استاندارد ISO27001 بهترین نقطه برای کسب نیازهای تکنیکی و عملیاتی مورد نیاز برای پیادهسازی نیازهای قانون GDPR به منظور جلوگیری از انتشار غیر مجاز دادههای شخصی و حریم خصوصی کاربران در فضای مجازی می باشد.
در حقیقت، اگر سازمان و یا موسسهای استاندارد ISO27001 را پیاده سازی کرده باشد، نیمی از راه را برای تحقق اهداف مربوط به قانون GDPR برای بهحداقل رساندن ریسک نشر غیر مجاز اطلاعات و حفظ حریم خصوصی کاربران طی کرده است.
GDPR تاکید دارد که هر سازمان و موسسهای موظف است که از آییننامهها، رویهها و روندهای مناسبی برای حفاظت از دادهها و اطلاعات کاربران خود استفاده کند.
بند 32 از قانون GDPR به طور مشخص اعلام میکند که هر سازمان باید:
• ابزارهای مناسب بهمنظور مخفیسازی و خلاصهسازی دادههای کاربران را بهکار گیرد.
• راه کارهای حفظ محرمانگی، مشمولیت و دسترسی و انعطاف پذیری را در سیستم های پردازشگر و سرویسهای مورد استفاده در نظر گیرد.
• امکان بازیابی دادهها و اطلاعات شخصی کاربران در صورت بروز رخدادهای طبیعی و یا نفوذ را داشته باشند.
• راه کارهایی را برای ممیزی و سنجش روشها، ابزارها و پردازشهای مورد استفاده بهمنظور حصول اطمینان از کارآیی و حفظ امنیت در انجام عملیات را تدوین کرده باشند.
مطابق با بند 32 مواردی که منجر به ریسک در بروز خرابیهای تصادفی و غیرقانونی، از دست دادن دادهها و تغییرات در آنها و دسترسی غیر مجاز و افشای آنها و دسترسی به دادههای شخصی میشوند باید شناسایی شده و کاهش پیدا کنند.
در صورتیکه سیستم مدیریت امنیت اطلاعات (ISMS) مناسب و منطبق با استاندارد ISO27001 در سازمان پیاده سازی شود، میتواند اهداف ذکر شده فوق را محقق کند.
آیا قانون GDPR، دستورالعملی را برای جلوگیری از نشر دادهها ارائه کرده است؟
در بند 32 بهطور صریح راه کارهای فنی مورد نیاز برای محافظت از دادههای شخصی کاربران مورد تاکید قرار گرفته است. در این بند از قانون، مثال هایی از کنترلها و روشهای ایمن سازی دادههای کاربران نیز ارائه شده است، اما بهطور جزئی در مورد چگونگی پیادهسازی و استفاده از این روشها، صحبتی مطرح نشده است.
بهجای آن، در قانون GDPR، کاربران ملزم شدهاند که از روشها و راهبردهای استانداردی که در این حوزه مطرح شده است، نظیر ISO27001، استفاده کنند.
چگونه امنیت اطلاعات با بهکارگیری قانون GDPR ارتقا پیدا می کند؟
هرچند که اغلب سازمانها اهمیت پیادهسازی رویههای مناسب برای تشخیص و گزارشدهی و بررسی هرگونه نشر و استفاده غیرمجاز از دادهها را میدانند، اما در پیادهسازی مناسب و کارآمد این روشها ناموفق میباشند.
در زیر به هفت مرحلهای که میتوانند در جلوگیری از نشر غیر مجاز دادهها موثر باشند، اشاره میکنیم:
• محل های نگهداری اطلاعات شخصی را مشخص کنید.
• همه ریسکهایی که میتوانند منجر به نشر غیرمجاز دادهها شوند را مشخص کنید.
• کنترلهای مناسب برای کاهش و یا رفع ریسکهای مورد نظر را مشخص کرده و آنها را بهکار برید.
• آییننامهها و رویههای مناسب برای پشتیبانی از کنترلهای فوق را پیشبینی و تدوین کنید.
• برای اطمینان از استفاده مناسب و کارآمد از کنترلهای پیشبینی شده، بهصورت منظم و دورهای آنها را تست و آزمایش کنید.
• کنترلها را مرور و بررسی کنید و از کارآیی آنها گزارشهای لازم را تهیه کنید و در صورت نیاز آنها را بروزرسانی کنید.
• سیستم مدیریت امنیت اطلاعات مستحکم و کارآمد و پاسخگو را پیادهسازی و اجرا کنید.
پیادهسازی استاندارد امنیت اطلاعات، ISO27001، میتواند همه موارد فوق را نتیجه دهد و همچنین در حفظ محرمانگی کلیه دادههای سازمانی نیز موثر باشد.
چگونه استاندارد ISO27001 می تواند در تحقق قانون GDPR کمک کند؟
• ISO27001، استانداردی بین المللی برای مدیریت امنیت اطلاعات میباشد که برای تحقق این هدف، چارچوب و آییننامهها و قوانینی را ارائه میکند، همگی این موارد در قالب مستنداتی تحت عنوان سیستم مدیریت امنیت اطلاعات (ISMS) پیادهسازی و اجرا میشوند.
• ISMS سیستمی است که در مدیریت و نظارت و ممیزی و ارتقای روشهای مورد استفاده در امنیت اطلاعات سازمان کمک می کند، و البته اجرای کارآمد و با هزینه قابل قبول آن را نیز تضمین میکند.
• برای رسیدن به همه اهداف تعیین شده در سیستم ISMS، هماهنگی آن با استاندارد ISO27001 میتواند در حفظ امنیت اطلاعات و کلیه داراییهای غیرمنقول سازمان ، علاوه بر دادهها و اطلاعات شخصی پرسنل سازمان، موثر باشد.
• در استاندارد ISO27001، سازمان کلیه ریسکهایی که در ارتباط با امنیت اطلاعات و دادههای سازمان وجود دارند را شناسایی کرده و آنها را مدیریت می کنند. در این راستا کلیه تهدیدهایی که ممکن است در آینده مشاهده شوند را پیشبینی کرده و راههای برخورد و مقابله با آنها را پیش بینی می کنند.
• استاندارد ISO27001 راهکارهایی را برای به حداقل رساندن ریسکهای موجود ارائه می کند، و همچنین توصیههای فنی برای رسیدن به این هدف را ارائه می کند که در راستای تحقق قوانین GDPR میباشند.
• پیادهسازی استاندارد ISO27001 با هدف تحقق ISMS نه تنها کنترلهای فنی و آییننامهها و رویههای مورد نیاز را در سازمان اجرایی میکنند، بلکه عملیات نظارتی و ارتقای فرهنگ سازمانی به منظور افزایش امنیت اطلاعات را نیز گسترش می دهد.
• دریافت گواهینامه استاندارد ISO27001 بهطور غیر مستقیم تضمین میکند که سیستم ISMS پیاده سازی شده در سازمان، بهطور صحیح و کارآمد مورد استفاده قرار می گیرد.
• با استفاده از استاندارد ISO27001، سازمان برای برخورد و مقابله با تهدیدهایی که ممکن است در آینده رخ دهد، آماده خواهد بود و نیازهای امنیتی مورد نیاز در قانون GDPR را برآورده خواهد ساخت.
در مطلب زیر، اینفوگرافی مربوط به نه مرحلهای که استاندارد ISO27001 می تواند در پیادهسازی قوانین GDPR کمک کند، نشان داده شده است
چرا ابزارهای فنی برای تحقق قوانین GDPR کافی نیستند؟
اغلب سازمانها دچار این خطای عملیاتی رایج میباشند و فکر میکنند که افزودن یک لایه امنیتی از فناوری روز بر روی همه فناوری مورد استفاده در امنیت اطلاعات سازمان، می تواند باعث جلوگیری از انتشار غیرمجاز و سوء استفاده از دادهها و اطلاعات سازمان شود. چرا؟
• عدم وجود ارتباط بین برنامه امنیت اطلاعات با افراد و روندهای و فعالیت هایی که در سازمان انجام می شوند، باعث میشوند که فناوریهای مورد استفاده نتوانند دقت و کارآیی لازم را داشته باشند. بررسیهای انجام شده نشان می دهند که استفاده از روندهای نامناسب و ناکارآمد و خطاهای انسانی بیشترین ریسک را برای امنیت اطلاعات سازمان ایجاد می کنند.
• پیادهسازی استاندارد ISO27001 مستلزم تحقق امنیت اطلاعات در سرتاسر سازمان میباشد و عدم دخالت همه اجزای سازمان در پیادهسازی این استاندارد، آن را محکوم به شکست خواهد کرد.
• دریافت گاهینامه ISO27001 به این معنی است که سازمان دائما در حال بررسی، مرور و ممیزی سیستم مدیریت امنیت اطلاعات (ISMS) خود و اعمال بروزرسانیهای مورد نیاز در آن میباشد. بدون حضور سیستم مدیریت کارآمد، ارتباط بین کنترلهای پیشبینی شده، از بین رفته و در نهایت باعث عملکرد نامناسب آنها خواهند شد.
• برای پیادهسازی استاندارد ISO27001، سازمان از راهنمایی و مشاوره متخصصین خارج از سازمان برای تهیه طرح مدیریت امنیت اطلاعات استفاده میکند، این روند، پیادهسازی موثر و کارآمد این استاندارد را در سازمان تضمین می کند.
علاوه بر موارد فوق چه کار دیگری باید انجام شود؟
سازمان باید علاوه بر پیادهسازی و دریافت گواهینامه استاندارد ISO27001، باید نیازهای دیگری که برای ایجاد تطابق با قوانین GDPR نیاز میباشد را فراهم کند. از جمله این موارد می توان به چارچوب حفظ حریم خصوصی که بر اساس استاندارد BS10012:2017 با عنوان”Specification for a personal information management system (PIMS)” ارائه شده است، اشاره کرد.