Det er vigtigt, at organisationer, før de implementerer et PIMS, får et klart billede af, hvad deres specifikke privatlivsbeskyttelse/PII-mål er på alle niveauer af deres informationssikkerhedsdrift.
Risikovurdering bør være et nøgleelement i alle protokoller til beskyttelse af privatlivets fred i hele organisationen, herunder en forståelse af, hvordan man vurderer og analyserer risici, og "risikobehandling" - processen med at ændre risiko gennem en række tekniske foranstaltninger.
ISO 27701 5.4 omhandler de skridt, organisationer skal tage, når de planlægger en PIMS eller privatlivsbeskyttelsespolitik.
ISO 27701 5.4 bygger på vejledning fra ISO 27001 6.1 (Handlinger for at adressere risici og muligheder) og indeholder yderligere vejledning på tværs af fire hovedunderklausuler:
To underafsnit (5.4.1.2 og 5.4.1.3) indeholder begge vejledninger, der direkte relaterer til artikel 32 i GDPR, mere specifikt afsnit (1)(b), (2).
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Generelt skal organisationer vedtage en risikospecifik tilgang til planlægning af et PIMS, der:
Når organisationer udarbejder en plan, skal de:
Vejledningen indeholdt i ISO 27701 5.4.1.1 er tæt forbundet med en organisations evne til at forstå dens krav og forventningerne til internt og eksternt personale og PII-emner, hvis data organisationen har.
Organisationer bør kortlægge og implementere en risikovurderingsproces for beskyttelse af privatlivets fred, der:
Organisationer bør fokusere risikovurderingsaktiviteter, der ikke kun omhandler informationssikkerhed, men komplementerer implementeringen af et PIMS og til behandling og opbevaring af PII.
Organisationer bør huske på konsekvenserne, ikke kun for virksomheden selv, men for eventuelle PII principper, bør og problemer opstår.
Organisationer bør udarbejde og implementere en privatlivsbeskyttelse/PII "risikobehandlingsproces", der:
Organisatoriske mål for beskyttelse af privatlivets fred bør:
Igennem planlægningsprocessen skal organisationer etablere følgende:
ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27001 krav | Tilknyttede GDPR-artikler |
---|---|---|---|
5.4.1.1 | Generelt | 6.1.1 – Generelle aspekter i planlægning omkring risiko for ISO 27001 | Ingen |
5.4.1.2 | Informationssikkerhedsrisikovurdering | 6.1.2 – Informationssikkerhedsrisikovurdering for ISO 27001 | Artikel (32) |
5.4.1.3 | Informationssikkerhedsrisikobehandling | 6.1.3 – Informationssikkerhedsrisikobehandling for ISO 27001 | Artikel (32) |
5.4.2 | Informationssikkerhedsmål og planlægning for at nå dem | 6.2 – Informationssikkerhedsmål og planlægning for at nå dem for ISO 27001 | Ingen |
Du skal oprette et Privacy Information Management System (PIMS) for at opfylde ISO 27701. Med vores forudbyggede Privacy Information Management System (PIMS) kan du hurtigt og effektivt organisere og håndtere kunde-, leverandør- og medarbejderoplysninger for at opfylde ISO 27701-kravene.
Privatlivsvurderinger kan nemt opsættes og køres, lige fra databeskyttelseskonsekvensvurderinger til lovgivningsmæssige eller overholdelsesberedskabsvurderinger.
Se hele vores udvalg af funktioner ved booking af en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo