28/08/2019 - Equipe Target
A gestão das informações sobre privacidade
A ISO/IEC 27701:2019 - Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and Guidelines especifica os requisitos e fornece a orientação para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações sobre Privacidade (Privacy Information Management System - PIMS) na forma de uma extensão da ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de privacidade dentro do contexto da organização. Este documento especifica os requisitos relacionados ao PIMS e fornece orientação para os controladores de Personally Identifiable Information (PII) e processadores de PII que detêm responsabilidade e responsabilidade pelo processamento de PII.
Este documento é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que são controladores de PII e/ou processadores de PII dentro de um SGSI.
Conteúdo da norma
Prefácio.................................... vi
Introdução.... ........................ vii
1 Escopo.... ............................ 1
2 Referências normativas......... 1
3 Termos, definições e abreviaturas..................... 1
4 Geral..................................... ....................... 2
4.1 Estrutura deste documento............. ........... 2
4.2 Aplicação dos requisitos da ISO/IEC 27001: 2013... ........ 2
4.3 Aplicação das diretrizes ISO/IEC 27002: 2013 ................ 3
4.4 Cliente................................................ .4
5 Requisitos específicos do PIMS relacionados à ISO/IEC 27001........ 4
5.1 Geral.......................................... ...... 4
5.2 Contexto da organização............ .......... 4
5.2.1 Entendendo a organização e seu contexto............. 4
5.2.2 Entendendo as necessidades e expectativas das partes interessadas...............5
5.2.3 Determinar o escopo do sistema de gerenciamento de segurança da informação...................... 5
5.2.4 Sistema de gerenciamento de segurança da informação............................... ... 5
5.3 Liderança................................. 5
5.3.1 Liderança e compromisso............................. 5
5.3.2 Política....... ......................................... 5
5.3.3 Funções organizacionais, responsabilidades e autoridades............................ 5
5.4 Planejamento................... 6
5.4.1 Ações para endereçar riscos e oportunidades........ .... 6
5.4.2 Objetivos de segurança da informação e planejamento para alcançá-los.......... ........ 7
5.5 Suporte....................................... ..... 7
5.5.1 Recursos...... .............................. 7
5.5.2 Competência........... ......................... 7
5.5.3 Conscientização.......... ......................7
5.5.4 Comunicação................... ................ 7
5.5.5 Informação documentada..................... 7
5.6 Operação.................................................. 7
5.6.1 Planejamento e controle operacional.................. 7
5.6.2 Avaliação de risco de segurança da informação............... 7
5.6.3 Tratamento do risco de segurança da informação................................................... 7
5.7 Avaliação de desempenho.. ................ 8
5.7.1 Monitoramento, medição, análise e avaliação....................... 8
5.7.2 Auditoria interna.......... ...................... 8
5.7.3 Revisão da gestão.................................. 8
5.8 Melhoria................................................. 8
5.8.1 Não ...