Ochrana osobních údajů v cloudových službách
Norma ISO/IEC 27018:2025 Information security, cybersecurity and privacy protection – Guidelines for protection of personally identifiable information (PII) in public clouds acting as PII processor stanovuje obecně uznávané cíle a opatření pro ochranu osobních údajů (PII) v prostředí veřejného cloudu v souladu se zásadami ochrany soukromí dle ISO/IEC 29100. Poskytuje doporučení pro zavedení vhodných bezpečnostních opatření, které mají zajistit, že poskytovatelé cloudových služeb chrání osobní údaje svých zákazníků. Norma je určena především pro poskytovatele veřejných cloudů vystupující jako zpracovatelé PII a rozšiřuje ISO/IEC 27002:2022 o specifické kontroly a doporučení. Aktualizovaná třetí verze zroku 2025 byla upravena tak, aby reflektovala ISO/IEC 27002:2022, a přináší rozšířenou sadu opatření pro ochranu soukromí v cloudu, sladěnou s ISO/IEC 29100:2024.
Kybernetické označování IoT zařízení
ISO/IEC 27404:2025 – Cybersecurity – IoT security and privacy – Cybersecurity labelling framework for consumer IoT zavádí rámec pro vytváření a implementaci programů kybernetického označování (cybersecurity labelling) spotřebitelských zařízení internetu věcí (IoT). Stanovuje požadavky a poskytuje pokyny pro hodnocení rizik, určení rolí a odpovědností zainteresovaných stran, proces posuzování shody, vydávání a údržbu označení i vzájemné uznávání certifikátů. Norma se vztahuje výhradně na spotřebitelská IoT zařízení, jako jsou chytré kamery, televize, hodinky, detektory kouře, zámky, domácí asistenti či připojené spotřebiče. Prakticky funguje podobně jako energetické štítky – výrobek může po ověření nezávislým orgánem získat binární nebo víceúrovňový „kybernetický štítek“, který informuje zákazníka o úrovni zabezpečení zařízení a podporuje tak transparentnost i důvěru na trhu.
Systémy řízení ochrany osobních údajů
Druhé vydání ISO/IEC 27701:2025 – Information security, cybersecurity and privacy protection – Privacy information management systems – Requirements and guidance stanovuje požadavky na zavedení, provozování, udržování a neustálé zlepšování systému řízení ochrany osobních údajů (Privacy Information Management System – PIMS). Zatímco první vydání z roku 2019 definovalo PIMS jako rozšíření systému řízení informační bezpečnosti (ISMS), druhé vydání z října 2025 tuto vazbu ruší a umožňuje implementaci PIMS jako samostatného systému řízení. PIMS lze však stále integrovat s ISMS nebo jinými systémy řízení, což přináší výhody v podobě efektivity a konzistence, ale i vyšší složitost při správě. Soulad s ISO/IEC 27701 lze certifikovat podle normy ISO/IEC 27706.
Akreditační požadavky pro certifikaci PIMS
ISO/IEC 27706:2025 – Information security, cybersecurity and privacy protection – Requirements for bodies providing audit and certification of privacy information management systems stanovuje požadavky pro akreditaci certifikačních orgánů, které provádějí audity systémů řízení ochrany osobních údajů podle ISO/IEC 27701. Určuje formální procesy, které musí certifikační orgány dodržovat, aby vydané certifikáty byly platné, srovnatelné a důvěryhodné. Standard je určen především auditorům certifikujícím PIMS, ale může být využit i při interních nebo dodavatelských auditech ochrany soukromí. Norma vyžaduje, aby akreditované subjekty splňovaly také požadavky ISO/IEC 17021-1, čímž zajišťuje kvalifikaci, spolehlivost a nezávislost auditorů. ISO/IEC 27706:2025 nahrazuje předchozí ISO/IEC TS 27006-2:2021, která byla oficiálně zrušena.
