GDPR & ISO 27001
La maggior parte degli articoli sul GDPR delinea i metodi che è necessario utilizzare per garantire la conformità durante la raccolta di dati personali da parte dei cittadini dell’UE. I requisiti di sicurezza per la protezione e l’elaborazione dei dati personali sono delineati nell’ultima parte del GDPR, mentre l’obiettivo principale della ISO 27001 è la protezione delle informazioni di identificazione personale (PII) e l’esecuzione di audit continui per garantire la sicurezza delle PII.
In poche parole, il GDPR si occupa principalmente della raccolta di dati personali, mentre la ISO 27001 aiuta a garantire che questa raccolta di dati riservati sia sicura. Pertanto, se si adotta la ISO 27001, sarà solo parzialmente conforme al GDPR. Se la tua azienda ha già adottato gli standard ISO 27001, è necessario seguire i passi indicati di seguito per essere pienamente conformi al GDPR:
- Rivedere i documenti e gli accordi per assicurarsi che:
- Includere lo scopo per cui vengono raccolti i dati personali
- Indicare tutti gli scopi per i quali verranno utilizzati i dati personali
- Ottenere il consenso esplicito dall’interessato
- Assicurati che la tua politica di gestione dei dati sia allineata con i diritti degli interessati.
- Identifica e monitora i dati personali richiesti dal GDPR ma non ISO 27001, come indirizzi IP, cookie e identificatori di radiofrequenza (RFID).
ISO 27001 include anche controlli per prevenire violazioni dei dati. Come sappiamo, le violazioni si verificano e l’articolo 33 del GDPR elabora le azioni post-violazione che è necessario intraprendere. Il sistema di gestione della sicurezza delle informazioni (ISMS) definito dalla norma ISO 27001 aiuterà a rilevare le violazioni dei dati in una certa misura, mentre il GDPR richiede alle aziende di rilevare e segnalare violazioni dei dati entro 72 ore.
Già conforme ISO 27001? Ecco cosa devi fare per ottenere la conformità GDPR.
- Distribuisci sulla tua rete aziendale soluzioni che rilevano minacce e violazioni in tempo reale
- Eseguire attività post-violazione. Avere meccanismi adeguati per:
- Ripristina la disponibilità e l’integrità dei dati personali utilizzando i dati di backup.
- Condurre analisi forensi approfondite sulla violazione e valutarne l’impatto, compresi i sistemi, i servizi e i dati personali che sono stati interessati.
- Scopri tutto sulla violazione dei dati: chi ha fatto cosa, dove si è verificata la violazione dei dati e se si è trattato di un attacco interno o esterno.
- Adottare le misure necessarie per evitare attacchi simili in futuro.
Ti interessa avere maggiori informazioni sul GDPR? Scarica gratuitamente il nostro e-book! http://www.manageengine.it/eventlog/gdpr-compliance-handbook.html?ela_it_bnr1 e contatta gli specialisti ManageEngine di Bludis per conoscere la fascia di soluzioni dedicate. Invia una e-mail a sales@bludis.it oppure contattaci telefonicamente allo 0643230077.