Hvordan vi nærmede os vores ISO 27701-revision og lykkedes for første gang

I slutningen af ​​2022 gennemgik vi processen med samtidig at opnå certificering for ISO 27701, databeskyttelsesstandarden og gencertificering for ISO 27001, informationssikkerhedsstandarden. Sidstnævnte certifikat har vi haft med succes i over ti år. Og vi er nu glade for at kunne fortælle, at vi med succes opnåede begge certificeringer uden uoverensstemmelser. 

Hvorfor søgte vi at levere og opnå to af de mest udfordrende standarder derude på samme tid? Vi hører dig spørge! Vi besluttede at lægge vores penge, hvor vores mund er, og bruge vores nye platformstilbud, SPoT. Vi designede SPoT til at gøre det lettere at implementere ISO 27001 og ISO 27701 gennem den sømløse kombination af et Information Security Management System (ISMS) og Privacy Information Management System (PIMS) til et 'Single Point of Truth', eller kort sagt SPoT. Du kan finde ud af mere om SPoT i vores tidligere blog. 

Under projektets levering og revision førte vores team dagbog om deres erfaringer og tanker om etablering af PIMS og gencertificering af vores ISMS, så vi besluttede at dele disse erfaringer med dig. Vi håber, du finder det nyttigt og indsigtsfuldt, og hvis du har spørgsmål, er du velkommen til at kontakte os; vi elsker at chatte om overholdelse af alle ting. 

Hvad er ISO 27701 

Før vi kommer ind på de levede oplevelser med at bygge, forberede og auditere et ISMS og PIMS, er det bedst at sætte scenen og nedbryde præcis, hvad ISO 27701 er. 

ISO 27701 er en udvidelse af privatlivets fred til ISO 27001-standarden, en internationalt anerkendt ramme for informationssikkerhedsstyring. ISO 27701-standarden giver retningslinjer og krav til implementering og vedligeholdelse af et Privacy Information Management System (PIMS) inden for en eksisterende Information Security Management System (ISMS)-ramme.

Hvorfor bør organisationer overveje at implementere ISO 27701? 

Selvom det er relativt nyt på scenen - det blev introduceret i august 2019 - har det nydt en hurtig stigning i popularitet på verdensplan, hvor mange organisationer har valgt at implementere standarden i stedet for geografiske regionale regler som f.eks. GDPR og POPIA, der stort set kan rummes inden for ISO 27701-kontrollerne.  

Mere enkelt har vækstraten for digital transformation resulteret i, at mere følsom information bliver lagret og delt online end nogensinde før. Efterhånden som mængden af ​​data vokser, bliver det både et lukrativt mål for cyberkriminelle og et centralt anliggende for forbrugere og virksomheder for at sikre, at det holdes sikkert. I samme åndedrag er væksten af ​​globale reguleringer, såsom GDPR, CCPA og HIPAA, betyder, at organisationer også har et juridisk ansvar for at beskytte deres kunders private data. Samlet set er der en tydelig bevægelse i retning af et compliance-landskab, hvor du ikke længere kan have informationssikkerhed uden databeskyttelse.

Fordelene ved at vedtage ISO 27701 rækker også ud over at hjælpe organisationer med at opfylde lovgivnings- og overholdelseskrav. Disse omfatter demonstration af ansvarlighed og gennemsigtighed over for interessenter, forbedring af kundernes tillid og loyalitet, reduktion af risikoen for brud på privatlivets fred og tilhørende omkostninger og øget konkurrenceevne på det globale marked. 

Hvordan vi forberedte os effektivt til vores ISO 27701-revision 

Forberedelse, som med ethvert projekt, er afgørende. Størstedelen af ​​det, du gør som organisation i denne fase, vil påvirke succesen af ​​din endelige certificeringsrevision. Sam Peters, vores DPO, vidste dette, efter at have brugt mere end ti år på at forberede og udføre audits for ISO 27001. Men at gå efter en ny standard, ISO 27701, og gencertificering til ISO 27001 samtidigt var en ny grund for ham og organisationen. , revisoren og certificeringsorganet. Sam indrømmer frit, 'denne her var nervepirrende'. 

• Hver rejse starter med et første skridt

Det første skridt for Sam var at blive enige om en tidslinje for projektet og budgettet. For os var det en 6-måneders tidslinje og en stram vending, men dette sikrede også, at vores ledelsesteam, som startede projektet, var fuldt involveret fra begyndelsen og indlejrede vigtigheden af ​​overholdelse af databeskyttelse lige fra toppen af ​​forretningen . Den mente også, at organisationen stadig skulle levere 'business as usual' under projektet. Etablering af et ISMS og PIMS behøver ikke at være et fuldtidsarbejde, især med den rigtige teknologiplatform, der understøtter dine mennesker og processer på rejsen. 

• Opdagelsesfasen

Næste skridt for os var at bringe de nye kontroller til ISO 27701 ind i vores eksisterende ISMS. Vi startede ikke fra bunden, fordi vi brugte vores produkt med alt hyldeindholdet i det. Det var ligetil at skræddersy det indhold til vores specifikke organisations behov. En af de væsentlige fordele ved at arbejde med ISMS.online platformen er, at værktøjerne i den bringer dig foran spillet lige ud af boksen. 

Vi begyndte derefter detaljerede samtaler med alle de relevante teams i vores virksomhed, fra HR, økonomi og marketing til salg og succes, for at forstå de data, vi havde, hvordan det bevægede sig gennem virksomheden, og de anvendte systemer. Fordi vi allerede havde et ISMS, havde vi en aktivopgørelse, som var et meget nyttigt værktøj til at starte disse samtaler med hvert team. Vi var også allerede GDPR-kompatible, så vi havde gennemført et stykke aktivitet for at oprette en registrering af behandlingsaktivitet (ROPA), som igen hjalp os, da vi talte med alle teams i virksomheden og præciserede for os, at under ISO 27701 ville vores ROPA har brug for flere detaljer, end vi havde i øjeblikket, hvilket giver os en klar arbejdsstrøm at fokusere på med det samme. 

De interne samtaler hjalp os med at identificere næsten øjeblikkeligt områder, hvor vi kunne foretage forbedringer og strømline og forenkle processer, såsom hvor vi opbevarede data og de systemer, vi brugte til at få adgang til og bruge disse data. Dette drev også virkelig hjem for os de yderligere fordele ved at bruge rammer som ISO 27701, da processen resulterede i at strømline arbejdsgange, hvilket forbedrede vores operationelle effektivitet yderligere. 

• Akronymet Bit

Den opdaterede ROPA fra dette stykke arbejde gjorde det muligt for os at gå videre til databeskyttelsesvurderingerne (DPIA), hvor vi gennemførte disse i forhold til de processer, vi havde iværksat. Dette resulterede i nogle gavnlige erfaringer om, hvordan vi gjorde det som organisation, da det ikke er noget, folk ofte vil gøre. Vi indså, at have en skabelonbaseret tilgang til disse, så enhver, der skulle gøre det, kunne hente skabelonen og levere en handlingsegnet og værdifuld DPIA med begrænset erfaring var afgørende for succes. Dette ville også demokratisere, hvem der kunne udføre dem, og reducere arbejdsbyrden for vores bredere infosec-teammedlemmer. 

For Sam gjorde denne proces også vigtigheden af ​​at tænke på privatlivets fred inden for et stykke arbejde eller projekt så tidligt som muligt. Det er langt nemmere at planlægge med privatlivets fred i tankerne end at vende tilbage bagefter og forsøge at ændre eller rette noget, når information måske allerede er i ét system, eller du måske har underskrevet en kontrakt med en leverandør. 

Ideen om privacy by design er en integreret del af enhver organisation, der ønsker at indlejre en kultur af privatliv og overholdelse af den voksende række af privatlivslovgivning. Det er nu en del af ISO 27001 og 27701 kontrollerne.

• Magt til folket

Arbejdet op til dette punkt førte os naturligt ind i personaleuddannelse. ISO 27701-rammen er ligesom med ISO 27001-rammen mere end blot at sikre teknisk beskyttelse. Det har til formål at indlejre en kultur af privatliv og sikkerhed i en organisation. Og faktisk, hvis du skal gøre arbejdet med at skabe en PIMS, ville det mangle et betydeligt trick for ikke at sikre, at dine medarbejdere forstår deres rolle i at levere effektiv databeskyttelse. Det er også sandsynligt, at du fejler en revision, hvis revisoren opfordrer en medarbejder til at deltage, og de ikke med sikkerhed kan besvare spørgsmål om de processer, du sætter i gang med dit PIMS. 

For Sam var det afgørende for succes at gøre databeskyttelse relevant for personalet og deres roller. Det var vigtigt at give personalet mulighed for at se, hvordan de er ansvarlige og påvirket af databeskyttelse. Kontekstualisering af organisationens politikker og procedurer for håndtering af privatlivsoplysninger og opretholdelse af fortrolighed og privatliv inden for specifikke roller var et stykke arbejde, der, mens det tog tid, forbedrede forståelsen og eksekveringen på tværs af virksomheden. Denne aktivitet blev derefter udvidet til ekstern uddannelse, opdatering af vores privatlivspolitik og oprettelse af specifikke privatlivspolitikker for medarbejdere og potentielle kandidater under rekruttering. 

• Fortæl os, hvad du virkelig synes

Næstsidste skridt, vi tog pre-audit, var at gennemføre en intern revision af vores PIMS. Denne proces var afgørende for at sikre, at PIMS fungerede efter hensigten, levede op til ISO 27701-standardens krav og identificerede områder for yderligere forbedringer før certificeringsrevisionen. Vores DPO, Sam, bad om, at den interne revisor skulle være særlig hård ved os, og det var han bestemt. Dette var en uvurderlig mulighed for at løse ethvert problem, så vi trygt kunne gå til certificeringsrevisionen, velvidende at vores PIMS opfyldte de strenge krav og ville levere det, som revisoren ville lede efter. 

Til sidst, som forberedelse til revisionen, gennemtænkte vi præcis, hvordan vi ville præsentere vores PIMS for revisoren, og hvordan vi ville bringe andre personer fra virksomheden ind i revisionen efter behov, for at sikre, at kritiske medlemmer var tilgængelige, samt orientere de bredere selskab om, hvad de kunne forvente at blive bedt om at gøre, og sikre, at de følte sig informerede og forberedte, hvis de skulle blive tilkaldt.

Hvad man kan forvente under en ISO 27701-revision 

Under revisionen vil revisor gerne gennemgå nogle nøgleområder i dit PIMS, såsom:

1. Din organisations politikker, procedurer og processer til håndtering af persondata
2.  Evaluer dine privatlivsrisici og passende kontroller for at vurdere, om dine kontroller er effektive til at mindske de identificerede risici.
3. Vurder dit privatliv incident management. Er din evne til at opdage, rapportere, undersøge og reagere på privatlivshændelser tilstrækkelig
4. Undersøg din tredjeparts privatlivsstyring for at sikre, at der er tilstrækkelig kontrol på plads til at håndtere tredjepartsrisici
5. Tjek dit privatlivstræningsprogram uddanner dit personale tilstrækkeligt i privatlivsspørgsmål
6. Gennemgå din organisations præstationsmålinger for at bekræfte, om de opfylder privatlivsmålene.

Ud over disse konsekvente områder til gennemgang, er der andre punkter at overveje, såsom hvordan du arbejder med revisor. De er der for at identificere overholdelse, og du er der for at vise dem, hvordan du opfylder disse krav. Derfor vil det at lede samtalen og guide dem gennem nøgleområderne være nyttigt for revisoren og give dem mulighed for at identificere de yderligere ruter og aktiviteter, de ønsker at gennemgå. Det skal være en samarbejdsproces. 

Hvorfor ISO 27701 aldrig bør være en tick-box-proces 

En del af ISMS.online Etos er, at enkel, bæredygtig informationssikkerhed og databeskyttelse opnås gennem mennesker, processer og teknologi. En teknologisk tilgang vil aldrig blive en succes. 

Overholdelse alene garanterer ikke effektiv håndtering af privatlivets fred. En teknologisk tilgang fokuserer på at opfylde standardens minimumskrav i stedet for effektivt at håndtere databeskyttelsesrisici på lang sigt. Dine medarbejdere og processer vil sammen med et robust teknologisetup sætte dig foran flokken og forbedre effektiviteten af ​​dit databeskyttelse væsentligt i forhold til dem, der er afhængige af teknologi for en hurtig, men midlertidig løsning. 

Hvad der kunne kaldes en afkrydsningsboks tilgang vil ofte:

• Involver en overfladisk risikovurdering, som kan overse væsentlige privatlivsrisici
• Ignorer nøgleinteressenters bekymringer om privatlivets fred 
• Lever generisk privatlivsuddannelse, der ikke er skræddersyet til organisationens specifikke behov
• Udfør begrænset overvågning og gennemgang af privatlivskontrol, hvilket kan resultere i uopdagede privatlivshændelser

Alle disse åbner organisationer op for potentielt skadelige brud, økonomiske sanktioner og omdømmeskader. 

ISO 27701 køreplan – Download nu

Vi har lavet en praktisk køreplan på én side, opdelt i fem nøglefokusområder, for at tilgå og opnå ISO 27701 i din virksomhed. Der er ingen formular at udfylde. Download PDF'en i dag for en simpel kickstarter på din rejse til mere effektiv databeskyttelse. 

Hent nu

Oplåsning af vores ISO 27701 Compliance Advantage første gang

At opnå certificering mod ISO 27701 og gencertificering mod ISO 27001 for første gang, uden afvigelser, var et vigtigt øjeblik for os her på ISMS.online. Ikke kun havde vi opnået en industri først, men vi havde haft succes med at bruge vores helt nye platformstilbud, SPoT. 

Men det handlede ikke alt om os i denne proces. Det handlede om vores 'hvorfor'. Hvorfor gør vi, hvad vi gør? Enkel, sikker og bæredygtig sikkerhed bør være mulig for alle. Derfor. Så hvilken bedre måde at vise nogen derude, der ønsker at opnå mere effektiv databeskyttelse og informationssikkerhed, at det er muligt end gennem handling? Vi har gennemlevet processen og ønsker at dele disse erfaringer, erfaringer og værktøjer med andre.

Vi kunne gå ind på de mange måder, hvorpå SPoT forsynede os med alle de materialer og værktøjer, vi havde brug for for at få succes, fra dets 81 % forspring, 'Assured Results Method', kataloget over dokumentation, der kan vedtages, tilpasses eller tilføjes til eller vores virtuelle coach altid-on support, men i stedet inviterer vi dig til selv at se og indse fordelene ved første hånd - anmod om et opkald med en af ​​vores eksperter i dag.

Tal med en ekspert