Solutions OneTrust relatives à la norme ISO 27701

La norme ISO 27701 exige qu’une quantité importante de documentation soit créée, revue, mise à jour et correctement contrôlée pendant le cycle de vie du PIMS. Cette documentation est essentielle à l’efficacité et à l’amélioration continue du PIMS, ainsi qu’à l’obtention et au maintien de la certification. Utilisez le référentiel de documents dans OneTrust pour stocker et organiser la documentation dans un endroit central accessible à l’équipe responsable du PIMS et à d’autres personnes disposant du « besoin d’en connaître ».

La clause 5.7 exige que vous réalisiez des audits internes du système de management de la sécurité des informations par rapport à la norme ISO/IEC 27701 : 2019 (y compris l’ensemble de la clause 5 et les mesures de contrôle applicables des annexes A et B). De plus, la clause 5.7.3 prévoit des revues de la gestion du PIMS à des intervalles planifiés. Bénéficiez du modèle de la check-list d’audit OneTrust ISO 27701, un questionnaire entièrement personnalisable basé sur la norme ISO 27701, pour vous aider à mener des audits internes ou externes afin d’évaluer la maturité et l’efficacité globale du PIMS et de suivre les plans d’actions correctives. Au terme d’un audit, OneTrust vous permet de générer un rapport présentant une vue d’ensemble de vos réponses, commentaires et pièces jointes.

La clause 5.4 exige la création d’une méthodologie détaillée d’évaluation des risques comprenant des critères sur l’identification de différents niveaux de risque. La clause 5.6 exige ensuite la mise en œuvre de ces plans. Cette mise en œuvre passe par exemple par le suivi de la méthodologie d’évaluation des risques lors de la réalisation des évaluations des risques, l’établissement de plans d’atténuation des risques et leur suivi jusqu’à leur complétion, le calcul du risque résiduel et la documentation rigoureuse de toutes ces étapes. Utilisez la solution OneTrust d’automatisation des évaluations pour identifier et évaluer les risques encourus par les personnes suite au traitement de leurs données personnelles et pour élaborer et suivre des plans d’atténuation des risques.

La clause 6.13.1.1 indique que le processus de gestion des incidents d’une organisation doit comporter les responsabilités et les processus liés à l’identification et à l’enregistrement des violations du traitement des données à caractère personnel. Facilitez le signalement autonome des incidents et des lacunes de sécurité, tenez des registres des incidents et des violations, évaluez-les par rapport aux obligations de notification et analysez le risque global en établissant des liens avec vos registres de données, de traitements, de ressources et de fournisseurs. OneTrust peut être utilisé pour mettre en œuvre des politiques et des procédures de gestion des incidents.

Selon la norme ISO 27701, le consentement doit être obtenu, le cas échéant, auprès des personnes concernées et enregistré de manière à ce que les détails, tels que la date à laquelle le consentement a été donné, la preuve de l’identité de la personne et la déclaration de consentement, puissent être fournis sur demande. Bénéficiez de l’outil OneTrust de gestion du consentement pour démontrer la conformité des registres de consentement. OneTrust fournit la plateforme et les instruments nécessaires à la collecte d’un consentement valable, comme l’exige la norme ISO 27701, ainsi que les règlements relatifs à la protection de la vie privée tels que le RGPD, le CCPA et la LGPD.