Proteger la información es cada vez más importante para las empresas. Por ello, en los últimos años están surgiendo nuevas regulaciones internacionales relativas a la seguridad de la información. Entre ellas, se encuentran la norma ISO 27701 y el Reglamento General de Protección de Datos (RGPD).

Cabe tener en cuenta que la norma ISO 27001 es el estándar global para la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI). En el ámbito de la Ciberseguridad, estas directrices son fundamentales. Si bien, algunas organizaciones aprovechan la implementación de la norma como base para incluir otros esquemas normativos. En este contexto es en el que entran en juego la ISO 27701 y el propio RGPD.

Integración de la ISO 27001 y el RGPD

Como hemos visto, la puesta en marcha de un sistema de gestión según ISO 27001 puede complementarse con la integración de otras medidas de seguridad de la información. Por ello, tiene sentido integrarla con el RGPD. Este reglamento se publicó en el 2016, y también está relacionado con la información, aunque en este caso, se centra en la información de carácter personal. En el caso concreto de España, el reglamento se desarrolló mediante la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Para integrar ambas normas, surge en el año 2019 la ISO/IEC 27701. Este estándar recoge básicamente la estructura de la ISO 27001, y los requerimientos esenciales del RGPD. Esto implica incluir los 114 controles que posee el Anexo A de la ISO 27001 y que son básicos para poner en marcha un sistema de protección de la información en una empresa.

Por otro lado, la ISO 27701 también integra las buenas prácticas de la ISO 27002. De esta forma, proporciona información adicional para ayudar a las organizaciones a saber cómo implementar cada control, proporcionando en cada caso, una pequeña guía.

Certificación ISO 27701

Otra de las ventajas de la ISO/IEC 27701:2019 es que es un estándar certificable. Y lo es porque tiene la base del modelo de mejora continua, y el sistema de gestión de la ISO/IEC 27001. No obstante, su estructura es diferente a la de otros sistemas de gestión. La norma se compone de ocho puntos, que incluyen guías para la implementación de controles relacionados con los responsables del tratamiento (controllers) o con los encargados (processors) del tratamiento de los datos personales.

Por otra parte, la ISO 27701 cuenta con varios anexos con información adicional. En ellos, se especifica, por ejemplo, cómo mapear este estándar con otros con los que guarda relación, como ISO 29100, ISO 29151 (de buenas prácticas relativas a la protección de datos personales), o ISO 27018 (buenas prácticas relativas a la protección de datos personales en la nube).

Máster en Ciberseguridad y Gestión de Riesgos Digitales

Para encontrar un curso ISO 27701, o que al menos aborde esta normativa, es recomendable estudiar un Máster en Ciberseguridad al completo. En este sentido, EALDE Business School cuenta con un programa de máster online innovador. La titulación se centra en la gestión de riesgos digitales relacionadas con las tecnologías emergentes. Así, es ideal para auditores ISO 27001 que quieran especializarse en otras herramientas de protección de la información.

Puedes solicitar más información sobre el Máster en Ciberseguridad haciendo clic en el siguiente apartado y rellenando el formulario:

 Amplía información sobre las normas de seguridad de la información en España en el siguiente vídeo: