Forståelse af ledelsesansvar i ISO 27701, paragraf 5.3
Organisatorisk ledelse og ledelse er et gennemgående tema gennem alle ISO's forskellige informationssikkerhedsstyringssystem-relaterede standarder.
Politikker og procedurer er kun effektive, hvis de både er anerkendt og ensartet overholdt. Den øverste ledelse spiller en nøglerolle i at sikre dette PIO og PIMS-relaterede aktiviteter får det niveau af respekt og professionalisme, som berettiges af deres rolle i at minimere risiko og forbedre informationssikkerheden over hele linjen.
Hvad er dækket af ISO 27701 klausul 5.3
Klausul 5.3 omhandler direkte den øverste ledelses rolle i etableringen af et PIMS, der opfylder en organisations eksterne forpligtelser og PII-krav fra bunden gennem tre centrale operationelle områder:
- Ledelse og engagement.
- Politik.
- Organisatoriske roller, ansvar og beføjelser.
For at opnå dette indeholder ISO 27701-5.3 tre underklausuler, der referencevejledning fra 27001:2013.
Alle disse klausuler bør ses gennem prismen med at etablere og vedligeholde en PIMS, PII-sikkerhed og privatlivsbeskyttelse, snarere end bredt anvendt på informationssikkerhed som et koncept.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 5.3.1 – Ledelse og forpligtelse
Referencer ISO 27001 Kontrol 5.1
ISO 27001:2013-5.1 indeholder 7 hovedvejledningspunkter, der giver topledelsen hjælp til at demonstrere 'lederskab og engagement', når de udarbejder en informationssikkerhedspolitik vedrørende PII.
Under hele processen med at etablere et PIMS bør topledelsen:
- Husk de operationelle mål for ledelsessystemet som helhed, og sørg for, at PIMS-relaterede aktiviteter er tilpasset det, virksomheden forsøger at opnå;
- Sikre, at organisationens PIMS er indlejret i virksomhedens sæt af informationssikkerhedsprocesser;
- Stille en tilstrækkelig mængde ressourcer til rådighed til at implementere et fungerende PIMS – herunder budgetplads og den rigtige mængde medarbejdere til at implementere og vedligeholde den;
- Evangelisere fordelene ved en PIMS til alle medarbejdere i organisationen – ikke kun dem, der interagerer direkte med den – for at maksimere medarbejdernes buy-in og forbedre overholdelse;
- Aftal et klart sæt af resultater for at måle ydeevnen af et PIMS og dets indvirkning på PII-sikkerheden;
- Yde lederskab og støtte til enhver medarbejder, der spiller en rolle i at forbedre PIMS'ens ydeevne, og pleje en proaktiv holdning til at beskytte PII;
- Tilbyde vejledning og støtte til medlemmer af juniorledelsen inden for områder af deres job, der relaterer direkte til PIMS-relaterede aktiviteter og PII-sikkerhed.
ISO 27701 klausul 5.3.2 – Politik
Referencer ISO 27001 Kontrol 5.2
Informationspolitikker er brød og smør i en organisations bredere indsats for beskyttelse af privatlivets fred.
Seniorledelsen bruger protokoller og procedurer til ikke kun at forbedre informationssikkerhedsrisikostyringen som helhed, men også som et værktøj til at måle medarbejdernes præstationer og demonstrere over for juridiske og regulerende myndigheder, at organisationen opfylder sine forpligtelser over for PII.
Informationssikkerhedspolitikker vedrørende privatlivsbeskyttelse, PII og PIMS bør:
- Forblive relevant og passende i forhold til organisationens unikke kommercielle og ressourcerelaterede behov;
- Skitser et klart sæt PII-relaterede mål, eller hvor dette ikke er relevant, hjælper det med at etablere en ramme for fastsættelse af fremtidige sikkerheds- og privatlivsmål (se ISO 27001 paragraf 6.2*);
- Vær opmærksom på eventuelle specifikke organisatoriske krav i forbindelse med PII, herunder dem fra tredjeparts juridiske, rådgivende og regulerende organer;
- Fremme en proaktiv tilgang til den løbende evaluering af organisationens PIMS, herunder og forbedringer, der kan foretages;
Når først de er etableret, bør politikker gøres let tilgængelige for alle relevante medarbejdere som versionskontrollerede dokumenter og kommunikeres bredt i hele organisationen – enten på tidspunktet for oprettelsen, eller når der foretages ændringer, der har potentiale til at påvirke PII-sikkerheden.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 5.3.3 – Organisatoriske roller, ansvar og myndigheder
Referencer ISO 27001 Kontrol 5.3
I hele sin familie af informationssikkerhedsstandarder refererer ISO løbende til rollebaserede aktiviteter baseret på en persons jobtype og tildelte ansvarsområder.
ISO 27701-5.3.3 beder organisationer om at sikre, at enhver, der bruger PII, interagerer med en PIMS eller er ansvarlig for beskyttelse af privatlivets fred, har en klart defineret rolle og forstår præcist, hvad de er ansvarlige for, inklusive den øverste ledelse selv).
Den øverste ledelse bør sikre, at alle PIMS- og PII-relaterede procedurer er i overensstemmelse med ISO 27001-standarderne, og delegere rapporteringsansvar til medarbejdere, der dissekerer udførelsen af organisationens PIMS med jævne mellemrum.
Understøttende kontroller fra ISO 27001 og GDPR
*Kontrol 6.2 – Informationssikkerhedsmål og planlægning for at nå dem (refereret i ISO 27701 paragraf 5.3.2)
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27001 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.3.1 | Ledelse og engagement |
5.1 – Ledelse og forpligtelse til ISO 27001 |
Ingen |
| 5.3.2 | Politik |
5.2 – Informationssikkerhedspolitik for ISO 27001 |
Ingen |
| 5.3.3 | Organisatoriske roller, ansvar og beføjelser |
5.3 – Organisatoriske roller, ansvar og myndigheder for ISO 27001 |
Ingen |
Hvordan ISMS.online kan hjælpe
Med vores prækonfigurerede PIMS kan du hurtigt og nemt organisere og administrere kunde-, leverandør- og personaleoplysninger for fuldt ud at overholde ISO 27701.
Vi gør datakortlægning til en simpel opgave. Det er nemt at registrere og gennemgå det hele ved at tilføje din organisations detaljer til vores forudkonfigurerede dynamiske værktøj til registreringer af behandlingsaktivitet.
Du skal vise, hvor godt du administrerer anmodninger om datasubjektrettigheder (DRR). Vores sikre DRR-plads holder det hele ét sted og understøtter det med automatisk rapportering og indsigt.
Vi har skabt en indbygget risikobank og en række andre praktiske værktøjer, der vil hjælpe med alle dele af risikovurderingen og styringsprocessen.
Find ud af mere ved booking af en demo.
