ISO 27001:2022 Bilag A Kontrol 5.34

Privatliv og beskyttelse af PII

Book en demo

tæt på,billede,af,kvinde,hænder,indtastning,på,laptop,computer

PII er enhver data, der kan bruges til at identificere en person.

Som eksempler kan nævnes:

  • Kørekort.

  • Finansielle oplysninger, herunder bankkonti.

  • Medicinske journaler.

  • Adresse.

  • National Insurance Number eller CPR-nummer.

PII er et grundlæggende element i en organisations datatilsynsplan og bringer en række forskellige regulatoriske, lovgivningsmæssige og kontraktmæssige farer med sig.

ISO 27001:2022 Bilag A 5.34 dækker beskyttelsen af ​​personligt identificerbare oplysninger (PII) på tre forskellige områder:

  • Privatliv.

  • Beskyttelse.

  • Bevarelse.

Formål med ISO 27001:2022 bilag A 5.34

ISO 27001:2022 Bilag A 5.34 er en forebyggende foranstaltning der hjælper med at holde risikoen på afstand gennem udarbejdelse af retningslinjer og procedurer, der opfylder en organisations juridiske, lovbestemte, regulatoriske og kontraktlige forpligtelser med hensyn til opbevaring, privatliv og beskyttelse af personlige identificerbare oplysninger (PII) i alle dens former.

Ejerskab af bilag A 5.34

ISO 27001:2022 Bilag A 5.34 tildeler organisationens udpegede Privacy Officer (eller relevant tilsvarende) som den person, der er ansvarlig for at føre tilsyn med overholdelse af PII.

Gå til emne
Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 5.34

Organisationer bør betragte PII-beskyttelse som en specialiseret forretningspraksis og udarbejde politikker, der er eksklusive for deres organisation og de særlige typer PII, der oftest stødes på i deres daglige aktivitet.

Organisationen bør kompilere, formulere og udføre politikker dedikeret til bevarelse, privatliv og beskyttelse af PII og sikre, at alle medarbejdere, der behandler PII, er opmærksomme på og overholder dem - ikke kun dem, der håndterer det som en del af deres pligter.

Bilag A 5.34 kræver, at organisationer formulerer politikker, der tager højde for individuelle roller, ansvar og datakontrol på tværs af organisationen på en velordnet og kortfattet måde.

En top-down tilgang er den mest effektive og effektive måde at gøre dette på, hvor en Privacy Officer er udpeget. Denne persons rolle er at vejlede medarbejdere og tredjepartsorganisationer med hensyn til PII og at tilbyde rådgivning til den øverste ledelse om overholdelse af organisationens forpligtelser.

Organisationer bør overholde regulatoriske, lovgivningsmæssige og kontraktmæssige bestemmelser og indarbejde tekniske og operationelle procedurer for effektivt at administrere PII, mens de opbevares i og flyder gennem virksomheden.

Supplerende vejledning om bilag A 5.34

Lovgivningen vedrørende personligt identificerbar information (PII) er forskellig fra land til land, selv i territorier, der har decentraliseret administrationer eller ikke-føderale regeringer.

Organisationer bør gennemgå deres behov for håndtering af personlige oplysninger og tænke over eventuelle internationale virkninger som følge af indsamling, behandling eller deling af personlige oplysninger på tværs af forskellige lande.

Selvom ISO 27001:2022 ikke giver specifik rådgivning om, hvordan man opnår dette, giver en række ISO-dokumenter mere omfattende information om emnet, herunder:

  • ISO / IEC 29100 – giver vejledning om beskyttelse af personlige identificerbare oplysninger (PII) i informations- og kommunikationsteknologisystemer (IKT). Den opstiller kravene til beskyttelse af PII og giver et overblik over de nødvendige foranstaltninger for at sikre sikker behandling af PII.

  • ISO/IEC 27701 – giver en ramme for organisationer til at administrere privatlivsoplysninger. Det giver dem mulighed for at etablere, implementere, vedligeholde og løbende forbedre et datastyringssystem for beskyttelse af personlige oplysninger. Dette system gør det muligt for organisationer at beskytte privatlivets fred for enkeltpersoner, forhindre misbrug af personlige data og overholde gældende love og regler.

  • ISO / IEC 27018 – er en adfærdskodeks for implementering af beskyttelsen af ​​personlig identificerbar information (PII) inden for offentlig cloud-infrastruktur. Det giver retningslinjer for beskyttelse af PII og dermed beskyttelse af privatlivets fred for enkeltpersoner. Koden gælder for organisationer, der behandler PII inden for offentlig cloud-infrastruktur.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 5.34 erstatter ISO 27001:2013 Bilag A 18.1.4 (Privatliv og beskyttelse af personligt identificerbare oplysninger) i den reviderede 2022-standard.

ISO 27001:2022 Annex A 5.34 er næsten identisk med 2013-versionen med to vigtige forskelle:

  1. ISO 27001: 2022 Bilag A 5.34 anbefaler, at organisationer overvejer en fagspecifik politik, når de udvikler og implementerer politikker og procedurer for personoplysninger.

  2. ISO 27001:2022 Bilag A 5.34 lægger mere vægt på varetagelse Personlige identificerbare oplysninger (som angivet i bilag A Kontroltitel) samt standardbestemmelser om privatliv og beskyttelse.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores cloud-platform giver en stærk ramme for datasikkerhedskontroller, så du kan afkrydse din ISMS-proces, mens du går, og sikre dig, at den opfylder kriterierne for ISO 27001:2022. Når det bruges korrekt, kan ISMS.online hjælpe dig med at få certificering med et minimum af tid og ressourcer.

Kontakt os nu for at reservere en demonstration.

Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.

Emmie Cooney
Driftsleder, Amigo

Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere