استاندارد ISO27001 بهترین نقطه برای کسب نیازهای تکنیکی و عملیاتی مورد نیاز برای پیاده‌سازی نیازهای قانون GDPR  به منظور جلوگیری از انتشار غیر مجاز داده‌های شخصی و حریم خصوصی کاربران در فضای مجازی می باشد.

در حقیقت، اگر سازمان و یا موسسه‌ای استاندارد ISO27001 را پیاده سازی کرده باشد، نیمی از راه را برای تحقق اهداف مربوط به قانون GDPR برای به‌حداقل رساندن ریسک نشر غیر مجاز اطلاعات و حفظ حریم خصوصی کاربران طی کرده است.

GDPR تاکید دارد که هر سازمان و موسسه‌ای موظف است که از آیین‌نامه‌ها، رویه‌ها و روندهای مناسبی برای حفاظت از داده‌ها و اطلاعات کاربران خود استفاده کند.

بند 32 از قانون GDPR به طور مشخص اعلام می‌کند که هر سازمان باید:

•        ابزارهای مناسب به‌منظور مخفی‌سازی و خلاصه‌سازی داده‌های کاربران را به‌کار گیرد.

•        راه کارهای حفظ محرمانگی، مشمولیت و دسترسی و انعطاف پذیری را در سیستم های پردازش‌گر و سرویس‌های مورد استفاده در نظر گیرد.

•        امکان بازیابی داده‌ها و اطلاعات شخصی کاربران در صورت بروز رخدادهای طبیعی و یا نفوذ را داشته باشند.

•        راه کارهایی را برای ممیزی و سنجش روش‌ها، ابزارها و پردازش‌های مورد استفاده به‌منظور حصول اطمینان از کارآیی و حفظ امنیت در انجام عملیات را تدوین کرده باشند.

مطابق با  بند 32 مواردی که  منجر به ریسک  در بروز خرابی‌های تصادفی و غیرقانونی، از دست دادن داده‌ها و تغییرات در آنها و دسترسی غیر مجاز و افشای آنها و دسترسی به داده‌های شخصی می‌شوند باید شناسایی شده و کاهش پیدا کنند.

در صورتی‌که سیستم مدیریت امنیت اطلاعات (ISMS) مناسب و منطبق با استاندارد ISO27001 در سازمان پیاده سازی شود، میتواند اهداف ذکر شده فوق را محقق کند.

 آیا قانون GDPR، دستورالعملی را برای جلوگیری از نشر دادهها ارائه کرده است؟

در بند 32 به‌طور صریح راه کارهای فنی مورد نیاز برای محافظت از داده‌های شخصی کاربران مورد تاکید قرار گرفته است. در این بند از قانون، مثال هایی از کنترل‌ها  و روش‌های ایمن سازی داده‌های کاربران نیز ارائه شده است، اما به‌طور جزئی در مورد چگونگی پیاده‌سازی و استفاده از این روش‌ها، صحبتی مطرح نشده است.

به‌جای آن، در قانون GDPR، کاربران ملزم شده‌اند که از روش‌ها و راهبردهای استانداردی که در این حوزه مطرح شده است، نظیر ISO27001، استفاده کنند.

چگونه امنیت اطلاعات با به‌کارگیری قانون  GDPR ارتقا پیدا می کند؟

هرچند که اغلب سازمان‌ها اهمیت پیاده‌سازی رویه‌های مناسب برای تشخیص و گزارش‌دهی و بررسی هرگونه نشر و استفاده غیرمجاز از داده‌ها را می‌دانند، اما در پیاده‌سازی مناسب و کارآمد این روش‌ها ناموفق می‌باشند.

در زیر به هفت مرحله‌ای که می‌توانند در جلوگیری از نشر غیر مجاز داده‌ها موثر باشند، اشاره می‌کنیم:

•        محل های نگهداری اطلاعات شخصی  را مشخص کنید.

•        همه ریسک‌هایی که می‌توانند منجر به نشر غیرمجاز داده‌ها شوند را مشخص کنید.

•        کنترل‌های مناسب برای کاهش و یا رفع ریسک‌های مورد نظر را مشخص کرده و آنها را به‌کار  برید.

•        آیین‌نامه‌ها و رویه‌های مناسب برای پشتیبانی از کنترل‌های فوق را پیش‌بینی و تدوین کنید.

•        برای اطمینان از استفاده مناسب و کارآمد از کنترل‌های پیش‌بینی شده، به‌‌صورت منظم و دوره‌ای آنها را تست و آزمایش کنید.

•        کنترل‌ها را مرور و بررسی کنید و از کارآیی آنها گزارش‌های لازم را تهیه کنید و در صورت نیاز آنها را بروز‌رسانی کنید.

•        سیستم مدیریت امنیت اطلاعات مستحکم و کارآمد و پاسخگو را پیاده‌سازی و اجرا کنید.

پیاده‌سازی استاندارد امنیت اطلاعات، ISO27001، می‌تواند همه موارد فوق را نتیجه دهد و همچنین در حفظ محرمانگی کلیه داده‌های سازمانی نیز موثر باشد.

 چگونه استاندارد ISO27001 می تواند در تحقق قانون GDPR کمک کند؟

•        ISO27001، استانداردی بین المللی برای مدیریت امنیت اطلاعات می‌باشد که برای تحقق این هدف، چارچوب و آیین‌نامه‌ها و قوانینی  را ارائه می‌کند، همگی این موارد در قالب مستنداتی تحت عنوان سیستم مدیریت امنیت اطلاعات (ISMS) پیاده‌سازی و اجرا می‌شوند.

•        ISMS سیستمی است که در مدیریت و نظارت و ممیزی و ارتقای روش‌های مورد استفاده در امنیت اطلاعات سازمان کمک می کند، و البته اجرای کارآمد و با هزینه قابل قبول آن را نیز تضمین می‌کند.

•        برای رسیدن به همه اهداف تعیین شده در سیستم ISMS، هماهنگی آن با استاندارد ISO27001 می‌تواند در حفظ امنیت اطلاعات و کلیه دارایی‌های غیرمنقول سازمان ، علاوه بر داده‌ها و اطلاعات شخصی پرسنل سازمان،  موثر باشد.

•        در استاندارد ISO27001، سازمان کلیه ریسک‌هایی که در ارتباط با امنیت اطلاعات و داده‌های سازمان وجود دارند را شناسایی کرده و آنها را مدیریت می کنند. در این راستا کلیه تهدیدهایی که ممکن است در آینده مشاهده شوند را پیش‌بینی کرده و راه‌های برخورد و مقابله با آنها را پیش بینی می کنند.

•        استاندارد ISO27001 راه‌کارهایی را برای به حداقل رساندن ریسک‌های موجود ارائه می کند، و همچنین توصیه‌های فنی برای رسیدن به این هدف را ارائه می کند که در راستای تحقق قوانین GDPR می‌باشند.

•        پیاده‌سازی استاندارد ISO27001 با هدف تحقق ISMS نه تنها کنترل‌های فنی و آیین‌نامه‌ها و رویه‌های مورد نیاز را در سازمان اجرایی می‌کنند، بلکه عملیات نظارتی و ارتقای فرهنگ سازمانی به منظور افزایش امنیت اطلاعات را نیز گسترش می دهد.

•        دریافت گواهینامه استاندارد ISO27001 به‌طور غیر مستقیم تضمین می‌کند که سیستم ISMS پیاده سازی شده در سازمان، به‌طور صحیح و کارآمد مورد استفاده قرار می گیرد.

•        با استفاده از استاندارد ISO27001، سازمان برای برخورد و مقابله با تهدیدهایی که ممکن است در آینده رخ دهد، آماده خواهد بود و نیازهای امنیتی مورد نیاز در قانون GDPR را برآورده خواهد ساخت. 

در مطلب زیر، اینفوگرافی مربوط به نه مرحله‌ای که استاندارد ISO27001 می تواند در پیاده‌سازی قوانین GDPR کمک کند، نشان داده شده است

چرا ابزارهای فنی برای تحقق قوانین GDPR کافی نیستند؟

اغلب سازمان‌ها دچار این خطای عملیاتی رایج می‌باشند و فکر می‌کنند که افزودن یک لایه امنیتی از فناوری روز بر روی همه فناوری مورد استفاده در امنیت اطلاعات سازمان، می تواند باعث جلوگیری از انتشار غیر‌مجاز و سوء استفاده از داده‌ها و اطلاعات سازمان شود. چرا؟

•        عدم وجود ارتباط بین برنامه امنیت اطلاعات با افراد و روندهای و فعالیت هایی که در سازمان انجام می شوند، باعث می‌شوند که فناوری‌های مورد استفاده نتوانند دقت و کارآیی لازم را داشته باشند. بررسی‌های انجام شده نشان می دهند که استفاده از روندهای نامناسب و ناکارآمد و خطاهای انسانی بیشترین ریسک را برای امنیت اطلاعات سازمان ایجاد می کنند.

•        پیاده‌سازی استاندارد ISO27001 مستلزم تحقق امنیت اطلاعات در سرتاسر سازمان می‌باشد و عدم دخالت همه اجزای سازمان در پیاده‌سازی این استاندارد، آن را محکوم به شکست خواهد کرد.

•        دریافت گاهینامه ISO27001 به این معنی است که سازمان دائما در حال بررسی، مرور و ممیزی سیستم مدیریت امنیت اطلاعات (ISMS) خود و اعمال بروزرسانی‌های مورد نیاز در آن می‌باشد. بدون حضور سیستم مدیریت کارآمد، ارتباط بین کنترل‌های پیش‌بینی شده، از بین رفته و در نهایت باعث عملکرد نامناسب آنها خواهند شد.

•        برای پیاده‌سازی استاندارد ISO27001، سازمان از راهنمایی و مشاوره متخصصین خارج از سازمان برای تهیه طرح مدیریت امنیت اطلاعات استفاده می‌کند، این روند،  پیاده‌سازی موثر و کارآمد این استاندارد را در سازمان تضمین می کند.

علاوه بر موارد فوق چه کار دیگری باید انجام شود؟

سازمان باید علاوه بر پیاده‌سازی و دریافت گواهینامه استاندارد ISO27001، باید نیازهای دیگری که برای ایجاد تطابق با قوانین GDPR نیاز می‌باشد را فراهم کند. از جمله این موارد می توان به چارچوب حفظ حریم خصوصی که  بر اساس استاندارد BS10012:2017 با عنوان”Specification for a personal information management system (PIMS)” ارائه شده است، اشاره کرد.