Det kan virke indlysende at overveje informationssikkerhed sammen med databeskyttelse, men hvad præcist bestemmer den nye, kommende General Data Protection Regulation (GDPR)?
Faktisk indeholder GDPR ikke specifikke sikkerhedskrav. I henhold til artikel 32, med titlen "Sikkerhed", kun 135 ord beskriver dem:
"Under hensyntagen til det aktuelle tekniske niveau, omkostningerne ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sandsynlighed og alvorlighed for fysiske personers rettigheder og friheder, skal den dataansvarlige og databehandleren gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau til risikoen, herunder blandt andet efter behov:
a) pseudonymisering og kryptering af personoplysninger
(b) evnen til at sikre den løbende fortrolighed, integritet, tilgængelighed og modstandsdygtighed for behandlingssystemer og -tjenester;
(c) evnen til at genoprette tilgængeligheden og adgangen til Personlig data rettidigt i tilfælde af en fysisk eller teknisk hændelse;
(d) en proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af sikkerheden vedr behandlingen.”
Ordet 'passende' er nævnt 3 gange her. Mens dette giver en vis grad af fleksibilitet i indstilling af organisationens sikkerhedskontrol, indebærer det også en risiko for, at en regulators synspunkt kan afvige fra din, når det kommer til de sikkerhedsforanstaltninger, du har indført.
Det betyder, at du skal være klar til demonstrere og forsvare din tilgang og den operationelle effektivitet af sikkerhedskontrollen på plads.
Chris Zoladz*, grundlægger af informations- og privatlivsrådgivere, Navigate LLC og tidligere formand for International Association of Privacy Professionals (IAPP) tilbyder...
ISMS.online vil spare dig tid og penge til ISO 27001-certificering og gøre det nemt at vedligeholde.
Informationssikkerhedschef, Honeysuckle Health
Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
1. Brug en anerkendt sikkerhedsramme — Hvis din organisation ikke allerede bruger en sikkerhedsramme som ISO 27001/2 for at vejlede dit sikkerhedsprogram, skal du vælge en ramme eller en kombination af kendte rammer, der vil informere komponenterne i det overordnede sikkerhedsprogram.
2. Administrer sikkerhedrisiko — Ikke alle sikkerhedsrisici er lige, og ikke alle risici kan eller bør elimineres. Det er simpelthen ikke realistisk, omkostningseffektivt eller nødvendigt. Heldigvis er GDPR anerkender den virkelighed. Det skal du dog stadig vurdere sikkerhedsrisici og tage rimelige skridt til at mindske væsentlige risici, implementere kompenserende kontroller eller begrunde, hvorfor en ubegrænset risiko vil blive accepteret. Enhver organisation bør bruge en risikoramme og have en proces til at evaluere og styre risiko. Hvis din organisation i øjeblikket ikke har en formel proces til at identificere, dokumentere og styre sikkerheden risici, udnytte ISO 27001, NIST eller en anden ramme til at foretage forbedringer. Dette betyder ikke, at din organisationens behov at implementere hvert element i en bestemt ramme, men i stedet vil det tjene som udgangspunkt eller reference for at hjælpe med at sikre, at de nødvendige elementer af risikostyring bliver behandlet.
3. Dokumentation er din ven — Når der er et problem, der resulterer i en undersøgelse eller revision, vil succesen af organisationens forsvar være direkte relateret til styrken af det "vis og fortæl", der præsenteres for tilsynsmyndigheden eller revisoren. Dokumentation er den "vise" del af forsvaret, der kan bruges til at demonstrere, at sikkerhedskontrollen er på plads (f.eks. en liste over alle medarbejdere, der gennemfører sikkerhedsuddannelsen) og fungerer effektivt (f.eks. adgangskontrol logs viser, at en uautoriseret adgang forsøg på et system med personlige data blev identificeret og undersøgt). Oprethold et rimeligt niveau af dokumentation for at demonstrere og forsvare sikkerhedskontrollen på plads.
4. Løbende "læs og reagere" — Teknologi, forretningskrav og lovkrav vil løbende ændre sig over tid. Som følge heraf vil nye risici dukke op, og der vil være behov for nye eller anderledes sikkerhedskontroller. Dette vil være en endeløs cyklus og kræver, at organisationen løbende tilpasser og forfiner sin sikkerhedsposition for at være lydhør over for nye risici. Sikkerhed er ligesom privatliv en løbende proces, ikke et engangsprojekt.
En skræddersyet hands-on session baseret på dine behov og mål
Standarder som ISO 27001:2013 tilskynder til kontinuerlig . Af eksterne revision, med uafhængig certificering vil du give dine kunder den tillid, de har brug for for at se, at du vedligeholder ISMS og opfylder kravet om regelmæssige anmeldelser og løbende styring.
Med kunder, der sandsynligvis også har forskellige holdninger til, hvilke sikkerhedskontroller der er passende, vil implementering af en velkendt standard hjælpe med at undgå at blive trukket i forskellige retninger.
ISMS.online gør det nemt at beskrive, demonstrere og forsvare dit databeskyttelse og informationssikkerhedspraksis og kontrol.
Brug vores præbyggede GDPR og ISO 27001 rammer, ISO 27001 politikker og kontroller Sammen med risikostyringsværktøjer , værktøjer til styring af andre arbejdsprocesser krævet af GDPR.
100 % af vores brugere opnår ISO 27001-certificering første gang