[Guia Completo] Tudo sobre a ISO/IEC 27701:2019

O que é a ISO/IEC 27701?

A ISO/IEC 27701 – Sistema de Gestão de Informação Privada (Requisitos e Diretrizes) é uma norma de extensão da ISO/IEC 27001 – Requisitos do Sistema de Gestão de Segurança da Informação. Vamos detalhar essa explicação para você.

Ser uma norma de extensão significa que ela é implementada com a norma ISO/IEC 27001, sem isso, não há valia de seus requisitos para fins de certificação. Ela também é extensão da ISO/IEC 27002, no entanto, está é uma norma de diretrizes, ou seja, não é certificável, apresenta sugestões de gestão de controles de segurança da informação.

Ao adotar a ISO/IEC 27701 a empresa demonstra um compromisso com a privacidade e segurança da informação, tema importante visto ao crescente vazamento de informações das organizações.

Leia aqui o Guia Completo sobre a ISO 27001:2022.

A ISO/IEC 27701 atende a LGPD e a GDPR?

Não totalmente. A norma ISO/IEC 27701 pode ajudar a atender à Lei Geral de Proteção de Dados (LGPD) e ao Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia. No entanto, ela não foi desenvolvida com esse propósito específico e, portanto, não cobre todos os aspectos legislativos.

A ISO/IEC 27701 foi desenvolvida com o objetivo de fornecer uma estrutura para a gestão da privacidade da informação, porém você pode adapta-la para atender as leis.

Quais os benefícios da ISO/IEC 27701?

A implementação da ISO/IEC 27701 traz diversos benefícios para as organizações, dentre eles:

• Melhoria na Gestão da Privacidade: Por meio de sua estrutura, a ISO/IEC 27701 objetiva estabelecer, implementar, manter e melhorar continuamente um sistema de privacidade da informação, ajudando as organizações nesse gerenciamento e redução dos riscos associados à violação de dados.
• Conformidade com Regulamentos de Privacidade: Conforme mencionado anteriormente, apesar de não atender completamente o que é pedido pela LGPD e GDPR, a norma oferece um bom framework para a maioria do que é solicitado pela legislação, facilitando a implementação para as organizações que já a possuem, situação crucial para as empresas que operam em múltiplas jurisdições.
• Confiança dos Stakeholders: Com o aumento da preocupação com possíveis vazamentos de informações e dados, é imprescindível que as organizações demonstrem ações efetivas para a redução desse risco, a norma ISO/IEC 27701 é um excelente recurso para esse objetivo, tanto para os stakeholders que se referem a contratações, como a sociedade.

Se interessou? Fale com um especialista da QMS para te falar mais sobre essa certificação.

Quem pode implementar a ISO/IEC 27701?

Como a norma ISO/IEC 27701 é uma norma de extensão, aqueles que objetivam sua implementação devem também estar familiarizados com a ISO/IEC 27001. Além disso, ambas normas exigirão muito conhecimento específico de TI para a implementação.

Temos como sugestão que quem deseja realizar a implementação da norma tenha conhecimento prévio de TI e faça um curso de Auditor Interno ou Auditor Líder ISO/IEC 27001 e ISO/IEC 27701 ou, faça esses cursos e posteriormente faça um curso básico de TI. Nessa segunda situação, será necessário nas auditorias contar com o apoio de um especialista da empresa para ajudar na implementação em si e o auditor será o guia da norma.

É muito comum no mercado também que o responsável pela norma ISO/IEC 27701 realize a implementação da LGPD, você poderá realizar uma formação para o Entendimento da LGPD de imediato ou posteriormente para o atendimento do cliente.

A ISO/IEC 27701 é certificável?

Por ser uma norma de extensão, a ISO/IEC 27701 não pode ser certificada de forma isolada. Para a certificação, é necessário incluir o processo da ISO/IEC 27001.  Sendo assim, a mesma certificadora deverá cuidar da certificação das 2 normas, não tem como manter a certificação ISO/IEC 27001 e pedir para que outra faça o processo da ISO/IEC 27701.

Se você tiver dúvida, entre em contato com a QMS para que expliquemos com mais detalhes.

Como é o processo de certificação da ISO/IEC 27701?

Por ser uma norma de extensão da ISO/IEC 27001, o processo de certificação da ISO/IEC 27701 se difere um pouco das demais.

1. Decida de sua empresa começara apenas com a ISO/IEC 27001 e depois implementará a ISO/IEC 27701 ou se começará o processo das duas ao mesmo tempo

Aqui na QMS sempre indicamos que se você sabe que quer certificar em mais de 1 norma, implemente todas de uma vez de forma integrada, no começo pode parecer mais trabalhoso, mas é mais fácil do que realizar as adaptações no futuro.

2. Se sua empresa já possui a ISO/IEC 27001 implementada, faça uma análise de Gap

A análise de Gap é essencial para ver o que falta no seu sistema de gestão já implementado para atender aos requisitos da ISO/IEC 27701. Com a identificação das lacunas, a empresa poderá apenas fazer as alterações e implementações necessárias. A QMS presta o serviço de GAP, peça um orçamento sem compromisso aqui.

3. Defina se contratará uma consultoria

Caso sua organização não tenha nenhuma norma implementada, contratar uma consultoria trará maior confiança, visto que esse terceiro agrega experiência de diversas outras organizações. Mas a contratação de uma consultoria não é obrigatória, você pode optar por deixar a reponsabilidade da implementação nas mãos de um(a) auditor(a) interno ou líder dentro da sua empresa. A QMS não realiza a implementação, pois é conflito de interesse como um organismo certificador, no entanto, podemos indicar alguns parceiros de mercado, fale com nossos especialistas.

4. Faça auditoria interna

A auditoria interna faz parte dos sistemas de gestão, mas é sempre importante enfatizar sua necessidade. A auditoria interna é o processo que o implementador simula uma auditoria de organismo de certificação, em que avalia todos os processos e verifica se está em conformidade com todos os requisitos da ISO/IEC 27001 e ISO/IEC 27701.

5. Contrate uma certificadora para a auditoria de certificação

Visto que seu sistema de gestão está em ordem, é chegado o momento de buscar a certificadora ISO. É importante lembrar que a certificadora cuidará da certificação das duas normas: ISO/IEC 27001 e ISO/IEC 27701 de maneira integrada, como a QMS por exemplo.

A certificadora enviará um ou mais auditores para verificar de forma criteriosa se a organização está atendendo com os requisitos normativos, portanto, poderá ser certificada.

Após certificada, anualmente a empresa passará por processo de auditoria para avaliar a continuidade e melhoria do sistema de gestão.

Verifique com a QMS como funcionaria a certificação da sua empresa, peça um orçamento e uma conversa sem compromisso.

Como escolher a certificadora ISO/IEC 27701?

A escolha da certificadora é um processo importante para a valorização do seu trabalho de implementação das normas, pois é necessário saber se a certificação de fato é válida e reconhecida internacionalmente.

Ao contactar uma certificadora, você deve questionar sobre qual o acreditador da certificadora e se as normas ISO/IEC 27001 e ISO/IEC 27701 estão no escopo de acreditação dela. Como você validará isso?

Você pode conferir os acreditadores reconhecidos internacionalmente no site do IAF.

Achou o acreditador mencionado pela certificadora? Verifique no site deles se conta o nome da sua certificadora.

Por fim, peça a comprovação da acreditação da norma para a certificadora.

Esperamos ter ajudado nessa jornada de entendimento da ISO/IEC 27701. Caso tenha dúvidas adicionais, fique à disposição para entrar em contato com a QMS 😉