Kako ISO/IEC 27001:2022 podupire usklađenost MSP-ova s GDPR-om

Za mala i srednja poduzeća upravljanje preklapanjem zahtjeva GDPR-a i ISO/IEC 27001:2022 može izgledati kao slaganje dviju različitih slagalica istim dijelovima. Ovaj vodič pokazuje kako strukturirani, rizikom vođen pristup ISO 27001 može poslužiti kao snažan mehanizam za pokretanje, upravljanje i dokazivanje usklađenosti sa strogim načelima zaštite podataka iz GDPR-a.

Što je u pitanju

Za malo ili srednje poduzeće posljedice neodgovarajuće zaštite osobnih podataka znatno nadilaze regulatorne kazne. Iako su kazne prema GDPR-u značajne, operativna i reputacijska šteta uzrokovana povredom podataka može biti još ozbiljnija. Jedan incident može pokrenuti niz negativnih posljedica: gubitak povjerenja klijenata, raskid ugovora i narušavanje ugleda brenda čija obnova traje godinama. Propisi zahtijevaju provedbu odgovarajućih tehničkih i organizacijskih mjera za zaštitu osobnih podataka, što izravno odražava temeljnu filozofiju ISO 27001. Zanemarivanje tog zahtjeva znači prihvaćanje razine rizika koja može ugroziti cjelokupno poslovanje. Nije riječ samo o izbjegavanju kazni, nego o osiguravanju neprekidnosti poslovanja i očuvanju povjerenja koje ste izgradili s klijentima i partnerima.

Pritisak dolazi sa svih strana. Klijenti su svjesniji privatnosti nego ikad i sve češće traže dokaz o pouzdanim praksama zaštite podataka. Poslovni partneri, osobito veće organizacije, često postavljaju usklađenost s normama poput ISO 27001 kao ugovorni preduvjet. Potrebno im je uvjerenje da su njihovi podaci, kao i svi osobni podaci koje obrađujete u njihovo ime, sigurni. Ako takvo uvjerenje ne možete pružiti, možete izgubiti vrijedne ugovore. Interno, nedostatak strukturiranog sigurnosnog okvira stvara neučinkovitost i nejasnoće, otežava učinkovit odgovor na incidente i ostavlja najvrjedniju podatkovnu imovinu izloženom slučajnom gubitku ili zlonamjernom napadu.

Zamislite malo poduzeće za e-trgovinu koje pohranjuje imena klijenata, adrese i povijest kupnji. Napad ransomwareom šifrira njihovu bazu podataka. Bez formalnog plana neprekidnosti poslovanja i testiranih sigurnosnih kopija, kako zahtijevaju i Article 32 GDPR-a i ISO 27001, uslugu ne mogu brzo obnoviti. Suočavaju se ne samo s mogućom kaznom zbog neodgovarajuće sigurnosti, nego i s danima izgubljenog prihoda te krizom odnosa s javnošću dok cijeloj bazi klijenata objašnjavaju prekid usluge i moguću izloženost podataka.

Kako izgleda dobro postavljeno stanje

Usklađivanje ISO/IEC 27001:2022 i GDPR-a pretvara usklađenost iz zahtjevne vježbe označavanja stavki na kontrolnom popisu u stratešku prednost. Kada je vaš sustav upravljanja informacijskom sigurnošću (ISMS) izgrađen na okviru ISO 27001, on pruža strukturu, procese i dokaze potrebne za dokazivanje poštivanja načela ugrađene i zadane zaštite podataka iz GDPR-a. Dobro postavljeno stanje znači da ne tvrdite samo da ste usklađeni; imate dokumentaciju, zapise i revizijske tragove kojima to dokazujete. Vaše procjene rizika prirodno obuhvaćaju rizike privatnosti, a odabrane sigurnosne kontrole izravno ublažavaju prijetnje osobnim podacima.

Takav integrirani pristup stvara kulturu sigurnosti i privatnosti koja obuhvaća cijelu organizaciju. Umjesto da se zaštita podataka tretira kao izolirani IT problem, ona postaje zajednička odgovornost, vođena jasnim politikama i postupcima. Zaposlenici razumiju svoje uloge u zaštiti osobnih podataka, od sigurnog postupanja s upitima klijenata do pravodobnog prijavljivanja mogućih incidenata. Odnosi s dobavljačima uređuju se ugovorima koji uključuju pouzdane odredbe o zaštiti podataka, čime se vaši sigurnosni standardi proširuju kroz cijeli lanac opskrbe. Takvo dokazivo stanje usklađenosti znači da, kada revizor ili potencijalni poslovni partner pita kako štitite osobne podatke, možete pokazati živ i operativan sustav upravljanja, a ne samo zastarjeli dokument politike.

Zamislite rastućeg pružatelja softvera kao usluge (SaaS) koji želi pridobiti velikog poslovnog klijenta. Klijentov upitnik za dubinsku analizu dobavljača opsežan je i sadrži detaljna pitanja o usklađenosti s GDPR-om. Budući da pružatelj SaaS usluge ima ISMS certificiran prema ISO 27001, može učinkovito dostaviti izjavu o primjenjivosti, metodologiju procjene rizika i zapise internih revizija. Ti dokumenti jasno pokazuju kako provodi kontrole poput šifriranja, kontrole pristupa i upravljanja ranjivostima radi zaštite osobnih podataka koje obrađuje, čime izravno odgovara na zabrinutosti klijenta i zahtjeve GDPR-a.

Praktični put

Stvaranje jedinstvenog sustava koji zadovoljava i ISO 27001 i GDPR metodičan je proces, a ne jednokratan projekt. On uključuje korištenje strukturiranog ciklusa planiraj-provedi-provjeri-djeluj unutar ISMS-a kako bi se sustavno obradili konkretni zahtjevi propisa o zaštiti podataka. Tretiranjem osobnih podataka kao kritične informacijske imovine unutar ISMS-a možete primijeniti snažan mehanizam upravljanja rizicima iz norme radi ispunjavanja obveza GDPR-a za sigurnu obradu. Takav pristup osigurava da su aktivnosti učinkovite, ponovljive i, što je najvažnije, djelotvorne u smanjenju stvarnog rizika.

Faza 1: Izgradnja temelja kroz kontekst i procjenu rizika

Prvi je korak definirati opseg ISMS-a tako da izričito obuhvaća sve sustave, procese i lokacije na kojima se obrađuju osobni podaci. To je usklađeno sa zahtjevom ISO 27001 za razumijevanje organizacije i njezina konteksta. Ključni dio ove faze jest identifikacija pravnih i regulatornih zahtjeva, pri čemu je GDPR jedan od glavnih ulaznih zahtjeva. Morate izraditi i održavati evidenciju aktivnosti obrade (RoPA), kako zahtijeva Article 30 GDPR-a. Taj popis imovine povezane s osobnim podacima, tokova podataka i svrha obrade postaje temelj ISMS-a te usmjerava procjenu rizika i odabir kontrola. Naš vodič za implementaciju, Zenith Blueprint, pruža korak-po-korak postupak za uspostavu tog temeljnog konteksta i opsega.¹

Nakon što znate koje osobne podatke imate i gdje se nalaze, možete provesti procjenu rizika koja obuhvaća prijetnje njihovoj povjerljivosti, cjelovitosti i dostupnosti. Taj proces, ključan za ISO 27001, izravno ispunjava zahtjev GDPR-a za pristup sigurnosti temeljen na riziku. Procjena rizika treba identificirati moguće prijetnje, poput neovlaštenog pristupa, curenja podataka ili otkaza sustava, te procijeniti njihov mogući utjecaj na prava i slobode pojedinaca.

• Mapirajte tokove podataka: Dokumentirajte kako osobni podaci ulaze u organizaciju, kako se kroz nju kreću i kako je napuštaju.
• Identificirajte pravne obveze: Upotrijebite točku 4.2 norme ISO 27001 za formalnu identifikaciju GDPR-a kao ključnog zahtjeva zainteresiranih strana (regulatora, ispitanika).
• Izradite popis imovine: Uspostavite registar sve imovine uključene u obradu osobnih podataka, uključujući aplikacije, baze podataka i poslužitelje.
• Provedite procjenu rizika: Procijenite prijetnje osobnim podacima i odredite razinu rizika, uzimajući u obzir vjerojatnost i utjecaj.
• Izradite plan obrade rizika: Odlučite kako ćete odgovoriti na svaki identificirani rizik, bilo primjenom kontrole, prihvaćanjem rizika ili njegovim izbjegavanjem.

Faza 2: Provedba kontrola za zaštitu osobnih podataka

Uz jasno razumijevanje rizika možete odabrati i provesti odgovarajuće kontrole iz Priloga A norme ISO 27001 kako biste ih ublažili. Tu sinergija između norme i regulative postaje najvidljivija. Mnogi zahtjevi iz Article 32 GDPR-a za “tehničke i organizacijske mjere” izravno su pokriveni kontrolama iz Priloga A. Primjerice, zahtjev GDPR-a za šifriranjem i pseudonimizacijom ispunjava se provedbom kontrola poput 8.24 Use of cryptography i 8.11 Data masking. Potreba za osiguravanjem trajne cjelovitosti i otpornosti sustava obrade pokrivena je kontrolama za upravljanje ranjivostima (8.8), sigurnosno kopiranje (8.13) i zapisivanje događaja (8.15).

Pretvaranje tih zahtjeva u koherentan skup kontrola može biti složeno jer se jezik pravne regulative i sigurnosnih normi razlikuje. Glavna mapa koja povezuje svaku kontrolu ISO 27001 s odgovarajućim člancima u GDPR-u, NIS2 i drugim okvirima iznimno je vrijedna. Ona pruža jasnoću implementatorima i jasan revizijski trag procjeniteljima. Biblioteka Zenith Controls izrađena je upravo za tu svrhu, kao mjerodavna poveznica između okvira.² Time se osigurava da, kada provodite kontrolu ISO 27001, svjesno i dokazivo ispunjavate konkretan zahtjev GDPR-a.

• Provedite kontrolu pristupa: Primijenite načelo najmanjih privilegija kako bi zaposlenici mogli pristupiti samo osobnim podacima koji su nužni za njihove uloge.
• Koristite kriptografiju: Šifrirajte osobne podatke u mirovanju u bazama podataka i u prijenosu preko mreža.
• Upravljajte tehničkim ranjivostima: Uspostavite proces za redovito skeniranje, procjenu i zakrpavanje ranjivosti softvera.
• Osigurajte neprekidnost poslovanja: Provedite i testirajte postupke sigurnosnog kopiranja i oporavka kako biste nakon incidenta pravodobno obnovili pristup osobnim podacima.
• Zaštitite razvojna okruženja: Ako razvijate softver, osigurajte da su testna okruženja odvojena od produkcije i da se stvarni osobni podaci ne koriste bez zaštite, primjerice maskiranja.

Faza 3: Pratite, održavajte i poboljšavajte

ISMS nije statičan sustav. ISO 27001 zahtijeva kontinuirano praćenje, mjerenje, analizu i vrednovanje kako bi kontrole ostale djelotvorne. To izravno podupire zahtjev GDPR-a za procesom redovitog testiranja i vrednovanja učinkovitosti sigurnosnih mjera. Ova faza uključuje provedbu internih revizija, pregled dnevničkih zapisa i upozorenja iz sustava praćenja te redovita preispitivanja sustava upravljanja informacijskom sigurnošću od strane uprave radi procjene učinkovitosti ISMS-a. Sve utvrđene nesukladnosti ili prilike za poboljšanje vraćaju se u proces procjene rizika i obrade rizika, čime se uspostavlja ciklus kontinuiranog poboljšanja.

To kontinuirano upravljanje obuhvaća i lanac opskrbe. Prema Article 28 GDPR-a, odgovorni ste osigurati da svi vanjski izvršitelji obrade koje angažirate pružaju dostatna jamstva vlastite sigurnosti. Kontrole odnosa s dobavljačima u ISO 27001 (5.19 do 5.22) pružaju okvir za upravljanje time, od dubinske analize dobavljača i ugovornih odredbi do kontinuiranog praćenja njihove učinkovitosti.

• Provodite interne revizije: Redovito pregledavajte svoj ISMS u odnosu na zahtjeve ISO 27001 i vlastite politike kako biste identificirali praznine.
• Pratite sigurnosne događaje: Uvedite zapisivanje događaja i praćenje radi otkrivanja mogućih sigurnosnih incidenata i odgovora na njih.
• Upravljajte rizikom dobavljača: Pregledavajte sigurnosne prakse dobavljača i osigurajte da su ugovori o obradi podataka sklopljeni.
• Održavajte preispitivanja od strane uprave: Predstavite učinkovitost ISMS-a najvišem rukovodstvu radi osiguravanja stalne podrške i dodjele resursa.
• Potičite kontinuirano poboljšanje: Koristite nalaze revizija i pregleda za ažuriranje procjene rizika i poboljšanje kontrola.

Politike koje osiguravaju dosljednu provedbu

Dobro osmišljen ISMS oslanja se na jasne, dostupne i provedive politike koje namjere rukovodstva prevode u dosljednu operativnu praksu. Politike su ključna poveznica između strateških ciljeva sigurnosnog programa i svakodnevnih postupaka zaposlenika. Bez njih provedba kontrola postaje nedosljedna i ovisna o pojedincima, a ne o procesima. Za usklađenost s GDPR-om središnji dokument je Politika zaštite podataka i privatnosti.³ Ta politika visoke razine uspostavlja opredijeljenost organizacije za zaštitu osobnih podataka i opisuje temeljna načela koja vode postupanje s njima, poput zakonitosti, poštenosti, transparentnosti i minimizacije podataka. Ona postavlja osnovu za sve povezane sigurnosne postupke.

Ta temeljna politika ne stoji sama. Podupire je skup specifičnijih politika koje obrađuju pojedine rizike i područja kontrola utvrđena u procjeni rizika. Primjerice, kako biste ispunili snažne preporuke GDPR-a za šifriranje, potrebna vam je Politika kriptografskih kontrola⁴ koja definira obvezne zahtjeve za uporabu šifriranja radi zaštite podataka u mirovanju i u prijenosu. Slično tome, radi operativne provedbe načela minimizacije podataka i ugrađene zaštite podataka, Politika maskiranja podataka i pseudonimizacije pruža jasna pravila o tome kada i kako deidentificirati osobne podatke, osobito u neprodukcijskim okruženjima poput testiranja i razvoja. Zajedno, ti dokumenti čine koherentan okvir koji usmjerava ponašanje, pojednostavljuje osposobljavanje i pruža ključne dokaze za revizore.

Kontrolni popisi

Prije svakog popisa zadataka potreban je jasan kontekst i svrha. Ovi kontrolni popisi nisu samo niz stavki za označavanje; oni predstavljaju strukturirano putovanje. Faza “Izgradnja” odnosi se na postavljanje čvrstih temelja i osiguravanje da je ISMS od početka oblikovan imajući u vidu GDPR. Faza “Operativna primjena” usmjerena je na svakodnevne discipline i rutine koje sustav održavaju živim i djelotvornim. Naposljetku, faza “Provjera” znači odmak radi procjene učinkovitosti, učenja iz iskustva i osiguravanja da se sustav razvija u skladu s novim prijetnjama i izazovima.

Izgradnja: kako ISO/IEC 27001:2022 podržava usklađenost s GDPR-om od prvog dana

• Definirajte opseg ISMS-a tako da obuhvati svu obradu osobnih podataka.
• Formalno identificirajte GDPR i druge zakone o privatnosti kao pravne zahtjeve.
• Izradite i održavajte evidenciju aktivnosti obrade (RoPA) kao središnji registar imovine.
• Provedite procjenu rizika koja posebno vrednuje rizike za prava i slobode pojedinaca.
• Izradite plan obrade rizika koji odabrane kontrole iz Priloga A mapira na konkretne članke GDPR-a.
• Izradite nacrt i odobrite temeljnu politiku zaštite podataka i privatnosti.
• Razvijte posebne politike za ključna područja poput kontrole pristupa, kriptografije i upravljanja dobavljačima.
• Dovršite i odobrite izjavu o primjenjivosti, uz obrazloženje uključivanja svih kontrola relevantnih za GDPR.

Operativna primjena: održavanje svakodnevne usklađenosti s GDPR-om

• Osigurajte redovitu obuku o sigurnosnoj svijesti i privatnosti za sve zaposlenike.
• Primjenjujte kontrole pristupa utemeljene na načelu najmanjih privilegija.
• Pratite sustave radi ranjivosti i pravodobno primjenjujte zakrpe.
• Osigurajte redovito izvođenje sigurnosnih kopija osobnih podataka i testirajte postupke vraćanja.
• Pregledavajte sistemske i sigurnosne dnevničke zapise radi znakova anomalnih aktivnosti.
• Provedite dubinsku analizu dobavljača za sve nove vanjske dobavljače koji će obrađivati osobne podatke.
• Osigurajte da su ugovori o obradi podataka (DPA) potpisani sa svim relevantnim dobavljačima.
• Slijedite plan odgovora na incidente za svaku moguću povredu osobnih podataka.

Provjera: revizija i poboljšanje kontrola

• Planirajte i provodite redovite interne revizije ISMS-a u odnosu na zahtjeve ISO 27001 i GDPR-a.
• Provodite periodične preglede sigurnosne usklađenosti dobavljača.
• Testirajte plan odgovora na incidente i plan neprekidnosti poslovanja najmanje jednom godišnje.
• Održavajte formalna preispitivanja od strane uprave radi rasprave o učinkovitosti ISMS-a, rezultatima revizija i rizicima.
• Pregledavajte i ažurirajte procjenu rizika kao odgovor na značajne promjene ili incidente.
• Prikupljajte i analizirajte metrike djelotvornosti kontrola (npr. vrijeme zakrpavanja, vrijeme odgovora na incident).
• Ažurirajte politike i postupke na temelju nalaza revizije i naučenih lekcija.

Česte zamke

Integracija ISO 27001 i GDPR-a može biti zahtjevna, a nekoliko čestih pogrešaka može potkopati napore malog ili srednjeg poduzeća. Svijest o tim zamkama prvi je korak u njihovu izbjegavanju. To nisu teorijski problemi; riječ je o praktičnim propustima koje viđamo u praksi, a koji dovode do revizijskih nesukladnosti, sigurnosnih praznina i regulatornog rizika. Njihovo rješavanje zahtijeva pragmatičan i cjelovit pogled na usklađenost kao na kontinuiranu poslovnu funkciju, a ne jednokratan projekt.

• Vođenje dvaju odvojenih projekata: Najčešća je pogreška tretirati implementaciju ISO 27001 i usklađenost s GDPR-om kao odvojene radne tokove. To dovodi do dupliciranja napora, proturječne dokumentacije i programa usklađenosti koji je dvostruko skuplji, a upola manje učinkovit.
• “Zaboravljanje” ugrađene zaštite podataka: Mnoge organizacije najprije izgrade sustave i procese, a zatim pokušavaju naknadno primijeniti kontrole privatnosti. I GDPR i ISO 27001 zahtijevaju da se sigurnost razmatra od samog početka. Naknadno dodavanje privatnosti uvijek je teže i manje učinkovito.
• ISMS kao “papirnati sustav”: Postizanje certifikacije početak je, a ne kraj. Neka poduzeća izrade savršen skup dokumenata za revizora, a zatim ih ostave da skupljaju prašinu. ISMS koji se aktivno ne koristi, ne prati i ne poboljšava ne pruža stvarnu zaštitu i past će na prvoj nadzornoj reviziji.
• Zanemarivanje rizika oblaka i dobavljača: Pretpostavka da je pružatelj usluga u oblaku automatski usklađen s GDPR-om opasna je pogreška. Vi, kao voditelj obrade, ostajete odgovorni. Neprovođenje dubinske analize dobavljača, nepotpisivanje DPA-a i izostanak praćenja dobavljača izravno krše Article 28 GDPR-a.
• Tretiranje izjave o primjenjivosti kao popisa želja: Izjava o primjenjivosti (SoA) mora odražavati stvarno stanje. Navođenje da je kontrola provedena kada nije, ili je provedena samo djelomično, predstavlja veliku nesukladnost. Dokument mora biti točan prikaz vašeg kontrolnog okruženja, potkrijepljen dokazima.

Sljedeći koraci

Spremni ste izgraditi ISMS koji sustavno osigurava usklađenost s GDPR-om? Naši paketi alata pružaju politike, postupke i smjernice potrebne za učinkovitu provedbu.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Reference