আইএসও ২৭৭০১: গোপনীয়তা ব্যবস্থাপনার নতুন যুগ

La গোপনীয়তা এবং সাইবার নিরাপত্তা ব্যক্তিগত তথ্য নিয়ে কাজ করে এমন যেকোনো প্রতিষ্ঠানের জন্য এই দুটি এখন সবচেয়ে বড় মাথাব্যথার কারণ হয়ে দাঁড়িয়েছে। জিডিপিআর, স্থানীয় আইন, ক্লাউড পরিষেবা, এআই এবং প্রমাণ দাবিকারী নিরীক্ষকদের কারণে, বছরের পর বছর ধরে কাজগুলো সঠিকভাবে ও ধারাবাহিকভাবে করা হচ্ছে—এটা প্রমাণ করা ক্রমশ কঠিন হয়ে পড়ছে।

এই প্রসঙ্গে, ISO/IEC 27701:2025 স্ট্যান্ডার্ড এটি তথ্য গোপনীয়তা ব্যবস্থাপনার ক্ষেত্রে আন্তর্জাতিক মানদণ্ডে পরিণত হয়েছে। ২০২৫ সালের হালনাগাদটি ২০১৯ সালের সংস্করণ থেকে একটি উল্লেখযোগ্য অগ্রগতি: এটি এখন আর কেবল ISO 27001-এর একটি “পরিশিষ্ট” নয়, বরং একটি সম্পূর্ণ স্বাধীন ব্যবস্থাপনা ব্যবস্থায় পরিণত হয়েছে, যা যেকোনো সংস্থাকে তাদের প্রক্রিয়াকৃত ব্যক্তিগত তথ্য সুরক্ষার পদ্ধতি প্রত্যয়ন করার সুযোগ দেওয়ার জন্য তৈরি করা হয়েছে।

ISO/IEC 27701 কী এবং গোপনীয়তার ক্ষেত্রে এর ভূমিকা কী?

ISO/IEC 27701 হলো একটি আন্তর্জাতিক মান যা প্রয়োজনীয়তাগুলি সংজ্ঞায়িত করে একটি গোপনীয়তা তথ্য ব্যবস্থাপনা সিস্টেম (PIMS বা Privacy Information Management System) প্রতিষ্ঠা, বাস্তবায়ন, রক্ষণাবেক্ষণ এবং ক্রমাগত উন্নত করা। অন্য কথায়, এটি একটি কাঠামোগত কাঠামো যা কোনো প্রতিষ্ঠানের অভ্যন্তরে ব্যক্তিগত তথ্য প্রক্রিয়াকরণের সকল দিক নিয়ন্ত্রণ করে।

এই মানটির উদ্দেশ্য হল কন্ট্রোলার এবং প্রসেসর ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্য (পিআইআই, যা এর সমতুল্য) GDPR ব্যক্তিগত তথ্যএর উদ্দেশ্য হলো, এই প্রতিষ্ঠানগুলো যেন যাচাইযোগ্য প্রমাণের মাধ্যমে দেখাতে পারে যে, তারা আইন এবং আন্তর্জাতিক সর্বোত্তম রীতির সাথে সঙ্গতি রেখে গোপনীয়তা ব্যবস্থাপনা করে।

বাধ্যতামূলক প্রয়োজনীয়তা ছাড়াও, ISO/IEC 27701-এ অন্তর্ভুক্ত রয়েছে ব্যবহারিক নির্দেশিকা দৈনন্দিন ভিত্তিতে ব্যবস্থাপনা পদ্ধতিটি বাস্তবায়ন ও পরিচালনা করতে সাহায্য করা। এর মাধ্যমে, কী নিরীক্ষা করা হবে এবং কী কার্যকরভাবে নিয়ন্ত্রণ প্রয়োগের জন্য নির্দেশিকা হিসেবে কাজ করবে, তার মধ্যে এটি স্পষ্টভাবে পার্থক্য করে।

এই মানদণ্ডটি প্রযোজ্য যেকোনো আকার ও খাতের সংস্থাসরকারি বা বেসরকারি কোম্পানি, সরকারি প্রশাসন, এনজিও, ক্লাউড পরিষেবা প্রদানকারী, এআই স্টার্টআপসসাস (SaaS) কোম্পানি ইত্যাদি। যতক্ষণ ব্যক্তিগত তথ্য প্রক্রিয়াজাত করা হয়, ততক্ষণ এটি প্রযোজ্য।

২০২৫ এবং তার তৎপরবর্তী সময়ের জন্য ISO/IEC 27701 কেন এত গুরুত্বপূর্ণ

আজকে ব্যক্তিগত তথ্য সবচেয়ে সংবেদনশীল সম্পদগুলোর মধ্যে অন্যতম। যেকোনো প্রতিষ্ঠানের ক্ষেত্রেই এমনটা হতে পারে। নাগরিক, নিয়ন্ত্রক সংস্থা এবং ব্যবসায়িক অংশীদাররা এখন আর শুধু সদিচ্ছার ঘোষণায় সন্তুষ্ট নন: তাঁরা দেখতে চান যে গোপনীয়তা গুরুত্বের সাথে, পদ্ধতিগতভাবে এবং যাচাইযোগ্য উপায়ে পরিচালিত হচ্ছে।

ISO/IEC 27701 ঠিক সেই কাঠামোটিই প্রদান করে: একটি বিশ্বব্যাপী স্বীকৃত গোপনীয়তা ব্যবস্থাপনা সিস্টেম এটি ঝুঁকি ব্যবস্থাপনায়, দায়িত্ব নির্ধারণে এবং সক্রিয় জবাবদিহিতা প্রদর্শনে সহায়তা করে। এটি বিশেষত জিডিপিআর (GDPR)-এর সাথে সামঞ্জস্যপূর্ণ, যা স্পেনের মতো দেশগুলিতে এলওপিডিজিডিডি (LOPDGDD)-এর সাথে এবং সরকারি ক্ষেত্রে জাতীয় নিরাপত্তা কাঠামোর সাথে খুব ভালোভাবে খাপ খায়।

ISO/IEC 27701 অনুযায়ী একটি PIMS বাস্তবায়ন ও প্রত্যয়ন করার প্রধান সুবিধাগুলোর মধ্যে নিম্নলিখিত সুস্পষ্ট সুবিধাগুলো বিশেষভাবে উল্লেখযোগ্য: ডেটা সুরক্ষা সক্ষমতা জোরদার করুননিয়ন্ত্রক বিধি-বিধান প্রতিপালনের প্রদর্শন সহজতর করা, গ্রাহক, সহযোগী ও নিয়ন্ত্রকদের মধ্যে আস্থা স্থাপন করা এবং প্রাতিষ্ঠানিক সংস্কৃতিতে গোপনীয়তাকে একীভূত করার জন্য একটি মজবুত ভিত্তি তৈরি করা।

২০২৫ সালের আপডেটটি এমন এক সময়ে আসছে যখন উন্নত বিশ্লেষণ এবং ক্লাউড পরিষেবা তারা তথ্য সংগ্রহ, প্রক্রিয়াকরণ এবং আদান-প্রদানের পদ্ধতিতে আমূল পরিবর্তন এনেছে। এই মানটি নতুন প্রযুক্তিগত এবং নিয়ন্ত্রক বাস্তুতন্ত্রের সাথে খাপ খাইয়ে নেয় এবং এতে কৃত্রিম বুদ্ধিমত্তা (AI), মাল্টি-ক্লাউড পরিবেশ, স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ এবং আন্তঃসীমান্ত ডেটা প্রক্রিয়াকরণের সুস্পষ্ট উল্লেখ অন্তর্ভুক্ত করে।

সংক্ষেপে, ISO/IEC 27701:2025 গোপনীয়তাকে একটি ব্যবসার কৌশলগত উপাদানএবং এটি শুধু একটি আইনি বা প্রযুক্তিগত বাধ্যবাধকতা নয়। এটি গ্রাহক, অংশীদার, বিনিয়োগকারী এবং কর্তৃপক্ষের কাছে পরিপক্কতা ও বিশ্বাসযোগ্যতার প্রতীক হিসেবে কাজ করে।

ISO 27001-এর সম্প্রসারণ থেকে স্বতন্ত্র মান পর্যন্ত

নতুন সংস্করণের সবচেয়ে বড় পরিবর্তনগুলোর মধ্যে একটি হলো যে এটি নিছক একটি সম্প্রসারণ থাকা বন্ধ করে দেয় ISO/IEC 27001-এর ২০১৯ সংস্করণ অনুযায়ী, প্রথমে একটি ইনফরমেশন সিকিউরিটি ম্যানেজমেন্ট সিস্টেম (ISMS)-কে ISO 27001 দ্বারা প্রত্যয়িত করতে হতো এবং তারপরে ISO 27701-এর প্রাইভেসি স্তরটি যুক্ত করতে হতো।

এই পরিকল্পনাটি গোপনীয়তা-কেন্দ্রিক সংস্থাগুলির জন্য একটি উল্লেখযোগ্য প্রবেশ বাধা তৈরি করেছিল, যাদের একটি পূর্ণাঙ্গ ISMS-এর প্রয়োজন ছিল না বা যারা তা বাস্তবায়ন করতে পারত না। ডেটা সুরক্ষার উপর দৃঢ়ভাবে মনোনিবেশকারী সংস্থা, সীমিত সম্পদসম্পন্ন সরকারি খাতের প্রতিষ্ঠান, অথবা SOC 2-এর মতো অন্যান্য সুরক্ষা কাঠামোর আওতাভুক্ত ডেটা-চালিত ব্যবসাগুলি ISO 27001 গ্রহণ করতে বাধ্য হয়েছিল।

২০২৫ সাল থেকে, ISO/IEC 27701 একটি স্বাধীন ব্যবস্থাপনা সিস্টেমের মানঅন্যান্য ISO স্ট্যান্ডার্ডের আদলে এর নিজস্ব উচ্চ-স্তরের কাঠামো (ধারা ৪ থেকে ১০) রয়েছে। এর মানে হলো, পূর্ববর্তী ISO 27001 সার্টিফিকেশন ছাড়াই একটি PIMS-কে প্রত্যয়িত করা সম্ভব, যদিও দুটি স্ট্যান্ডার্ড সম্পূর্ণরূপে সামঞ্জস্যপূর্ণ থাকে।

এই পরিবর্তনটি বেশ কিছু আকর্ষণীয় পরিস্থিতির দ্বার উন্মুক্ত করে: যেমন—যেসব সংস্থা শুধু প্রাইভেসি সার্টিফিকেশন চায়, যেসব SaaS কোম্পানি নিরাপত্তার জন্য SOC 2 এবং প্রাইভেসির জন্য ISO 27701-কে একত্রিত করে, যেসব এনজিও বা সরকারি প্রশাসনের কাছে বিপুল পরিমাণ ব্যক্তিগত ডেটা থাকলেও একটি সম্পূর্ণ ISMS স্থাপন করার মতো সংস্থান কম, অথবা যেসব কোম্পানি পছন্দ করে গোপনীয়তা এবং নিরাপত্তা একীভূত করুন দুটি নিয়মের অধীনে, যেগুলো একে অপরের সাথে যোগাযোগ করে কিন্তু ভিন্ন ভিন্ন পরিধিতে পরিচালিত হতে পারে।

এর পাশাপাশি, ISO/IEC 27706:2025 নামে একটি পরিপূরক মান আবির্ভূত হয়েছে, যা এটি সার্টিফিকেশন সংস্থাগুলোর জন্য নিয়মকানুন নির্ধারণ করে দেয়। যা PIMS নিরীক্ষা করে, পূর্ববর্তী ISO TS 27006-2:2021-কে প্রতিস্থাপন করে এবং ISO 27701-কে কেন্দ্র করে সার্টিফিকেশন পরিকাঠামো হালনাগাদ করে।

২০২৫ সংস্করণের কাঠামো ও নীতিমালা

ISO/IEC 27701:2025 গ্রহণ করে উচ্চ-স্তরের কাঠামো (HLS) যা ইতিমধ্যে ISO 27001, ISO 9001 বা ISO 37301-এর মতো অন্যান্য ম্যানেজমেন্ট সিস্টেম স্ট্যান্ডার্ডে ব্যবহৃত হয়। যখন কোনো প্রতিষ্ঠানের একই সময়ে একাধিক সার্টিফাইড সিস্টেম থাকে, তখন এটি ইন্টিগ্রেশনকে ব্যাপকভাবে সহজ করে তোলে।

মূল ধারাগুলোতে এমন সব দিক অন্তর্ভুক্ত রয়েছে যা ISO পরিবারের সাথে পরিচিত যে কারো কাছেই অত্যন্ত চেনা: যেমন— সংগঠনের প্রেক্ষাপট এবং নেতৃত্ব, ঝুঁকি-ভিত্তিক পরিকল্পনা, সম্পদ, কার্যক্রম, কর্মক্ষমতা মূল্যায়ন এবং ধারাবাহিক উন্নয়ন থেকে শুরু করে সংশ্লিষ্ট অংশীজনগণ। এই সবকিছু বিশেষভাবে গোপনীয়তা ব্যবস্থাপনার ক্ষেত্রে প্রযোজ্য ছিল।

বিশদভাবে, এই মানদণ্ডটি অন্যান্য বিষয়ের মধ্যে নিম্নলিখিত ক্ষেত্রগুলিকে সম্বোধন করে: ব্যক্তিগত তথ্য সংক্রান্ত প্রেক্ষাপট এবং আইনি ও চুক্তিগত আবশ্যকতাসমূহের বিশ্লেষণ; ঊর্ধ্বতন ব্যবস্থাপনার প্রতিশ্রুতিগোপনীয়তা নীতিমালা ও ভূমিকা বণ্টন; গোপনীয়তার ঝুঁকি মূল্যায়ন ও লক্ষ্য নির্ধারণ; সম্পদ ও দক্ষতা; প্রক্রিয়াকরণের উপর পরিচালনগত নিয়ন্ত্রণ; নিরীক্ষা, সূচক ও ব্যবস্থাপনা প্রতিবেদন এবং ধারাবাহিক উন্নয়ন ব্যবস্থা।

২০২৫ সংস্করণের একটি মূল দিক হলো যে পুনর্বিন্যাস ও সমৃদ্ধ করে পরিশিষ্টগুলো। পরিশিষ্ট ক-তে ব্যক্তিগত শনাক্তকরণ তথ্যের (PII) নিয়ন্ত্রক ও প্রক্রিয়াকারীদের জন্য প্রযোজ্য নিয়ন্ত্রণগুলো অপরিবর্তিত রাখা হয়েছে, তবে এর ভাষা আরও স্পষ্ট এবং এতে ক্লাউড, এআই, ও আন্তঃসীমান্ত প্রক্রিয়াকরণের মতো বর্তমান পরিবেশের উল্লেখ রয়েছে। পরিশিষ্ট খ একটি অধিকতর বাস্তবসম্মত বাস্তবায়ন নির্দেশিকায় পরিণত হয়েছে, যেখানে বিভিন্ন খাত এবং প্রতিষ্ঠানের আকারের জন্য বিশেষভাবে তৈরি সুপারিশসমূহ অন্তর্ভুক্ত করা হয়েছে।

আদর্শগত নির্দেশিকার তালিকাও সরল করা হয়েছে। ২০২৫ সংস্করণটি তার প্রধান নির্দেশিকা হিসেবে ISO/IEC 29100, অর্থাৎ ISO-এর গোপনীয়তা কাঠামোকে গ্রহণ করেছে এবং আগের মতো আর সরাসরি ISO 27001 বা ISO 27002-এর উপর নির্ভর করে না, যার ফলে এর গুরুত্ব আরও জোরদার হয়। একটি মানদণ্ড হিসাবে স্বাধীনতা তথ্য নিরাপত্তা বাস্তুতন্ত্রের সাথে সামঞ্জস্য না হারিয়ে।

যেসব পরিবেশে প্রযুক্তিগত নিরাপত্তা অপরিহার্য, সেখানে সম্পদ ও এন্ডপয়েন্ট সুরক্ষিত রাখার জন্য গোপনীয়তা নিয়ন্ত্রণের পাশাপাশি বাস্তবসম্মত পদক্ষেপ গ্রহণ করা বাঞ্ছনীয়; উদাহরণস্বরূপ, আপনার ডিভাইসগুলিকে সুরক্ষিত রাখার জন্য মূল কৌশলগুলি এগুলো PIMS-কে সমর্থনকারী পরিচালনগত ঝুঁকি কমাতে সাহায্য করে।

ISO/IEC 27701:2019 এর তুলনায় সবচেয়ে প্রাসঙ্গিক পরিবর্তনসমূহ

একটি স্বতন্ত্র স্ট্যান্ডার্ডে উত্তরণের পাশাপাশি, ISO/IEC 27701:2025 একাধিক নতুন বিষয় প্রবর্তন করে। কাঠামো এবং বিশদ বিবরণে গভীর সমন্বয় ২০১৯ সালে সনদপ্রাপ্ত সংস্থাগুলোর জন্য যা আগে থেকেই বিদ্যমান ছিল, তার সাথে কোনো রকম বিচ্যুতি না ঘটিয়ে এর শর্তাবলী ও সংযোজনীসমূহ মেনে চলা।

প্রথমে, নিম্নলিখিত বিষয়গুলো অন্তর্ভুক্ত করা হয়েছে: ব্যবস্থাপনা ধারা ৪.১ থেকে ১০.২ ISO 27001 কাঠামোর সাথে সামঞ্জস্যপূর্ণ: প্রতিষ্ঠানের প্রেক্ষাপট, নেতৃত্ব, পরিকল্পনা, সহায়তা, পরিচালনা, কর্মক্ষমতা মূল্যায়ন এবং উন্নয়ন। কর্মক্ষমতা মূল্যায়নের (পর্যবেক্ষণ, পরিমাপ, অভ্যন্তরীণ নিরীক্ষা এবং ব্যবস্থাপনা পর্যালোচনা) উপর একটি নির্দিষ্ট ধারা এবং PIMS-এর ধারাবাহিক উন্নয়নের জন্য নিবেদিত আরেকটি ধারাও যুক্ত করা হয়েছে।

ISO 27001 এবং ISO 27002-এর সাথে সম্পর্কিত নির্দিষ্ট PIMS প্রয়োজনীয়তা বর্ণনা করে এমন পূর্ববর্তী বিভাগগুলিকে একটি সম্পূর্ণ ISO-সম্মত কাঠামো দ্বারা প্রতিস্থাপন করা হয়েছে, যেখানে ধারা ৪-এ প্রেক্ষাপট, ধারা ৫-এ নেতৃত্ব, ধারা ৬-এ পরিকল্পনা, ধারা ৭-এ সহায়তা, ধারা ৮-এ পরিচালনা, ধারা ৯-এ কার্যকারিতা এবং ধারা ১০-এ উন্নয়ন নিয়ে আলোচনা করা হয়েছে। এমনকি একটি অতিরিক্ত ধারাও অন্তর্ভুক্ত করা হয়েছে যা আরও ভালোভাবে বোঝার জন্য তথ্য প্রদান করে। পরিশিষ্ট C, D, E এবং Fযেখানে নিয়ন্ত্রণ ও ম্যাপিং সংক্রান্ত নির্দেশিকাটি বিশদভাবে আলোচনা করা হয়েছে।

গোপনীয়তা পরিশিষ্টগুলোর নতুন নামকরণ ও পুনর্গঠন করা হয়েছে, যেখানে PII নিয়ন্ত্রক এবং প্রক্রিয়াকারীদের জন্য নিয়ন্ত্রণগুলো (যা পূর্বে বিভিন্ন সারণীতে বিভক্ত ছিল) একটি একক পরিশিষ্ট A-তে একীভূত করা হয়েছে। যদিও এই বিন্যাসে পরিবর্তন এসেছে, গোপনীয়তার প্রয়োজনীয়তা কার্যত অপরিবর্তিত রয়েছে।এর ফলে যাদের আগে থেকেই একটি প্রত্যয়িত PIMS ছিল, তাদের জীবন আরও সহজ হয়ে যায়।

বড় খবরটি একগুচ্ছের মধ্যে নিহিত রয়েছে। ২৯টি নতুন তথ্য নিরাপত্তা নিয়ন্ত্রণ সারণি A.3-তে সমন্বিত, যা অপরিহার্য নিরাপত্তা উপাদানগুলির মাধ্যমে গোপনীয়তা নিয়ন্ত্রণকে পরিপূরক করে: নিরাপত্তা নীতি, তথ্যের শ্রেণিবিন্যাস, পরিচয় ব্যবস্থাপনাএই নিয়ন্ত্রণগুলোর মধ্যে অন্যান্য বিষয়ের পাশাপাশি প্রবেশাধিকার, সরবরাহকারীদের সাথে চুক্তিতে নিরাপত্তা, নিরাপত্তা সচেতনতা ও প্রশিক্ষণ এবং ঘটনা ব্যবস্থাপনা অন্তর্ভুক্ত রয়েছে। এগুলো ISO 27701:2019-এর পূর্ববর্তী ধারা ৬-কে প্রতিস্থাপন করে এবং ISO 27001:2022-এর আবশ্যিক শর্তাবলীর সাথে সরাসরি সামঞ্জস্যপূর্ণ।

ঝুঁকি-ভিত্তিক পদ্ধতি এবং ডেটা জীবনচক্র

ISO/IEC 27701:2025 এর মূল বিষয় হল একটি গোপনীয়তা ঝুঁকি ব্যবস্থাপনার পদ্ধতি সুস্পষ্টভাবে সংজ্ঞায়িত। এই মানদণ্ড অনুযায়ী, ব্যক্তিগত তথ্য প্রক্রিয়াকরণের ফলে ব্যক্তির অধিকার ও স্বাধীনতার ক্ষেত্রে যে ঝুঁকি তৈরি হতে পারে, তা শনাক্ত, বিশ্লেষণ এবং মূল্যায়ন করতে হবে।

এই বিশ্লেষণটি তথ্য নিরাপত্তা ঝুঁকি ব্যবস্থাপনার সাথে সমন্বিত, যা একটি ফলাফল তৈরি করে। দ্বি-স্তরীয় দৃষ্টিএকটি প্রাতিষ্ঠানিক (প্রতিষ্ঠানের উপর প্রভাব, ব্যবসায়িক ধারাবাহিকতা, সুনাম, নিষেধাজ্ঞা ইত্যাদি) এবং অন্যটি অংশীজন-কেন্দ্রিক (মানুষের উপর প্রভাব, বৈষম্য, তাদের তথ্যের উপর নিয়ন্ত্রণ হারানো, অর্থনৈতিক বা মানসিক ক্ষতি ইত্যাদি)।

এই বিশ্লেষণের ভিত্তিতে, উপযুক্ত নিয়ন্ত্রণ ব্যবস্থা স্থাপন করা হয়, সম্পদের অগ্রাধিকার নির্ধারণ করা হয় এবং প্রতিরোধমূলক ও ঘটনা মোকাবিলার জন্য কর্মপরিকল্পনা তৈরি করা হয়। এই সবকিছুই ISO স্ট্যান্ডার্ডে প্রচলিত PDCA (পরিকল্পনা-সম্পাদন-পর্যবেক্ষণ-কার্যক্রম) চক্র অনুসরণ করে, যা এই প্রক্রিয়াকে চালিত করে। ক্রমাগত উন্নতি এবং অভিযোজন যখন প্রযুক্তিগত বা নিয়ন্ত্রক ঝুঁকি পরিবর্তিত হয়।

২০২৫ সালের সংস্করণটি স্পষ্টভাবে গ্রহণ করার মাধ্যমে আরও এক ধাপ এগিয়ে যায়। ডেটা জীবনচক্র পদ্ধতিএর মধ্যে ব্যক্তিগত শনাক্তকরণ তথ্য (PII) সংগ্রহ থেকে শুরু করে তা মুছে ফেলা, বেনামীকরণ বা ছদ্মনামীকরণ পর্যন্ত সবকিছু অন্তর্ভুক্ত। এটি নিশ্চিত করে যে, ‘প্রাইভেসি বাই ডিজাইন’ এবং ‘প্রাইভেসি বাই ডিফল্ট’-এর মতো নীতিমালার সাথে সঙ্গতি রেখে প্রক্রিয়াকরণের সমস্ত পর্যায়ে গোপনীয়তা সমন্বিত থাকে।

যেসব পরিবেশে এআই, আইওটি, ব্লকচেইন বা মাল্টিক্লাউড পরিষেবাগুলো ইতিমধ্যেই প্রচলিত, সেখানে এই মানটি থেকে উদ্ভূত ঝুঁকি ব্যবস্থাপনার জন্য নির্দিষ্ট নির্দেশিকা প্রবর্তন করে। স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণপ্রোফাইলিং অথবা বিপুল পরিমাণ ডেটার সংমিশ্রণ, যার মধ্যে কৃত্রিম বুদ্ধিমত্তা পরিচালনা সংক্রান্ত ভবিষ্যৎ ISO/IEC 42001-এর সাথে ক্রস-রেফারেন্স অন্তর্ভুক্ত রয়েছে।

অন্যান্য ব্যবস্থাপনা সিস্টেম এবং সম্মতি কাঠামোর সাথে একীকরণ

ISO/IEC 27701:2025-এর অন্যতম প্রধান শক্তি হলো এর সক্ষমতা একটি সমন্বিত ব্যবস্থাপনা বাস্তুতন্ত্রের সাথে মানানসইHLS কাঠামোর কল্যাণে, এটিকে ISO/IEC 27001 (তথ্য নিরাপত্তা), ISO 31000 (ঝুঁকি ব্যবস্থাপনা), ISO 37301 (সম্মতি), ISO 9001 (গুণমান) অথবা ভবিষ্যৎ ISO/IEC 42001 (AI) স্ট্যান্ডার্ডের সাথে একত্রিত করা যেতে পারে, যেখানে ডকুমেন্ট ম্যানেজমেন্ট, ম্যানেজমেন্ট রিভিউ এবং ইন্টারনাল অডিটের মতো সাধারণ প্রক্রিয়াগুলো ভাগাভাগি করা হয়।

যেসব প্রতিষ্ঠানের ইতিমধ্যেই একটি উন্নত ISMS রয়েছে, তাদের জন্য এই আপডেটটি রক্ষণাবেক্ষণকে আরও সহজ করে তোলে। সমন্বিত ISMS এবং PIMSএটি প্রচেষ্টাকে সর্বোত্তম করে তোলে এবং প্রমাণের পুনরাবৃত্তি কমায়। যারা একা কাজ করতে পছন্দ করেন, তারা একটি স্বতন্ত্র PIMS-ও স্থাপন করতে পারেন, যা বিশেষত সেইসব প্রতিষ্ঠানের জন্য উপযোগী যাদের প্রধান মাথাব্যথা হলো GDPR এবং অন্যান্য ডেটা সুরক্ষা আইন।

এই মানটি বৈশ্বিক নিয়ন্ত্রক কাঠামোর সাথে খুব ভালোভাবে সামঞ্জস্যপূর্ণ: ইইউ-তে এটি হিসেবে কাজ করে সক্রিয় দায়িত্বের নীতির পক্ষে জোরালো প্রমাণভিত্তিক ভিত্তি GDPR-এর অংশ হিসেবে; অন্যান্য অঞ্চলে, এটি CCPA, LGPD, বা অন্যান্য গোপনীয়তা প্রবিধানের মতো কাঠামোর সাথে সম্মতি প্রদর্শনে সহায়তা করে। অধিকন্তু, এটিকে SOC 2 প্রতিবেদন, জাতীয় নিরাপত্তা প্রকল্প, বা খাত-নির্দিষ্ট শংসাপত্র প্রকল্পের মাধ্যমে পরিপূরক করা যেতে পারে।

বাস্তবে, ISO/IEC 27701:2025 বাস্তবায়ন একটি স্পষ্ট সংজ্ঞার সুযোগ করে দেয়। গোপনীয়তা পরিচালনা (কে কী সিদ্ধান্ত নেবে, কে ঝুঁকি গ্রহণ করবে, ডিপিও-এর কার্যাবলী কী, আইন, নিরাপত্তা, আইটি এবং ব্যবসার মধ্যে সমন্বয় কীভাবে করা হবে) একটি নিরবচ্ছিন্ন ঝুঁকি মূল্যায়ন কাঠামো চালু করা এবং সুস্পষ্ট নীতিমালা, বিজ্ঞপ্তি ও অধিকার প্রয়োগের পদ্ধতির মাধ্যমে অংশীজনদের কাছে স্বচ্ছতা জোরদার করা।

এই সমন্বিত পদ্ধতি একটি মডেলে রূপান্তরকে চালিত করে সংস্কৃতি হিসেবে গোপনীয়তাযেখানে শুধু নথিপত্র ঠিকঠাক রাখাই মূল বিষয় নয়, বরং কর্মীদের নিজ নিজ ভূমিকা বোঝানো, তাদের প্রশিক্ষণ দেওয়া, ঝুঁকি শনাক্তকরণে অংশগ্রহণ করানো এবং পরিষেবার মানের অবিচ্ছেদ্য অংশ হিসেবে গোপনীয়তাকে গ্রহণ করাও জরুরি।

ডেটা সুরক্ষা কর্মকর্তা এবং কমপ্লায়েন্স কর্মকর্তাদের জন্য নির্দিষ্ট প্রভাব

ডেটা প্রোটেকশন অফিসার (ডিপিও) এবং কমপ্লায়েন্স টিমের জন্য, ISO/IEC 27701:2025 একটি গুরুত্বপূর্ণ বিষয় হয়ে ওঠে। খুব নির্দিষ্ট রোডম্যাপ জিডিপিআর যে কার্যকরভাবে প্রয়োগ করা হচ্ছে, তা কীভাবে প্রদর্শন করা যায় সে বিষয়ে। এই প্রবিধানে অ্যানেক্স ডি অন্তর্ভুক্ত করা হয়েছে, যা প্রবিধানের ধারাগুলোর সাথে নিয়ন্ত্রণ ও প্রয়োজনীয়তাগুলোকে বিন্যস্ত করে, ফলে প্রতিটি আইনি বাধ্যবাধকতাকে কার্যকারিতার প্রমাণের সাথে যুক্ত করা সহজ হয়।

উদাহরণস্বরূপ, স্প্যানিশ ডেটা প্রোটেকশন এজেন্সি (AEPD) কর্তৃক ডেটা সাবজেক্ট রাইটস ম্যানেজমেন্টের পর্যালোচনার ক্ষেত্রে, কন্ট্রোল A.1.3.7 এবং A.1.3.10 অস্তিত্ব প্রমাণ করার সুযোগ দেয়। নথিভুক্ত পদ্ধতি নির্দিষ্ট সময়সীমা, দায়িত্বপ্রাপ্ত পক্ষ এবং শনাক্তকরণযোগ্যতা সাপেক্ষে প্রবেশাধিকার, সংশোধন, অপসারণ, আপত্তি বা স্থানান্তরযোগ্যতার অনুরোধ গ্রহণ, নিবন্ধন, প্রক্রিয়াকরণ এবং তার জবাব দেওয়া।

সুখবরটি হলো যে, ডেটা কন্ট্রোলারদের (সারণি A.1) এবং ডেটা প্রসেসরদের (সারণি A.2) জন্য নির্দিষ্ট নিয়ন্ত্রণগুলো ২০১৯ সাল থেকে কার্যত অপরিবর্তিত রয়েছে। এর মানে হলো, ইতিমধ্যে প্রত্যয়িত সংস্থাগুলোর জন্য, রূপান্তরের জন্য পুরো ব্যবস্থাটি পুনর্নির্মাণের প্রয়োজন নেই।বরং কাঠামোটি সামঞ্জস্য করুন, গোপনীয়তার ঝুঁকি সংক্রান্ত উপাদানটিকে শক্তিশালী করুন এবং PIMS-কে সমর্থনকারী তথ্য নিরাপত্তা প্রোগ্রামটির নথি আরও ভালোভাবে তৈরি করুন।

জটিল পরিবেশে, যেখানে একাধিক সত্তা সহাবস্থান করে (যেমন যৌথ নিয়ন্ত্রক, উপ-ব্যবস্থাপক, ক্লাউড সরবরাহকারী, তৃতীয় দেশের প্রসেসর), সেখানে নতুন সংস্করণটি চুক্তি, দায়িত্বের ম্যাট্রিক্স এবং পর্যবেক্ষণ ব্যবস্থাকে আরও পরিমার্জিত করতে সাহায্য করে। এর ফলে সেইসব অজানা দিক ও অস্পষ্টতা হ্রাস পায়, যা প্রায়শই নিরীক্ষার ক্ষেত্রে সমস্যা সৃষ্টি করে।

বাস্তবে, এই মানদণ্ডটি 'আমি তত্ত্বে মেনে চলি' থেকে 'আমার আছে' এই পর্যায়ে যাওয়ার ক্ষেত্রে সহায়ক হয়ে ওঠে। বস্তুনিষ্ঠ এবং নিরীক্ষণযোগ্য প্রমাণ যে আমি পূরণ করিযা পরিদর্শন, দাবি বা প্রাসঙ্গিক নিরাপত্তা লঙ্ঘনের ক্ষেত্রে আতঙ্ক হ্রাস করে, যেগুলোর জন্য কর্তৃপক্ষ ও ক্ষতিগ্রস্তদের অবহিত করা প্রয়োজন।

ISO/IEC 27701:2019 থেকে উত্তরণ: সময়সীমা, পদক্ষেপ এবং সাধারণ ভুলসমূহ

যেসব সংস্থা ইতিমধ্যেই ISO/IEC 27701:2019 এর অধীনে প্রত্যয়িত, তাদের তিন বছরের একটি রূপান্তরকালীন সময় ২০২৫ সংস্করণ প্রকাশের পর থেকে, অর্থাৎ ২০২৮ সালের অক্টোবর পর্যন্ত, তাদের ব্যবস্থাপনা পদ্ধতিগুলো অভিযোজিত করতে হবে এবং তাদের সার্টিফিকেশন সংস্থার সাথে রূপান্তর নিরীক্ষা সম্পন্ন করতে হবে।

একেবারে গোড়া থেকে শুরু করার কোনো প্রয়োজন নেই: ইতিমধ্যে সম্পন্ন হওয়া কাজের বেশিরভাগই কার্যকর থাকবে। মূল বিষয় হলো নতুন তথ্য নিরাপত্তা নিয়ন্ত্রণগুলোকে অন্তর্ভুক্ত করে সিস্টেমটিকে নতুন কাঠামোর সাথে পুনরায় খাপ খাওয়ানো। গোপনীয়তা ঝুঁকি ব্যবস্থাপনা শক্তিশালী করুন এবং শাসন সংক্রান্ত নথিপত্র, ভূমিকা ও কার্যপ্রণালী পর্যালোচনা করে নিশ্চিত করুন যে সেগুলি হালনাগাদকৃত ধারাগুলির সাথে সঙ্গতিপূর্ণ।

একটি সুশৃঙ্খল রূপান্তরের জন্য যুক্তিসঙ্গত পদক্ষেপগুলোর মধ্যে সাধারণত অন্তর্ভুক্ত থাকে: বর্তমান PIMS-এর সাথে ২০২৫ সংস্করণের তুলনা করে একটি গ্যাপ অ্যানালাইসিস করা, পুনর্গঠিত সংযোজনীগুলো প্রতিফলিত করার জন্য স্টেটমেন্ট অফ অ্যাপ্লিকেবিলিটি হালনাগাদ করা, প্রাইভেসি রিস্ক ম্যাট্রিক্স পর্যালোচনা করা (যার মধ্যে এআই, ক্লাউড এবং আন্তর্জাতিক ফ্লো সিনারিও অন্তর্ভুক্ত), নীতিমালা, রেকর্ড এবং অভ্যন্তরীণ নিরীক্ষা কার্যক্রম অভিযোজিত করা, মূল কর্মীদের প্রশিক্ষণ দেওয়া এবং সার্টিফিকেশন সংস্থার সাথে রূপান্তর নিরীক্ষার পরিকল্পনা করা।

এই রূপান্তরের সবচেয়ে সাধারণ ভুলগুলোর মধ্যে তিনটি বিশেষভাবে উল্লেখযোগ্য: 'যথেষ্ট সময় আছে' এই বিশ্বাসে শেষ মুহূর্ত পর্যন্ত অপেক্ষা করা; নিজেকে শুধু নথি হালনাগাদ করার মধ্যে সীমাবদ্ধ রাখুন প্রকৃত কার্যপদ্ধতি তার সাথে সামঞ্জস্যপূর্ণ কিনা তা যাচাই না করে (নিরীক্ষকরা শুধু পিডিএফ নয়, প্রমাণ চান); এবং স্বয়ংক্রিয় ও এআই প্রক্রিয়াকরণের প্রাসঙ্গিকতাকে উপেক্ষা করা, যা এখন আর কোনো গৌণ বিষয় নয়, বরং মূল্যায়নের একটি বিশেষ কেন্দ্রবিন্দু।

যেসব প্রতিষ্ঠান ইতিমধ্যেই ISO 27701:2019-এর সাথে সমন্বিতভাবে ISO 27001:2022 ব্যবহার করছে, তাদের জন্য এই পরিবর্তন তুলনামূলকভাবে সহজ হওয়া উচিত, কারণ নতুন 27701:2025-এর অনেক কাঠামোগত ধারণাই এমন সব উপাদানের উপর ভিত্তি করে তৈরি যা 27001:2022 তার নিজস্ব সংশোধনে প্রবর্তন করেছিল: যেমন—প্রসঙ্গের উপর অধিক গুরুত্ব, ঝুঁকি-ভিত্তিক পদ্ধতি, নেতৃত্ব এবং ধারাবাহিক উন্নতি।

একটি নির্ভরযোগ্য মাধ্যম এবং প্রতিযোগিতামূলক সুবিধা হিসেবে ISO/IEC 27701

নিয়ন্ত্রক সম্মতির বাইরে, ISO/IEC 27701:2025-এর প্রধান অবদান হলো এর সক্ষমতা বিশ্বাস গড়ে তুলুন এবং টিকিয়ে রাখুন ব্যক্তিগত তথ্য প্রক্রিয়াকরণের বিষয়ে। এমন একটি পরিবেশে যেখানে তথ্য ফাঁস, কৃত্রিম বুদ্ধিমত্তার অস্বচ্ছ ব্যবহার এবং তথ্যের অপব্যবহার সংক্রান্ত কেলেঙ্কারি নিত্যনৈমিত্তিক ঘটনা, সেখানে একটি পরিপক্ক ব্যবস্থাপনা পদ্ধতি প্রদর্শন করতে পারাটাই সবকিছু বদলে দেয়।

একটি সুষ্ঠুভাবে বাস্তবায়িত PIMS আপনাকে গ্রাহক, অংশীদার এবং কর্তৃপক্ষকে দেখাতে সাহায্য করে যে সংস্থাটি গোপনীয়তাকে গুরুত্ব সহকারে বিবেচনা করে: এর সুস্পষ্ট নীতিমালা রয়েছে, ভূমিকা ও দায়িত্বগুলো সুবিদিত, ঝুঁকিগুলো পর্যায়ক্রমে মূল্যায়ন করা হয়, প্রক্রিয়াকরণের হালনাগাদ রেকর্ড থাকে, সূচকগুলো পর্যবেক্ষণ করা হয়, অভ্যন্তরীণ নিরীক্ষা চালানো হয় এবং কোনো বিচ্যুতি শনাক্ত হলে ব্যবস্থা গ্রহণ করা হয়।

এর সরাসরি প্রভাব রয়েছে কর্পোরেট গভর্নেন্স, কমপ্লায়েন্স, ঝুঁকি ব্যবস্থাপনা এবং অভ্যন্তরীণ সংস্কৃতিএই মানদণ্ডটি গোপনীয়তাকে শুধুমাত্র 'ডিপিও' (DPO)-র বিষয় থেকে বের করে এনে একটি আন্তঃক্ষেত্রীয় বিষয়ে পরিণত করতে উৎসাহিত করে, যা বিপণন, তথ্যপ্রযুক্তি, পণ্য উন্নয়ন, মানবসম্পদ, ক্রয়, গ্রাহক পরিষেবা এবং সাধারণ ব্যবস্থাপনাকে প্রভাবিত করে।

অনেক প্রতিষ্ঠানের জন্য, বিশেষ করে ডেটা-নির্ভর খাতগুলোতে (যেমন অর্থায়ন, স্বাস্থ্যসেবা, প্রযুক্তি, জনপ্রশাসন, অনলাইন শিক্ষা ইত্যাদি), ISO/IEC 27701:2025 সার্টিফিকেশন ইতিমধ্যেই একটি অপরিহার্য বিষয় হয়ে উঠছে। প্রয়োজনীয়তা বা পার্থক্যকারী উপাদান চুক্তি চূড়ান্ত করার সময়, টেন্ডারে অংশগ্রহণের সময় অথবা বিনিয়োগকারীদের দ্বারা যথাযথ যাচাই-বাছাই প্রক্রিয়া সম্পন্ন করার সময়।

এই মানদণ্ড গ্রহণ করা কেবল “তথ্য সুরক্ষার” বিষয় নয়, বরং বিশ্বাসকে একটি কৌশলগত সম্পদ হিসেবে পরিচালনা করার বিষয়: এর মাধ্যমে এই সুদৃঢ় নিশ্চয়তা দেওয়া হয় যে ব্যক্তিগত তথ্য নিয়ন্ত্রণে রয়েছে, মানুষের অধিকারের প্রতি সম্মান রেখে স্বয়ংক্রিয় সিদ্ধান্ত গ্রহণ করা হয়, এবং কোনো ভুল হলে প্রতিষ্ঠানটি কার্যকরভাবে তার মোকাবিলা করতে প্রস্তুত।