RODO czy ISO27001?

Obrona, zapobieganie i bezpieczeństwo to trzy słowa, które niezmiennie pozostają jednymi z najczęściej używanych i branych pod uwagę przez media polityków i niemal wszystkie zorganizowane grupy ludzi, w tym również społeczeństwa. Na przestrzeni dziejów pojawiały się i znikały bardziej lub mniej udane koncepcje polityczne, prawne, militarne i społeczne orbitujące wokół tych zagadnień. Zakres metod i narzędzi stale się rozrasta za sprawą instrumentów mających wbić klin w stale opracowywane i udoskonalane systemy bezpieczeństwa. Zmianie ulega również środowisko i rodzaje sprawców mających interes by omijać zabezpieczenia, łamać prawo, czy wręcz destabilizować całe zbiorowości ludzkie. Na uwagę zasługuje wyraźna zmiana charakteru zorganizowanych grup przestępczych, których metody i cele uległy znacznej zmianie.

Zamieniając pięści, kije bejsbolowe i pistolety na złośliwe oprogramowania, wiedzę prawną (np. korzystanie z wszelkich wad umownych i przedłużania procesów sądowych), słowem działalność na pozór legalną (bo nierzucającą się w oczy) wytworzyli oni popyt na znajdowanie nowych, skutecznych sposobów jakie mogłyby zapobiec grożącemu na tej płaszczyźnie zagrożeniu. Wkraczając w erę cyfrową należy mieć na względzie fakt, że nawet jeśli fizycznie człowiekowi nic nie grozi, gdyż na to nie wskazuje sytuacja, to w tym samym czasie, ktoś może wykradać bezkarnie jego dane. Przyczyną tego stanu rzeczy jest fakt, że informacja nie tyle pozostaje jedną z cenniejszych walut ale może dziś pretendować do miana najdroższej. Nic więc dziwnego, że certyfikacje systemu zarządzania bezpieczeństwa informacji (SZBI) cieszą się taką popularnością. Najczęściej wybieranym standardem jest ISO 27001, ponieważ jest on uniwersalny i międzynarodowo uznawany. Parlament europejski i rada również nie pozostały obojętne na tę okoliczność. Dowodem tego jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) zwane dalej RODO. Zadaniem niniejszego tekstu będzie przedstawienie jednego i drugiego systemu.

1. Czym jest RODO?

2. Czym jest norma ISO 27001?

3. RODO czy ISO 27001?

Ad. 1. Czym jest RODO?

Za akronimem RODO kryje się rozwinięcie oznaczające „rozporządzenie o ochronie danych osobowych”. Jest stosunkowo nowym ogólnym rozporządzeniem o ochronie danych obowiązującym na terenie Unii Europejskiej. Jego zadaniem jest regulacja przetwarzania przez osoby fizyczne, przedsiębiorstwa lub organizacje danych osobowych dotyczących osób fizycznych w UE. Ponieważ jest to rozporządzenie, ma ono zasięg ogólny. Wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich. Celem rozporządzenia było wprowadzenie  ujednoliconych zasad dotyczących przechowywania i przetwarzania danych osobowych na terenie wspólnoty. Zakres podmiotowy tego rozporządzenia jest jednak ograniczony. W Artykule 2 ust.2 przedstawiono, że niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii;

b) przez państwa członkowskie w ramach wykonania działań wchodzących w zakres tytułu V rozdziału 2 TUE;

c) przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;

d) przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykonywania i ścigania czynów zabronionych lub wykonywanie kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Podsumowując, przez pojęcie „RODO” należy rozumieć unijne prawo regulujące sposób przetwarzania danych osobowych i chroniące prawa osób fizycznych w związku z przetwarzaniem ich danych osobowych. Obejmuje m. in. definicje podstawowych pojęć związanych z przetwarzaniem danych, prawa osób fizycznych w zakresie ochrony danych, obowiązki podmiotów przetwarzających dane oraz procedury dotyczące naruszenia ochrony danych.

Ad. 2. Czym jest norma ISO 27001?

ISO 27001 to ustandaryzowane wymagania dla systemów zarządzania bezpieczeństwem informacji o charakterze międzynarodowym i uniwersalnym. Akronim ISO, którego rozwinięcie oznacza Międzynarodową Organizację Normalizacyjną był inspirowany greckim słowem „isos”, oznaczającego „równy”. Zapis cyfrowy umieszczony za przedrostkiem oznacza jedną z dziedzin obracających się w kręgu zainteresowania wybranej normy z rodziny ISO. Rzeczony numer 27001 odnosi się do systemu zarządzania bezpieczeństwem informacji.

Podkreślić należy, że nie pełni ona roli ochrony systemów informatycznych, ale służy również zapewnieniu bezpieczeństwa danych osobowych, informacji handlowych oraz innych informacji stanowiących tajemnicę przedsiębiorstwa. Pamiętać należy, że dobrze zorganizowany system zarządzania bezpieczeństwem informacji (SZBI) zgodny z normą ISO/IEC 27001 stanowi optymalną podstawę do skutecznego wdrożenia holistycznej strategii bezpieczeństwa. Aby te cele osiągnąć organizacje powinny w pierwszej kolejności zająć się trzema podstawowymi celami:

– poufnością

– dostępnością

– integralnością

Na koniec wypada podkreślić, jakie korzyści dla organizacji wynikają z racji wdrożenia tej normy. Zaliczyć do nich można między innymi:

– spełnienie wymagań prawnych (o których mowa była we wstępie)

– lepsze zarządzanie czynnikami generującymi ryzyka i szanse dla organizacji,

– stałe podnoszenie jakości wykonywanych usług,

– znaczne podniesienie zaufania klientów,

– systematyczne audytowanie bezpieczeństwa informacji

– regularne podnoszenie poziomu zabezpieczeń,

– zachowanie poufności, integralności i dostępności posiadanych informacji, itp

Ad. 3 RODO czy ISO 27001?

Zważywszy na przytoczone powyżej opisy, można powiedzieć, że różnica między Rozporządzeniem Ogólnym o Ochronie Danych (RODO) a normą ISO 27001 polega głównie na ich zakresie oraz celu. Zachodzą one w sposób następujący:

a) RODO jest unijnym aktem prawnym regulującym ochronę danych osobowych, a jego celem jest ustalenie wspólnych zasad dotyczących przetwarzania danych w Unii Europejskiej. Natomiast norma ISO 27001 to międzynarodowa norma dotycząca zarządzania bezpieczeństwem informacji, której celem jest zapewnienie bezpieczeństwa danych, w tym danych osobowych, i skuteczności zarządzania ryzykiem w zakresie bezpieczeństwa informacji.

b) RODO ma zastosowanie do wszystkich firm i organizacji przetwarzających dane osobowe obywateli Unii Europejskiej, niezależnie od ich lokalizacji. Natomiast norma ISO 27001 jest dobrowolnym standardem, który może być stosowany przez dowolną organizację, która chce zapewnić wysoki poziom bezpieczeństwa informacji.

c) Wdrażając ISO27001 musimy zapewnić spełnienie wymagań RODO.

Wypada również wspomnieć, że pomiędzy RODO a normą ISO 27001 zachodzą również pewne podobieństwa. Mianowicie:

a) Oba akty regulują kwestie ochrony danych i bezpieczeństwa informacji.

b) Zarówno RODO, jak i norma ISO 27001 wymagają podejścia opartego na analizie ryzyka i zarządzaniu tym ryzykiem.

c) Oba akty promują kulturę ochrony danych i świadomość w zakresie bezpieczeństwa informacji.