8 • boletim ABNT | Set/Out 2019 www.abnt.org.br

<<< Artigo >>>

Vem aí a ABNT NBR ISO/IEC 27701

por Ariosto Farias Jr.

Está previsto para o dia 09 de dezembro o lançamento da nova nor-ma ABNT NBR ISO/IEC 27701 – Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para ges-tão da privacidade da informação – Requisitos e diretrizes. Elaborada no âmbito do Comitê Brasileiro de Computadores Processamento de Dados (ABNT/CB-021), a norma tem características especiais.

<<< Artigo >>>

www.abnt.org.br Set/Out 2019 | boletim ABNT • 9

Dados Pessoais (LGPD), que entra-rá em vigor em agosto de 2020”, informa Ariosto Farias Jr., coor-denador da Comissão de Estudo CE-021.000.027, espelho no Brasil do Comitê ISO/IEC JTC 1/SC 27, focado em segurança da informa-ção, ciber segurança e proteção da privacidade.

Elaborada no âmbito do Comi-tê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-021), a norma é extensão de outros documentos internacionais já adotados no Brasil: a ABNT NBR ISO/IEC 27001:2013 -Tecno-logia da informação — Técnicas de segurança — Sistemas de ges-tão da segurança da informação — Requisitos e a ABNT NBR ISO 27002:2013 - Tecnologia da infor-mação — Técnicas de segurança — Código de prática para contro-les de segurança da informação.

A nova Norma ABNT NBR ISO/IEC 27701 sobre gestão da privacidade da informação, pre-vista para ser lançada no dia 09 de dezembro de 2019 enquadra-se, perfeitamente, dentro do conceito MDS-Market Driven Standard, ou seja, é uma norma que representa os anseios da sociedade, em de-corrência do GDPR-General Data Protection Regulation da União Eu-ropeia, como também da nossa LGPD-Lei Geral de Proteção de Da-dos Pessoais, que entrará em vigor em agosto de 2020.

A ABNT NBR ISO/IEC 27701 é uma extensão das Normas ISO já adotadas pela ABNT: a ABNT NBR ISO/IEC 27001:Sistema de Ges-tão da Segurança da informação--Requisitos e a ABNT NBR ISO 27002:Código de prática para con-

troles de segurança da informação. A ABNT NBR ISO/IEC 27701-

Técnicas de segurança: Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação:Requisitos e diretri-zes, é parte integrante do chamado “Sector-Specific Application of ISO/IEC 27001 – Requirements”, que são normas voltadas para aplicações específicas em determinados seto-res, como é o caso da Proteção de Dados Pessoais, e que deve aten-der aos requisitos estabelecidos na ISO/IEC 27009:2016, quanto aos controles adicionais, além dos con-troles da própria ABNT NBR ISO/IEC 27001, incluindo o seu Anexo A. Estes requisitos adicionais ou refinados não podem estar em con-flito com os próprios requisitos da ABNT NBR ISO/IEC 27001.

A ISO/IEC 27009 é uma Norma da Série ISO/IEC 27000, aplicável em situações que envolvam a pro-dução de normas de setores especí-ficos, que se relacionem com a ISO/IEC 27001, como é o caso da ABNT NBR ISO/IEC 27701.

A ABNT NBR ISO/IEC 27701 tem foco nos requisitos específicos de um Sistema de Gestão da Pri-vacidade da Informação, que está baseado na aderência e no com-pliance com os requisitos tanto da própria ABNT NBR ISO/IEC 27701 como da ABNT NBR ISO/IEC 27001, e leva em consideração a proteção da privacidade dos titulares de DP que possam ser potencialmente afetados pelo tratamento dos seus Dados Pessoais, atividade realizada pelos operadores de DP.

O uso comercial e o valor crescente dos Dados Pessoais-DP

“Enquadra-se, perfeitamente, no conceito Market Driven Stan-dard (MDS), ou seja, é uma norma que representa os anseios da socie-dade, em decorrência do Regula-mento Geral de Proteção de Dados (General Data Protection Regulation) da União Europeia, como também da nossa Lei Geral de Proteção de

10 • boletim ABNT | Set/Out 2019 www.abnt.org.br

<<< Artigo >>>

e o seu compartilhamento en-tre diferentes jurisdições, aliado à complexidade cada vez maior dos sistemas de tecnologia da in-formação e comunicação, podem tornar difícil para uma organiza-ção assegurar a privacidade des-ses dados pessoais, para que este-jam em compliance com as várias leis aplicáveis.

Por meio de controles e medidas de prevenção, a ABNT NBR ISO/IEC 27701 poderá ajudar as organi-zações a tratar com as questões de privacidade, evitando casos de uso indevido dos dados pessoais, atra-vés da implementação, operação, manutenção e melhoria contínua de um Sistema de Gestão da Priva-cidade da Informação (SGPI), cujo objetivo maior é a proteção dos da-dos pessoais.

São considerados como dados pessoais, qualquer informação que possa ser usada para estabelecer um vínculo entre a informação e a pessoa natural, ao qual essa infor-mação se relaciona, ou que pode estar, direta ou indiretamente, vin-culada a uma pessoa natural.

Titular de DP, controlador de DP e operador de DP são os ele-mentos básicos no tratamento de DP. O seu relacionamento dentro de uma estrutura guiada por prin-cípios como segurança, consenti-mento e responsabilização, cria as condições para que a privacidade seja estabelecida de forma consis-tente com os requisitos apresen-tados pelas legislações de proteção de dados de cada país e, ao mesmo tempo, de acordo com um padrão reconhecido internacionalmente.

A implementação dos princí-pios da ISO IEC 29100, a forma de

colocar sua estrutura em operação dentro de uma organização, são os controles do SGPI da norma NBR ISO IEC 27701

2.A estrutura da ABNT NBR ISO/IEC 27701

A ABNT NBR ISO/IEC 27701 apresenta a seguinte estrutura: A Seção 1 é o escopo, a Seção 2 os ter-mos e definições, a Seção 3 os sím-bolos e termos abreviados e a Seção 4 os elementos básicos da estrutura de privacidade.

A Seção 5 apresenta todos os requisitos da ABNT NBR ISO/IEC 27001, da Seção 4 até a Se-ção 10 que a organização tem que implementar, com requisi-tos adicionais específicos de um SGPI-Sistema de Gestão da Pri-vacidade da Informação e outras informações relacionadas com os requisitos de segurança da infor-mação da ABNT NBR ISO/IEC 27001, apropriados para uma or-ganização atuando seja como um controlador de DP ou como um operador de DP.

A Seção 6 apresenta diretrizes específicas de um SGPI e outras informações relacionadas com os controles de segurança da informa-ção contidos na ABNT NBR ISO/IEC 27002 e diretrizes específicas de um SGPI para uma organização que esteja atuando ou como um controlador de DP ou como um operador de DP.

A Seção 7 apresenta diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os controladores de DP, e a Seção 8 fornece diretrizes adicionais contidas na ABNT NBR ISO/IEC 27002 para os operadores de DP.

O Anexo A que é normativo, portanto são requisitos, apresen-ta os controles e objetivos de con-troles específicos de um SGPI para uma organização atuando como um controlador de DP (indepen-dentemente se ela usa ou não um operador de DP, e se está atuando ou não, conjuntamente, com outro controlador de DP).

O Anexo B que também é nor-mativo, apresenta os controles e objetivos de controles específicos para uma organização atuando como um operador de DP (inde-pendentemente se ela subcontrata ou não, o tratamento de DP para um outro operador de DP, e con-siderando aqueles tratamentos de DP como subcontratados para os operadores de DP).

O Anexo C apresenta a relação da ABNT NBR ISO/IEC 27701 com a ABNT NBR ISO/IEC 29100, que é uma norma que fornece uma es-trutura de privacidade, as termi-nologias comuns relativas à pri-vacidade, define os atores e seus papéis quanto ao tratamento dos dados pessoais (DP) e descreve orientações sobre a salvaguarda da privacidade.

O Anexo D apresenta uma re-lação dos controles da ABNT NBR ISO/IEC 27701 com o Regulamento da União Européia sobre a Proteção de Dados.

O Anexo E apresenta a relação da ABNT NBR ISO/IEC 27701 com a ABNT NBR ISO/IEC 27018, que é uma norma para proteção de dados pessoais-DP, em nuvens pú-blicas que atuam como operadores de DP, como também com a ISO IEC 29151.

www.abnt.org.br Set/Out 2019 | boletim ABNT • 11

O Anexo F explica como a ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 são aplicadas à proteção da privacidade da informação, quan-do do tratamento de dados pessoais.

3.As normas ISO e ABNT que apoiam a LGPD

Foi decisão da Comissão de Estudo de Técnicas de Segurança (CE-021:000.027) do Comitê Bra-sileiro de Computadores e Proces-samento de Dados (ABNT/CB-021), espelho no Brasil do ISO/IEC JTC 1/SC 27, adotar também as normas que apoiam a ABNT NBR ISO/IEC 27701.

Esta Comissão vem trabalhan-do na tradução e/ou atualização das seguintes normas, que são consideradas como necessárias para um melhor entendimento da ABNT NBR ISO/IEC 27701:• ISO/IEC 29100: Informa-

tion technology – Security techniques: Privacy Frame-work

• ISO/IEC29134:Informationtechnology-Security tech-niques: Guidelines for pri-vacy impact assessment

• ISO/IEC29151:InformationTechnology – Security Tech-niques – Code of Practice for Personally Identifiable In-formation Protection

• ABNTNBRISO/IEC27018:Tecnologia da informação – Técnicas de segurança – Có-digo de prática para proteção de informações de identifica-ção pessoal (PII) em nuvens públicas que atuam como processadores de PII

• ABNTNBR16167:Seguran-

ça da informação: Diretrizes para rotulação, classificação e tratamento da informação

4.O processo de acreditação da ABNT NBR ISO/IEC 27701

O recente posicionamento do IAF-International Accreditation Fo-rum, órgão responsável pelo proces-so de acreditação das normas ISO de sistemas de gestão, em resposta a uma solicitação do Comitê ISO/IEC JTC 1/ SC 27, foi de que uma certificação da ISO/IEC 27701 por um Órgão de Certificação de Siste-mas de Gestão Acreditado, irá gerar uma maior confiança no mercado.

Considerando que a ISO/IEC 27701 é, basicamente, a ISO/IEC 27001 com um maior detalhamen-to em certos requisitos focados na privacidade, não será necessário o desenvolvimento de uma outra norma, o que significa que o pro-cesso de acreditação poderá ocorrer com base no atual programa de cer-tificação da ISO/IEC 27001, que está baseado na ISO/IEC 27006.

Sendo assim, não haverá a ne-cessidade de se criar um documento separado, porque não existirá muita diferença entre a auditoria da ISO/IEC 27001 e a auditoria da ISO/IEC 27701 lembrando, claro, de que devem ser observados os requisitos específicos da ISO/IEC 27701 volta-dos para o processo de certificação.

Ariosto Farias Jr: Coordenador da Comissão da CE-021.000.027, espelho no Brasil do Comi-tê ISO/IEC JTC 1/SC 27 e Líder da Delega-ção do Brasil nas reuniões do ISO/IEC JTC 1/SC 27, Comitê responsável pela elaboração das normas ISO 27001, ISO 27002, ISO 27701 e demais normas que apoiam a ISO 27701.

Não haverá a necessidade de se criar um

documento separado, porque não existirá muita diferença entre a auditoria da ISO/

IEC 27001 e a auditoria da ISO/

IEC 27701