ISO 27701 - ENTENDA DE VEZ

o Olá pessoal o IP da dever de hoje é sobre o sistema de gestão de privacidade e formação o SGT depois que o conteúdo da ISO 27001 foi publicado aqui no canal a gente teve diversos feedback para fazer um da 27701 então obrigado a todo mundo pelo feedback e obrigado a você está assistindo isso nosso vídeo tá se você gosta do nosso conteúdo por favor deixa seu like e se inscreva aqui no canal Valeu para quem já conhece aí 27001 será que a 27701 é uma extensão dela com requisitos e diretrizes adicionais aproveitando tudo para quem 7. 001 e seu anexo a Claro que a referência da 27002 complementando com os controles específicos para riscos de privacidade depois da vinheta você vai entender ou mais 27701 está organizada e tem uma ideia geral e como aplicá-la na surpresa tá vem comigo é Oi tudo bem já sabíamos que eles 27001 oriento os requisitos para implantação de um sistema de gestão de segurança da informação na sua empresa e agora também já sabemos que a 27701 é uma extensão da ISO 27001 e 27002 em todo o seu programa com uma algumas tradições de controles específicos para um sistema de gestão de privacidade de privacidade da informação isso mesmo muitas empresas chamo essa integração entre o sistema de gestão de segurança formação de privacidade de um sistema de gestão integral objetivo da iniciativa os sites um é orientar Quais são esses requisitos adicionais que devem ser cumpridos para que esse sistema de gestão seja efetivo e eficaz apesar de ser longa e leite fácil entendimento portanto eu não vou detalhar muitos controles adicionais nem as estações de forma granulada mas vou explicar o Flamengo Onde estão organizados onde são essas tensões e a forma como ela está estruturada dentro do corpo da mão na 27701 elas estão organizadas nas sessões de 18 e mais seis anexos mais sessões um dois e três básicas para todas as normas e os são o escopo da Norma referências normativas e termos e definições sobre os termos ela puxa a referência dos termos definidos na 29100 já com conteúdo produzido aqui no canal dá uma olhada traz também uma nota brasileira e Fernando que o termo personally identifiable information ou Iai foi traduzido como dados pessoais ou de p para aderência à legislação brasileira ou LG o sanpaku traz uma explicação geral e apresenta o resumo de como se relaciona as 27027 1. 002 orienta ainda que existem controles adicionais para um sistema de gestão de privacidade na informação ou entendimento é que se trata de uma extensão dos requisitos da 27001 e de controles da 27002 percebe falei controle sabe certo de requisitos na 27001 e controles na 27002 ou seja esses dois são estendidos e existe uma ampliação de controles adicionais específicos com a proteção de privacidade em complemento a segurança na informação na prática né na prática mesmo onde o termo segurança na informação usado deve-se considerar segurança da informação e privacidade assim dizendo as resistências ões sejam da 27001 com os requisitos ou dos controles estão detalhadas nas sessões 5 e 6 são seis a extensão e são oito são esses controles adicionais que devem ser implementados na seção 7 para controladores e na seção 8 para operadores de dados pessoais indo para os anexos a gente percebe que tem um anexo a e é esse resumo de controle para controlar dois e o anexo B resumo para operador o anexo C apresenta um mapeamento para 29100 o anexo de apresenta um mapeamento com a gtp e o anexo é apresenta um mapeamento com as normas 27018 a ISO 27001 8 e aí os 29 5151 e o anexo F explica como os termos da 27001 são estendidos para proteção de privacidade quando o tratamento de dados pessoais seção 5 São cinco são os requisitos da 27001 e são apresentados as medidas para um sistema gestão de privacidade da informação para a segurança da informação apenas a seção 4 contexto e seis planejamento do sistema de gestão possui requisitos adicionais no contexto quer dizer não entendimento do contexto cast subseção 4.

1 a extensão é determinar se a empresa é um controlador de dado pessoal ou um operador de dado pessoal para que faça sentido alguns controles adicionais no entendimento das necessidades e expectativas das partes interessadas que essas são 4. 2 de contexto a extensão é incluir mais duas partes interessadas aquelas partes que tem interesse ao responsabilidade associados ao tratamento dos dados pessoais recolhidos titulares de dados pessoais é muito pouco do sgsi Essas são 4. 3 a extensão inclui o tratamento de dados pessoais mas manipulação de dados pessoais no músculo na implementação do sgs sessão 4.

4 a extensão A incluir no estabelecimento do s agora os requisitos definidos aqui na estação que são os de contexto do planejamento como requisitos do sistema de gestão de privacidade da informação e no planejamento a gente tem todo o processo de gestão de riscos tá E nesse processo de Gestão de Risco a gente tem alguns controles estendidos que eu vou falar agora na identificação de riscos de segurança da informação que ao meio 12 se traço um a extensão deve ser aplicada considerando os corpo do sgsi previamente definido identificando os riscos Associados à perda de confidencialidade integridade quantidade agora no escopo do sgti também na análise de risco e segurança da informação que é o meio dois de um a extensão deve ser aplicada para avaliar as consequências potenciais agora também de privacidade para organização e os titulares de dados pessoais nos Riscos que a gente identificou anteriormente e no tratamento agora arrumei um 3c no tratamento de riscos de segurança da informação a extensão deve ser adotada ao avaliar essa aplicabilidade controle para o tratamento de riscos e nesse novo contexto de risco a gente tem que incluir os riscos de tratamento de dados pessoais e os riscos aos titulares dos populares né e dados pessoais e e na elaboração de declaração de aplicabilidade que é o meio 3D a extensão deve ser adotada na sua elaboração considerando também os controles definidos agora na 27701 a raça são seis trata dos controles adicionais para o anexo daqui d7001 ou para 27002 tá então são as diretrizes para os controles que devem ser adicionados é estacado que que existe uma subseção para cada uma das seções que apresentam os objetivos ou os controles daqui 7. 002 são 32 extensões e cada uma das causas principais da 27002 eu não vou destacar cada item se não esse vídeo não termina hoje mas como pode ver e resumo Eu Te Taco o item 5 da política na parte de organização de segurança e outras seções principais como oito gestão de ativos 15 controles adicionar se encontrou na consinco Estações 14 sistemas desenvolvimento de sistemas com cinco Estações e não esquecendo do 9 que o controle de acesso com 3 extenções e com a operação do dia a dia que ao 1213 extensões a raça são sete são diretrizes adicionais da iso 27002 para os controladores de dados pessoais existem acréscimos e criam controles específicos para o sistema de gestão de privacidade da informação para controladores de dados pessoais estão resumos também no anexo à e são 31 controles em quatro grupos primeiro deles é o a 72 que é condições para coleta de tratamento tá de documentar que o tratamento seja ele seja lícito um base legais e com propósitos legítimos para meio definido o a 73 que são as obrigações para os titulares de dados pessoais ou seja prover titulares o informações apropriadas sobre o tratamento das pessoais a gente já conhece muito bem o a 74 que é o price by design o prazer Price Paid full e se assegurar que os processos sistema sejam projetados de tal forma que a cor o tratamento sigam algumas regras básicas e que estejam limitados ao que é necessário para o propósito de identificar e o há 75 que é o compartilhamento transferência e divulgação de dados pessoais que determinasse o dado pessoal é o quando é compartilhado e documentar quando os quando isso é feito de acordo com as obrigações aplicadas a sessão 8 é a Remar siamês né da sessão segue e trata das diretrizes adicionais da 27002 para operadores dados pessoais tá esses acréscimos cria alguns controles específicos novamente para os operadores de dados pessoais e São 18 controles em quatro grupos de oito dois condições para coleta e tratamento seja documentar antes que o tratamento é lícito com Bases legais e com propósitos legítimos e claramente definidos v83 obrigações para os titulares da e é prover informações para os titulares informações apropriadas sobre o tratamento do seu lado pessoal e atender outras obrigações aplicáveis ao setor as 8. 4 de 8.

4 privacy by design by the for são três controle em visam assegurar que os processos sistemas estejam projetados de tal forma que a coleta o tratamento esteja limitado até necessário com propósito bem definido e por último de 8. 5 que é o compartilhamento transferência e Descartes dados pessoais são oito controle e é determinar se o dado pessoal é compartilhado quando é compartilhado documentando esse processo e divulgando de acordo com as obrigações aplicados a conclusão para finalizar eu recomendo fortemente adoção do sistema de gestão integrado como base para as ações o processo sobre a informação e privacidade na sua empresa e tendo que apesar da 27701 ser extensa com 92 páginas essas extensões para privacidade não são muitas até porque a 27.