Opnåelse af lovgivningsmæssig overensstemmelse med ISO 27701

Oprettelse af et ISO 27701-baseret PIMS for at opnå overholdelse af privatlivsforordninger

Vores ISO 27701-løsning er en præ-konfigureret PIMS. Det vil sikre, at dit privatlivsarbejde stemmer overens med og opfylder behovene i hver del af standarden. Og fordi det er reguleringsagnostisk, kan du kortlægge det på enhver regulering eller reguleringer, du har brug for.

Dit PIMS følger ISO 27701 og hjælper dig med at opnå GDPR-overholdelse ved at:

Reagerer på det store billede

Du starter PIMS-udviklingsprocessen ved at forstå den kontekst, din PIMS vil arbejde i. Det vil du definere, om din organisation er en PII-controller, PII-processor eller begge dele. Og det vil du sørg for at du er opmærksom af:

• Juridiske faktorer, såsom privatlivslovgivning, regler eller retsafgørelser
• Organisatoriske faktorer, såsom dens kontekst, ledelse, politikker og procedurer
• Praktiske faktorer, som enhver administrativ afgørelse og kontraktmæssige krav

Så sørger du for forstå og tage hensyn til behov og forventninger hos enhver med interesse i, hvordan du behandler PII. Det kan være en lang liste, inklusive alle fra dine kunder og leverandører til tilsynsmyndigheder og handelsorganer.

Når du har arbejdet igennem alt det, vil du være i stand til at udforske dine PIMS. Hvis du udvider dit eksisterende ISMS til også at imødekomme PIMS-krav, skal du muligvis genovervej dit ISMS' omfang også. Og hvis du implementerer begge på samme tid, så vil du sørge for, at de vil arbejde sammen.

Få dit lederskab med ombord

Hele din organisation skal forstå og overholde dine PIMS. For at opnå det skal du have din seniorledelse fuldt ud ombord. ISO 27701 peger dig tilbage til ISO 27001 for at få vejledning. Hvis du allerede har oprettet et ISO 27001 ISMS, vil det være en velkendt proces.

• Du skal sikre dig, at din topledelse viser lederskab og engagement i dine PIMS ved at: Opstille klare privatlivsmål, sørge for, at dit PIMS opnår dem, allokere ressourcer til at skabe og vedligeholde det, integrere det med bredere organisatoriske processer og hjælpe det konstant. forbedre

De vil også angive dine bredere privatlivspolitikker. De burde:

• Støt og bidrag til din organisations bredere strategi og formål, sæt klare privatlivsmål eller beskriv, hvordan du opretter dem, og inkluder en forpligtelse til både at opfylde dens privatlivsbehov og løbende at forbedre dine PIMS

Og selvfølgelig skal du dokumentere dem og sørge for, at alle, der har brug for at forstå dem, hurtigt og nemt kan få adgang til dem.

Endelig skal dine topledere udpege de personer, der vil være ansvarlige for og ansvarlige for dine PIMS. De vil holde det i overensstemmelse med standarden og rapportere tilbage om dets status, fremskridt og resultater, når og når det er nødvendigt.

At være nøje planlagt

Når du har forstået den kontekst, du arbejder i, og har den øverste ledelse helt bag dig, kan du begynde at planlægge din PIMS. Også her sender ISO 27701 dig tilbage til ISO 27001 for at få vejledning, men den tilføjer sine egne privatlivsspecifikke justeringer.

Du skal:

• Vurder risici dine PII-ansigter, opstil klare politikker og kontroller til håndtering af nogle eller alle disse risici og begrund, hvorfor du har valgt at ignorere nogen af ​​dem
• Dokumenter dine politikker, kontroller og eventuelle beslutninger om dem på en let tilgængelig måde, læs måde, og sørg for, at alle opdateringer er nøjagtige og rettidige

Igen, hvis du allerede har oprettet en ISO 27001-baseret ISMS det vil være en meget velkendt proces. Og hvis du udvikler en PIMS og en ISMS sammen, vil du sandsynligvis være i stand til at flette dine arbejdsstrømme.

At have al den støtte, den har brug for

Også her er ISO 27001 og ISO 27701 meget tæt forbundet. ISO 27701 beder dig følge ISO 27001's supportvejledning.

• Du bør sikre dig, at du har alle de ressourcer, du har brug for til at opsætte, implementere, vedligeholde og løbende udvikle dine PIMS tilgængelige, når du har brug for dem
• De mennesker, der arbejder på din PIMS, burde have alle kompetencer, som deres roller kræver – hvis de ikke gør det, bør du oprette træning eller uddannelse for dem
• Du skal sikre dig, at alle, der er berørt af din PIMS, forstår, hvorfor det er så vigtigt, hvad det beskytter, og hvordan man overholder det
• Du skal fuldt ud dokumentere dine PIMS (præcis hvad det betyder afhænger af din organisations størrelse og type) og planlægge, hvordan du vil opdatere din dokumentation

Gennemgår løbende evaluering

En ikke-undersøgt PIMS er ikke værd at have. Du skal være klar over, hvordan du overvåger, måler, analyserer og evaluerer din PIMS for at sikre, at den opnår alt, hvad den skal. Standarden henviser dig til ISO 27001 for vejledning i, hvordan du gør det.

Det specificerer, at du skal udføre regelmæssige interne revisioner og ledelsesgennemgange. Begge skal ske med planlagte intervaller og følge nøje dokumenterede processer. Du skal også have en klar plan for at reagere på afvigelser og korrigerende handlinger.

Du vil evaluere dine ISO 27701-baserede PIMS og ISO 27001-baserede ISMS på meget lignende måder. Som altid, hvis du allerede har et ISO 27001 ISMS, vil du finde hele processen meget velkendt.

Konstant udvikling og forbedring

Du vil følge ISO 27001-baserede processer for at udvikle og forbedre dine PIMS. Det betyder, at du hurtigt og effektivt reagerer på eventuelle uoverensstemmelser. Og du vil dokumentere både selve uoverensstemmelserne og de handlinger, du tog for at rette dem.

Du vil også se efter løbende at forbedre dine PIMS. Det er en meget vigtig pointe at huske. En PIMS er ikke et sæt af ild-og-glem dokumenter, der – når de først er oprettet – kan efterlades på en harddisk et eller andet sted.

Det er et dynamisk beskyttelsessystem, der vil udvikle sig med enhver ændring i din organisation og det miljø, den arbejder i. Så du skal sikre dig, at du løbende tager skridt til at øge egnetheden, tilstrækkeligheden og effektiviteten af ​​dine PIMS.