La ISO/IEC 27701:2019: la lettura della norma sulla gestione della privacy attraverso le ricorrenze
La norma ISO/IEC 27701:2019 "Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines" , presenta una struttura particolare, in corso di revisione a seguito della nuova versione della ISO/IEC 27002:2022 "Information security, cybersecurity and privacy protection — Information security controls", pubblicata a febbraio 2022, che ha riorganizzato i controlli sulla sicurezza delle informazioni. L’obiettivo di questo articolo è quello di presentare una serie di ricorrenze presenti nello standard dedicato alla protezione dei dati personali.
(Nella foto: Monica Perego, docente del Corso ISO/IEC 27701:2019 e Sistemi di Gestione Privacy)
L’obiettivo di questo articolo è quello di presentare una serie di ricorrenze presenti nello standard dedicato alla protezione dei dati personali.
Le principali ricorrenze della ISO/IEC 27701:2022 - Affrontando la norma emergono subito alcune ricorrenze sulle quali vale la pena soffermarsi:
- la documentazione nelle sue varie declinazioni;
- lo scadenzario;
- gli indicatori di processo.
La documentazione - Nella ISO/IEC 27701:2019 nelle sezioni 6, 7 e 8 - che integrano i controlli e le linee guida - sono riportati molti riferimenti all’aspetto documentale; in più punti infatti lo standard richiede che vengano predisposti documenti descrittivi a supporto delle attività svolte. I documenti descrittivi, che possono essere organizzati anche secondo un Modello Organizzativo Privacy – MOP, sono da considerare preziose misure di accountability.
I termini usati nello standard, riferibili nel senso più ampio alle “informazioni documentate”, non sono sempre riportati con un’esposizione omogenea. Si citano i seguenti termini – libera traduzione dell’autrice: processo, informazioni documentate, procedura, guida, revisioni tecniche, politiche, registri, scritto, informazioni aggiornate, procedure e/o meccanismi, descrivere, piani di conservazione, istruzioni generali, misure tecniche, requisiti specificati in un contratto.
Vengono citate anche informazioni documentate riconducibili ai documenti che “contengono dati” facendo ricorso a termini quali: record con informazioni, registrazione.
Tale mancanza di uniformità di certo non agevola la comprensione dei requisiti documentali richiesti dallo standard, considerando anche che la richiesta di documentazione descrittiva è molto ampia. La ISO/IEC 27701 infatti, proprio attraverso la richiesta di un apparato documentale esteso, permette di:
- definire e condividere modalità di lavoro e quindi misure di accountability;
- disporre di criteri che risultano indispensabili per l’esecuzione di audit sul sistema di gestione dei dati personali.
I riferimenti alle informazioni documentate specifici nella ISO/IEC 27701:2019 - Nel requisito ISO27701:2019 5.4.1.2 (che corrisponde al requisito 6.1.2 “Valutazione del rischio relativo alla sicurezza delle informazioni” si fa riferimento esplicito alla “Applicazione di un processo per la valutazione del rischio sulla sicurezza delle informazioni…”.
I controlli/linee guida/indicazioni dello standard, in cui tali termini sono citati sono 47 e, nello specifico, i seguenti: 6.5.3.2, 6.5.3.3, 6.6.2.1, 6.6.2.2, 6.6.4.2, 6.9.3.1, 6.9.4.1, 6.9.4.2, 6.10.2.1, 6.10.2.4, 6.11.2.1, 6.13.1.1, 6.13.1.5, 6.15.1.3, 6.15.2.3, 7.2.1, 7.2.3, 7.2.4, 7.2.5, 7.2.6, 7.2.7, 7.3.1, 7.3.2, 7.3.6, 7.3.7, 7.3.9, 7.4.2, 7.4.3, 7.4.4, 7.4.6, 7.4.7, 7.4.8, 7.5.1, 7.5.2, 7.5.3, 7.5.4, 8.2.2, 8.2.3, 8.2.6, 8.3.1, 8.4.1, 8.4.2, 8.4.3, 8.5.1, 8.5.4, 8.5.7, 8.5.8.
Lo scadenziario - In diversi punti la ISO 27701 fa riferimento ad azioni che devono essere svolte ad intervalli periodici; tale attività è tipica di un sistema di gestione che prevede la pianificazione di misure che, secondo un determinato calendario - scadenziario, devono essere definite, avviate e monitorate. La pianificazione riguarda requisiti come ad esempio:
- il Riesame di Direzione - requisito 9.3;
- le azioni per il raggiungimento della competenza delle risorse - requisito 7.2;
- le attività di audit - requisito 9.2.
Anche lo scadenziario è una misura importante, non fosse altro per monitorare la verifica di conformità legislativa.
I riferimenti allo scadenziario specifici nella ISO/IEC 27701:2019 - I controlli/linee guida/indicazioni dello standard in cui, anche in modo indiretto si fa riferimento allo scadenziario, sono 24 e, nello specifico, i seguenti: 6.2.1.2., 6.4.2.2, 6.5.1.3, 6.6.2.2, 6.9.3.1, 6.9.4.1, 6.12.1.2, 6.13.1.5, 6.15.1.3, 6.15.2.1, 6.15.2.3, 7.2.1, 7.2.6, 7.2.8, 7.3.2, 7.3.7, 7.4.6, 7.4.7, 7.4.8, 7.5.1, 8.2.5, 8.4.1, 8.4.3, 8.5.5.
Indicatori di processo - Per quanto riguarda gli indicatori di processo, la ISO/IEC 27701:2019 presenta, in diversi controlli, dei riferimenti agli indicatori di processo, che devono, come minimo, essere oggetto di monitoraggio.
E’ noto che gli indicatori di processo servono a valutare l’efficacia e l’efficienza delle misure poste in atto; grazie a ciò è possibile monitorare la capacità dell’Organizzazione di sfruttare le risorse disponibili per assicurare la sicurezza dei dati personali.
Le tematiche relative alla protezione dei dati sembrerebbero non prestarsi in modo mirato a misurazioni, ma nella pratica non è così. Già solo scorrendo lo standard si possono identificare tutta una serie di controlli che richiedono, o invitano a richiedere, indicatori mirati. Tali indicatori vanno identificati, misurati e monitorati sulla base delle specifiche esigenze dell’Organizzazione e del contesto di riferimento.
Le stesse parti interessate (da identificare in accordo al requisito 4.2 della ISO/IEC 27001:2013) devono avere a disposizione dati per poter prendere le decisioni più idonee (ad esempio tra alternative di investimento) e lo stesso requisito 9.1 “Monitoraggio, misurazione, analisi e valutazione” richiede il monitoraggio di indicatori. Ovviamente, oltre a quelli proposti dallo standard, le Organizzazioni possono, anzi, più propriamente, devono, individuare altri indicatori calibrati sul contesto specifico. Anche in questo caso si tratta di porre in atto una misura di accountability.