ProMoveSegurança da InformaçãoO que é ISO 27701?

Com o surgimento e necessidade de adequação à nova Lei Geral de Proteção de Dados (LGPD), a procura por informações, normas, guias e frameworks de segurança da informação está cada vez maior. O prazo para adequação das empresas à LGPD está ficando cada vez mais apertado e o medo de receber multas paira sobre a cabeça de muitos empresários. Na busca por informações sobre adequação à LGPD, muitas empresas estão descobrindo a ISO 27701 e a ISO 27001. Mas será que se adequar à essas normas é suficiente para atender as necessidades da LGPD? O que é ISO 27701 e sobre o que ela trata? Vamos explicar isso tudo durante esse artigo!

ISO 27001 x ISO 27701

É importante inicialmente já deixar clara a diferença entre as normas ISO 27001 e ISO 27701.  

A norma ISO 27001 – Sistema de Gestão de Segurança da Informação – é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 – Sistema de Gestão de Segurança Privada – é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.

Dito isso, é fundamental ressaltar que é necessário implementar a ISO 27001 para que possa ser possível estender seu escopo e atender também a ISO 27701. Claro que é possível (e recomendável) implementar ambas em paralelo, porém não é possível implementar somente a ISO 27701 sem implementar a ISO 27001, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001.

Termos importantes

Alguns termos da ISO 27701 possuem um mapeamento direto com termos da LGPD, o que mostra a íntima relação entre a lei e a norma de extensão. São eles: 

  • PII – Personally Identifiable Information – (LGPD: Dado Pessoal): Dados que possam permitir a identificação do Titular dos Dados. 
  • PII Controller (LGPD: Controlador de Dados): é a parte interessada que determina os objetivos e meios pelos quais os dados pessoais serão tratados;
  • PII Processor (LGPD: Processador de Dados): é a parte interessada que trata/processa os dados pessoais para o Controlador de Dados, seguindo suas instruções;
  • PII Principal (LGPD:  Titular dos Dados): pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Quem deve implementar a ISO 27701?

Toda organização, de qualquer tamanho e natureza (pública ou privada),  que é responsável por processamento de dados pessoais (PII Processor) ou por controlar e fazer uso de dados pessoais (PII Controller), terão benefícios na adoção das melhores práticas definidas na ISO 27701. A gestão com base em riscos de segurança e privacidade busca ajudar as organizações a evitar possíveis vazamentos de dados, acessos indevidos e demais incidentes que podem acarretar em sérios problemas para a empresa.

O que é ISO 27701?

A norma ISO 27701 foi publicada no dia 05 de agosto de 2019 com o objetivo de ser uma adequação lógica para a LGPD e a GDPR. Ela veio como uma norma de extensão da ISO 27001 para tratar essa lacuna na ISO 27001, e pode ser adquirida no link acima por aproximadamente U$190,00.

Conforme comentado anteriormente, a ISO 27701 estende a norma ISO 27001 para incluir também os controles referente à privacidade dos dados. Isso significa que, além dos controles previstos pelo Sistema de Gestão de Segurança da Informação (SGSI), como a garantia da integridade, confidencialidade e disponibilidade dos dados, para atender a norma ISO 27701, esse sistema de gestão deve ser expandido para um “Privacy Information Management System” (PIMS), que é um sistema de gestão preocupado também com a gestão da privacidade dos dados pessoais. Esse sistema de gestão busca ajudar as empresas a gerenciar os riscos de privacidade relacionados aos dados pessoais, seja ela na relação com o controlador ou com o processador dos dados.

Segurança da Informação WebinarsPowered by Rock Convert

É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa NÃO pode dizer que está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados. A LGPD não é, até o momento, oficialmente certificável, visto que ela ainda não está vigente e mecanismos de certificação ainda estão sendo discutidos.

Quais as principais vantagens da ISO 27701?

Os principais benefícios obtidos ao estabelecer um PIMS aderente à ISO 27701 são:

  • Mostra para seus clientes, fornecedores e funcionários que a empresa tem a preocupação com os dados e informações deles, gerando aumento da confiança;
  • Atende as principais exigências da LGPD e GDPR;
  • Deixa claro para todos os envolvidos quais são os papéis e responsabilidades de cada um;
  • Aumenta a competência e a consciência dos colaboradores em relação a segurança e privacidade dos dados;
  • Melhora os processos internos, diminuindo os riscos de vazamentos de dados;
  • Traz transparência nos controles estabelecidos para gestão da privacidade. Todos sabem como os dados são tratados e o que está sendo feito com eles;
  • Facilita acordos com parceiros de negócio, através do aumento da segurança e confiança;
  • Integra facilmente com o Sistema de Gestão da Segurança da Informação que é exigido pela ISO 27001.

Implementando a norma

Para implementar a ISO 27701, é necessário que a ISO 27001 seja implementada também. Para isso, é aceitável que a empresa já tenha certificado ou esteja em processo de certificação da ISO 27001. 

Também é normal que a empresa não tenha a ISO 27001. Nesse caso, é importante ressaltar que ela terá que fazer a implementação da ISO 27001 e da ISO 27701 em conjunto. Essa estratégia é recomendável e faz com que a implementação seja feita com menos esforço e dificuldades. 

Como se preparar e certificar ISO 27701

Se interessou? Quer começar a preparação e certificar sua empresa na ISO 27701 para atender às práticas pedidas pela LGPD? Então siga os passos abaixo!

  • Se você ainda não tem a ISO 27001, solicite um diagnóstico especializado em ISO 27001 e ISO 27701 para identificar o nível de prontidão da sua empresa em relação às exigências das normas. Caso sua empresa já tenha a ISO 27001, um diagnóstico específico da ISO 27701 é o recomendável;
  • Busque treinamentos relacionados às normas ISO 27001 e 27701 e capacite sua equipe;
  • Considere contratar uma consultoria especializada no assunto para coordenar os esforços e orientar na implementação das práticas exigidas pelas normas ou construa uma iniciativa interna para atuar na adequação das pessoas, processos e ferramentas às normas desejadas;
  • Depois desse projeto de adequação dos processos internos, contrate uma instituição avaliadora para certificar sua empresa na norma desejada! Lembre-se que é possível fazer a ISO 27001 e sua extensão ISO 27701 durante a mesma auditoria.

A ProMove possui anos de experiência em implementação e adequação de processos utilizando as normas ISO como base. Também possuímos profissionais certificados em segurança da informação e proteção de dados que podem ajudar sua empresa a ficar aderente às normas de segurança com o menor impacto possível!

Saiba como estão os controles no sistema de gestão da sua empresa, de acordo com a ISO 27701. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente!

Diagnóstico adequação ISO 27701

Ficou interessado? Quer mais detalhes sobre esta nova norma? Entre em contato conosco para entendermos melhor suas necessidades!

About the author

Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (2013-2015). Graduado em Ciência da Computação pela Universidade Federal do Rio de Janeiro (2012). Atua desde 2011 em projetos de consultoria em melhoria de processos de gestão e engenharia de software. É implementador certificado do modelo MPS para Software e Serviços e avaliador adjunto do MPS para Software.