחה וחסיון מידע לעובדים ותיקים · בדיקת אפקטיביות ההדרכה להוכחת הבנה ועמידה במדיניות ונהלי הפרטיות |
יישום בקרות |
· איתור סיכונים ונקודות קריטיות לנושאי אבטחת מידע ופרטיות · סקר סיכוני אבטחת מידע ופרטיות · סקר פערי אבטחת מידע ופרטיות · עמידה בדרישות תקן ISO 27701 · יישום בקרות ואמצעים לטיפול בסיכוני חסיון מידע ופרטיות בנקודות קריטיות |
ביקורת פנימית | · ביצוע ביקורות פנימיות בארגון בנושאי אבטחת מידע ופרטיות
· בדיקת אפקטיביות הבקרות לאחר ישום על ציר הזמן · בדיקות חדירות ופישינג תקופתיות · סימולציות למצבי פגיעה בפרטיות על ידי ה- CISO של הארגון · זיהוי תחומים לתיקון ושיפור · מעקב אחר ישום פעולות מתקנות ומונעות |
ביקורת הסמכה ל- ISO 27701 | · ביצוע ביקורת מכינה לפני ביקורת התעדה חיצונית ל- ISO 27701
· הדרכות עובדים · הזמנת גוף התעדה מוסמך לביצוע ביקורת רשמית לדרישות תקן ISO 27701 · קבלת תעודה לעמידה בדרישות תקן ISO 27701 · חידוש תקופתי של ההסמכה |
יתרונות הסמכה לתקן ISO 27701
הסמכת ISO 27701 מציעה לחברות וארגונים יתרונות רבים, לדוגמא:
יתרון | דוגמאות |
אמון ואמינות משופרים | · הפגנת מחויבות הארגון להגנה על הפרטיות של הלקוח/המטופל/הצרכן.
· שיפור האמון והאמינות מצד לקוחות, שותפים עסקיים ובעלי עניין · מוצרים ושירותים נוספים אשר יעמדו בסטנדרטים גבוהים של פרטיות וחסיון מידע |
ציות לדרישות החוק והרגולציה | · השגת הסמכת ISO 27701 מסייעת לארגונים לעמוד בתקנות הפרטיות השונות
· הפחתת הסיכון לקנסות וסנקציות על אי ציות לדרישות ולחוקים · שמירה על מוניטין החברה וביצועיה העסקיים |
יתרון תחרותי | · בידול תחרותי מול לקוחות בהשוואה לחברות אשר אינן בעלות הסמכה
· אטרקטיביות בפני שותפים עסקיים פוטנציאליים · מיתוג משופר ומתן יתרון שיווקי ובידול |
ניהול סיכונים משופר | · מאפשרת לארגונים לזהות, להעריך ולצמצם סיכונים לפני שמתרחש נזק
· הפחתת ההסתברות להתרחשות אירועי הפרת פרטיות, זליגת נתונים ופגיעה בחסיון · כלי המשמש לאתר את הנקודות הקריטיות ולהחיל בהן את הבקרות הנדרשות |
חיסכון בעלויות | · מניעת פגיעה בביצועיה העסקיים של החברה
· מניעת פגיעה במוניטין של החברה ושיפורו · הפחתת הסיכון להטלת קנסות ועיצומים · המנעות מאיסור על מכירת מוצרים ושירותים בשווקים מסויימים · המנעות מהצורך לשלם כופר עבור החזרת נתונים אישיים ורפואיים שזלגו החוצה |
פריצה לשווקים בינלאומיים | · הסמכה ל- ISO 27701 היא הסמכה בינלאומית
· מדינות דורשות תקני ISO 27001 ו- ISO 27701 כתנאי סף לפעילות עסקית · מכרזים דורשים תקני ISO 27001 ו- ISO 27701 כתנאי סף להגשת הצעות · פעילות עסקית עם חברות רב-לאומיות, רשתות בתי חולים וקליניקות בעולם |
אישור GDPR ו-ISO 27701
תקנת הגנת המידע האירופאית (GDPR) נחשבת כאחת מתקנות הפרטיות המשפיעות ביותר בעולם, לצד זו של ה- HIPAA בארה”ב ומציבה סטנדרט גבוה להגנה על נתונים אישיים.
הסמכת ISO 27701 עולה בקנה אחד עם דרישות ה-GDPR ומספקת לארגונים אפשרות להוכיח תאימות לדרישות ה- GDPR ולתחזק אותה על ציר הזמן.
על ידי יישום ISO 27701, ארגונים יכולים לטפל בעקרונות מפתח של GDPR כגון שקיפות, אחריות וזכויות נושאי נתונים. לדוגמה, הדגש של ISO 27701 על פרטיות עוד בשלבי הפיתוח של המוצר או השירות, תואם היטב את הדרישה של GDPR להגנת נתונים ושילובה במערכות ובתהליכים עוד בשלבים ההתחלתיים.
בנוסף, המסגרת של תקן ISO 27701 לביצוע, מכסה היטב את דרישות ה- GDPR להערכה ולהפחתת סיכוני פרטיות הקשורים בניתוח ועיבוד נתונים.
השגת הסמכת ISO 27701 משמשת כלי רב עוצמה להגנה על נתונים בכלל ועל חסיון מידע ופרטיות בפרט.
הסמכת ISO 27701 בתחומי ה- AI והבינה המלאכותית
ככל שהבינה המלאכותית (AI) ממשיכה לקחת חלק בלתי נפרד מהפעילות העסקית של ארגונים, כך גוברים החששות ובצדק רב.
בעיות פרטיות והגנה על נתונים ביישומי AI הפכו לבולטות יותר ויותר בשנים האחרונות.
אמנם אין עדיין רגולציה גלובלית המותאמת במיוחד ל-AI, אך מספר תקנות קיימות כוללות דרישות רגולטוריות לעיבוד נתונים לטובת מוצרי ושירותים המבוססים בינה מלאכותית.
הסמכת ISO 27701 משמשת כנכס עבור ארגונים המבקשים לפעול בצד המפוקח והמבוקר יותר של תחום הבינה המלאכותית ולקחת חלק בעולם העסקי העתידי המושתת על טכנולוגיית פורצת דרך זו.
ה-GDPR כולל הוראות החלות על השימוש במערכות בינה מלאכותית.
לדוגמא הוראות ה- GDPR שקשורות ל- AI העוסקות ב:
- שקיפות נתונים
- פרטיות וחסון מידע
- הגנה על נתונים
- הגדרה והגנה על מקור הנתונים
- הוגנות בשימוש בנתונים
- ניהול סיכונים
- אחריות בתהליכי קבלת החלטות אוטומטיים
באופן דומה, תקנות כמו חוק פרטיות הצרכן של קליפורניה (CCPA) וחוק הגנת מידע אישי ומסמכים אלקטרוניים (PIPEDA) בקנדה מטילות דרישות לגבי איסוף, שימוש וחשיפה של נתונים אישיים, הרלוונטיים ליישומי בינה מלאכותית.
על ידי קבלת הסמכת ISO 27701, ארגונים יכולים להוכיח את מחויבותם לניהול סיכוני פרטיות הקשורים לטכנולוגיות AI בצורה יעילה.
ההתמקדות של תקן ISO 27701 בשקיפות, ניהול סיכונים ואחריות עולה בקנה אחד עם העקרונות העומדים בבסיס טכנולוגיית הבינה המלאכותית, על הסיכונים שבה ומסייעת לארגונים לטפל בבעיות הפרטיות בפיתוח ושימוש בכלי בינה מלאכותית.
לסיכום,
הסמכת ISO 27701 מציעה לחברות וארגונים מתחומים שונים, הזדמנות ליצירת מסגרת מקיפה לניהול סיכוני פרטיות והוכחת עמידה בתקנות הפרטיות הבינלאומיות.
על ידי התאמה ל-ISO 27701, ארגונים יכולים לשפר את האמון והאמינות, להשיג עמידה בדרישות הרגולציה והחוק, להשיג יתרון תחרותי, לשפר את ניהול הסיכונים, לחסוך בעלויות ולייצר סביבה עסקית משופרת.
עם החשש הגובר לפרטיות, הסמכת ISO 27701 מהווה כלי רב עוצמה לשמירה על נתונים אישיים ובניית תרבות ארגונית המכבדת ומוקירה אבטחת מידע, חסיון מידע ופרטיות וכמובן הצלחה עסקית.