Forståelse af ISO 27701 klausul 5.2: Organisationens kontekst
Beskyttelse af privatlivets fred er et kompliceret lovgivningsmæssigt emne, der inkorporerer ikke-retlig og retlig vejledning fra en lang række kilder.
Gennem hele sin serie af kontroller refererer ISO konstant til de unikke kommercielle, privatlivsbaserede og logistiske behov hos enhver organisation, der beskæftiger sig med PII.
ISO 27701 5.2 dækker, hvad der bredt kan beskrives som en række kortlægningsøvelser for organisationer, der søger at forstå deres forpligtelser over for interne og eksterne medarbejdere, og hvordan de interagerer med tredjepartsorganisationer fra en compliance og PII-perspektiv.
Hvad er dækket af ISO 27701 klausul 5.2
ISO 27701 5.2 indeholder fire underklausuler, der vedrører privatlivsbeskyttelse og behandling/kontrol af PII, som hver svarer til en forbundet klausul inden for ISO 27001 (der fungerer som hovedvejledningsdokumentet).
Derudover indeholder ISO 27701 ekstra vejledningspunkter til organisationer, der søger at implementere et PIMS, med henvisninger til, hvordan man anvender både ISO 27701 og ISO 27001 retningslinjerne på dette specifikke emne.
Organisationer skal se og implementere ISO 27701 sammen med de artikler, der er indeholdt i det offentlige GDPR retningslinier. Hvor det er relevant, har vi fremhævet de relevante GDPR-artikler sammen med deres tilstødende underklausuler.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 klausul 5.2.1 – Forståelse af organisationen og dens kontekst
Referencer ISO 27001 Kontrol 4.1
Organisationer skal gennemgå en kortlægningsøvelse, der viser både interne og eksterne faktorer i forbindelse med implementeringen af et PIMS.
Organisationen skal være i stand til at forstå, hvordan den vil opnå sine resultater med beskyttelse af privatlivets fred, og eventuelle problemer, der står i vejen for at beskytte PII, bør identificeres og behandles.
Yderligere PIMS- og PII-vejledning
Før organisationer forsøger at behandle privatlivsbeskyttelse og implementere en PII, skal organisationer først opnå en forståelse af deres forpligtelser som en enkelt eller fælles PII-controller og/eller -behandler.
Dette omfatter:
- Gennemgang af gældende love, regler eller "retlige afgørelser" om privatlivets fred;
- Under hensyntagen til organisationens unikke sæt af krav i forhold til den type produkter og service, de sælger, og virksomhedsspecifikke styringsdokumenter, politikker og procedurer;
- Eventuelle administrative faktorer, herunder den daglige drift af virksomheden;
- Tredjepartsaftaler eller servicekontrakter, der har potentiale til at påvirke PII og privatlivsbeskyttelse.
Gældende GDPR-artikler
- Artikel 24 – Den registeransvarliges ansvar
- Gældende afsnit – (3)
- Artikel 25 – Databeskyttelse ved design og standard
- Gældende afsnit – (3)
- Artikel 28 – Behandler
- Gældende sektioner – (5), (6), (10)
- Artikel 32 – Behandlingssikkerhed
- Gældende afsnit – (2)
- Artikel 40 – Adfærdskodekser
- Gældende afsnit – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artikel 41 – Overvågning af godkendte adfærdskodekser
- Gældende afsnit – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artikel 42 – Certificering
- Gældende sektioner – (1), (2), (3), (4), (5), (6), (7), (8)
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 5.2.2 – Forståelse af interesserede parters behov og forventninger
Referencer ISO 27001 Kontrol 4.2
PII og privatlivsbeskyttelse har potentiale til at påvirke et stort antal medarbejdere, brugere, kunder, både internt og eksternt.
Organisationer skal opnå en klar forståelse af behovene hos berørt personale, og hvad ISO betragter som "interesserede parter".
Organisationens behov for at etablere og dokumentere:
- Eventuelle "interesserede parter", der er relevante for det bredere emne privatlivsbeskyttelse;
- Hvad er de unikke krav til de nævnte personer inden for rammerne af en PIMS;
Organisationer bør også tage hensyn til eventuelle juridiske, reguleringsmæssige eller kontraktlige forpligtelser ud over praktiske og operationelle krav.
Yderligere PIMS- og PII-vejledning
Når de implementerer et PIMS, skal organisationer kortlægge en liste over interesserede parter, der enten er berørt af et PIMS eller har en rolle at spille i behandlingen af PII.
Når det drejer sig om PII, kan en interesseret part være en af følgende (men ikke begrænset til):
- En ansat;
- En kunde;
- Regulerings-, rets- eller tilsynsmyndigheder;
- Andre PII-controllere og processorer.
Det er vigtigt at bemærke, at PII-krav – som relateret til en PIMS – ofte stammer fra en lang række kilder, herunder:
- Interne processer og mål;
- Statslige og/eller regulerende organer;
- Kontraktlige forpligtelser med tredjepartsorganisationer.
Det kan ofte være svært for styrende og regulerende organisationer at bekræfte overholdelse af offentliggjorte privatlivsbeskyttelsesstandarder fra en organisations side i dens rolle som PII-behandler og dataansvarlig.
Som sådan skal organisationer forvente, at sådanne organer kræver uafhængige gennemgange af ethvert relevant ledelsessystem for at opfylde deres egne revisionskrav.
Gældende GDPR-artikler
- Artikel 31 – Samarbejde med tilsynsmyndigheden
- Artikel 35 – Konsekvensvurdering af databeskyttelse
- Gældende afsnit – (9)
- Artikel 36 – Forudgående høring
- Gældende afsnit – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 5.2.3 – Bestemmelse af omfanget af informationssikkerhedsstyringssystemet
Referencer ISO 27001 Kontrol 4.3
ISO anbefaler en grundig scoping-øvelse, så organisationer er i stand til at producere et PIMS, der for det første opfylder kravene til beskyttelse af privatlivets fred, og for det andet ikke kryber ind i områder af virksomheden, der ikke har brug for opmærksomhed.
Organisationer bør etablere og dokumentere:
- Eventuelle eksterne eller interne problemer, som beskrevet i ISO 27001 4.1;
- Tredjepartskrav som beskrevet i ISO 27001 4.2;
- Hvordan organisationen interagerer med både sig selv og eksterne instanser (f.eks. kundekontaktpunkter, IKT-grænseflader).
Yderligere PIMS- og PII-vejledning
Alle scoping-øvelser, der kortlægger en PIMS-implementering, bør omfatte en grundig vurdering af PII-behandling og -lagringsaktiviteter.
Gældende GDPR-artikler
- Artikel 32 – Behandlingssikkerhed
- Gældende afsnit – (2)
ISO 27701 klausul 5.2.4 – Informationssikkerhedsstyringssystem
Referencer ISO 27001 Kontrol 4.4
Organisationer bør søge at implementere, administrere og optimere et PIMS i overensstemmelse med offentliggjorte ISO-standarder.
Gældende GDPR-artikler
- Artikel 32 – Behandlingssikkerhed
- Gældende afsnit – (2)
Understøttende kontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27001 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.2.1 | Forståelse af organisationen og dens kontekst |
4.1 – Forståelse af organisationen og dens kontekst for ISO 27001 |
Artikel (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Forståelse af interesserede parters behov og forventninger |
4.2 – Forståelse af interesserede parters behov og forventninger til ISO 27001 |
Artikel (31), (35), (36) |
| 5.2.3 | Bestemmelse af omfanget af informationssikkerhedsstyringssystemet |
4.3 – Bestemmelse af omfanget af ISMS for ISO 27001 |
Artikel (32) |
| 5.2.4 | Informationssikkerhedsstyringssystem |
4.4 – Information Security Management System (ISMS) til ISO 27001 |
Artikel (32) |
Sådan opnår du ISO 27701-overensstemmelse gennem ISMS.online
ISMS.online platformen tilbyder en tilpasselig PIMS-facilitet, der overvåger, rapporterer og auditerer i forhold til både ISO 27001 og ISO 27701 ved et klik på en knap.
Vores løsning indeholder et dynamisk Records of Processing Activity-værktøj, der fjerner hovedpine, der er forbundet med datakortlægning, dataregistrering og revision, med en indbygget risikobank, der tilbyder praktisk assistance gennem hele vurderings- og styringsprocessen.
ISO 27701 5.2 indeholder en række vejledningspunkter om tredjeparts privatlivsstandarder og forholdet mellem en PII-ansvarlig og en registreret via en mandateret anmodning om datasubjektsrettigheder (DRR). Vores DRR-styringssystem tilbyder en centraliseret administrationshub, der håndterer alt fra forespørgsler til rapportering og analyser.
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27001- og 27701-certificering ved at bruge ISMS.online ved at bestille en demo.
