ISO/IEC 27701:2019: Gestione delle informazioni sulla privacy
Panoramica di ISO/IEC 27701:2019
ISO/IEC 27701:2019 è progettato per integrare gli standard ISO/IEC 27001 e ISO/IEC 27002 per la gestione della sicurezza delle informazioni. Specifica i requisiti e fornisce indicazioni per un sistema PIMS (Privacy Information Management System), rendendo l'implementazione di PIMS un'aggiunta utile alla conformità per molte organizzazioni che si basano su ISO/IEC 27001, oltre a creare un punto di integrazione solido per allineare i controlli di sicurezza e privacy. ISO/IEC 27701 esegue questa integrazione tramite un framework per la gestione dei dati personali che possono essere usati sia dai titolari del trattamento dei dati che dai responsabili del trattamento dei dati, una distinzione chiave per la conformità al Regolamento generale sulla protezione dei dati (GDPR).
Inoltre, qualsiasi controllo ISO/IEC 27701 richiede all'organizzazione di dichiarare leggi/normative applicabili nei criteri di controllo, il che significa che lo standard può essere mappato a molti dei requisiti previsti dal GDPR, dal California Consumer Privacy Act (CCPA) o da altre leggi. Dopo il mapping, i controlli operativi ISO/IEC 27701 vengono implementati dai professionisti della privacy. Una terza parte interna o esterna, accreditata per la valutazione, valuta quindi la conformità dell'organizzazione ai requisiti dello standard e rilascia un certificato a tale scopo. Questo framework universale consente alle organizzazioni di implementare in modo efficiente la conformità ai nuovi requisiti normativi. Microsoft sponsorizza il progetto di mapping della protezione dei dati open source per offrire una comprensione comune della relazione tra ISO/IEC 27701 e varie normative sulla protezione dei dati.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Microsoft Servizi online nell'ambito sono visualizzati nel certificato AZURE ISO/IEC 27701:
- Azure (per informazioni dettagliate, vedere l'offerta Azure ISO/IEC 27701)
- Dynamics 365 (per informazioni dettagliate, vedere l'offerta Azure ISO/IEC 27701)
- Microsoft Defender XDR (non nell'ambito di Azure per enti pubblici)
- Microsoft Bing per il commercio (non nell'ambito di Azure per enti pubblici)
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft Managed Desktop (non incluso nell'ambito per Azure per enti pubblici)
- Microsoft Stream
- Microsoft Threat Experts (non incluso nell'ambito per Azure per enti pubblici)
- Office 365, Office 365 U.S. Government e Office 365 U.S. Government Defense
- Power Apps
- Power Automate
- Power BI
- Power BI Embedded
- Power Virtual Agents (non incluso nell'ambito per Azure per enti pubblici)
- Stampa universale (non nell'ambito di Azure per enti pubblici)
- Windows 365
Azure, Dynamics 365 e ISO 27701
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure ISO 27701:2019.
Office 365 e ISO 27001
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Access Online, ID Microsoft Entra, Servizio comunicazioni di Azure, Compliance Manager, Customer Lockbox, Delve, Exchange Online Protection, Exchange Online, Forms, Griffin, Identity Manager, Lockbox (Torus), Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Customer Portal, Office 365 Microservizi (inclusi, a titolo esemplificativamente, Kaizala, ObjectStore, Sway, Servizio documenti di PowerPoint Online, Servizio annotazioni query, Sincronizzazione dati dell'istituto di istruzione, Sifone, Voce, StaffHub, Programma applicazioni eXtensible), Office 365 Security & Compliance Center, Office Online, Office Pro Plus, Infrastruttura di Office Services, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, Project Online, Crittografia dei servizi con chiave del cliente Microsoft Purview, SharePoint Online, Skype for Business, Stream |
GCC | MICROSOFT ENTRA ID, Servizio comunicazioni di Azure, Compliance Manager, Delve, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | ID Microsoft Entra, Servizio comunicazioni di Azure, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Controlli, report e certificati di Office 365
I servizi di supporto tecnico cloud e commerciale Microsoft vengono controllati una volta all'anno per il processo di certificazione per ISO/IEC 27701.
Domande frequenti
In che modo ISO/IEC 27701 contribuisce all'evoluzione dei requisiti normativi?
ISO/IEC 27701 include un allegato contenente i controlli operativi dello standard mappati per i requisiti rilevanti nel GDPR per titolari e responsabili. Questo mapping è solo un esempio di come le normative sulla privacy possono essere implementate rispetto al framework ISO. Man mano che i mapping con altre normative diventano disponibili e vengono convalidati, i controlli operativi dello standard possono essere trasferiti direttamente dalla revisione normativa all'implementazione. Questo framework universale consente alle organizzazioni di implementare in modo affidabile i requisiti normativi pertinenti.
In che modo ISO/IEC 27701 contribuisce ai costi di controllo?
con l'applicazione di maggiori normative sulla privacy nelle varie giurisdizioni, anche la necessità di fornire prove della conformità aumenterà. Tuttavia, i costi delle diverse certificazioni normative diventano proibitivi se ciascuna norma richiede un proprio controllo. Delineando un set di controlli operativi universali, ISO/IEC 27701 descrive anche un framework di conformità universale da controllare e potenzialmente certificare per più requisiti normativi.
È importante riconoscere che la creazione di una certificazione ufficiale GDPR richiede l'approvazione delle autorità di regolamentazione europee. Anche se l'allineamento tra ISO/IEC 27701 e GDPR è evidente, una certificazione ISO/IEC 27701 non deve essere presa come prova della conformità al GDPR o della certificazione ufficiale del GDPR fino a quando non vengono finalizzate le decisioni normative.
In che modo ISO/IEC 27701 aiuta con gli accordi commerciali che coinvolgono piI?
Gli accordi commerciali che prevedono la circolazione di informazioni personali possono richiedere la certificazione di conformità. Le organizzazioni moderne sono coinvolte in complessi trasferimenti di dati con un'ampia rete di partner aziendali (tra cui organizzazioni partner e co-titolari), responsabili con ruoli di provider di servizi cloud e responsabili secondari in qualità di fornitori che supportano tali responsabili. La mancata conformità alle normative in qualsiasi parte della rete potrebbe comportare problemi di conformità a catena nell'intera catena di fornitura. In questi casi, una verifica della conformità può essere più preziosa delle garanzie fornite dai termini contrattuali tra tali organizzazioni. Poiché l'economia globale stabilisce che la maggior parte di queste organizzazioni è distribuita in tutto il mondo, è pratico usare uno standard internazionale di ISO per gestire la conformità attraverso la rete.
Fare affidamento sulla conformità accresce l'importanza della certificazione per lo standard. Nonostante tale certificazione non sia necessaria a tutte le società e organizzazioni, la maggior parte di queste trarrà vantaggio dai partner e dai fornitori che invece la necessitano, in particolare se si tratta dell'elaborazione di dati sensibili o di un elevato volume di dati.
In che modo ISO/IEC 27701 si riferisce a ISO/IEC 27001?
ISO/IEC 27701 si basa su ISO/IEC 27001, uno degli standard internazionali più adottati per la gestione della sicurezza delle informazioni. Se l'organizzazione ha già familiarità con ISO/IEC 27001, è logico e più efficiente integrare i nuovi controlli sulla privacy forniti da ISO/IEC 27701. Questo approccio significa che l'implementazione e il controllo di entrambi saranno meno costosi e più facili da raggiungere. Punti chiave di ISO/IEC 27701 e ISO/IEC 27001:
- ISO/IEC 27001 è uno degli standard ISO più usati al mondo, con numerose aziende già certificate.
- ISO/IEC 27701 include nuovi controlli specifici del controller e del processore che consentono di colmare il divario tra privacy e sicurezza. Fornisce un punto di integrazione tra le due funzioni separate nelle organizzazioni.
- La privacy dipende dalla sicurezza. Analogamente, ISO/IEC 27701 dipende da ISO/IEC 27001 per la gestione della sicurezza. La certificazione per ISO/IEC 27701 deve essere ottenuta come estensione di una certificazione ISO/IEC 27001 e non può essere ottenuta in modo indipendente.
Cosa deve fare l'organizzazione con ISO/IEC 27701?
Indipendentemente dalle dimensioni dell'organizzazione e dal fatto che si tratti di un controller o di un responsabile del trattamento, l'organizzazione deve prendere in considerazione la possibilità di seguire la certificazione, per la propria organizzazione o richiederla a fornitori o fornitori in base ai requisiti aziendali. Questa situazione si applica soprattutto a processori, sub-responsabili del trattamento e co-titolari del trattamento che elaborano volumi sensibili o elevati di dati personali. L'organizzazione deve valutare le proprie esigenze aziendali per determinare se la certificazione per i propri prodotti e servizi è adatta.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.
Risorse
- ISO/IEC 27701:2019 (disponibile per l'acquisto)
- Video introduttivo ISO/IEC 27701
- Hub dei controlli comuni del framework di conformità Microsoft
- Criteri di accesso ai dati per servizi cloud aziendali e servizi tecnici Microsoft
- Condizioni di Microsoft Online Services
- Cloud Microsoft per enti pubblici
- Conformità in Microsoft Trust Center