ISO 27701, paragraf 5.4 – Planlægning

ISO 27701 kontroller og klausuler forklaret

Book en demo

silhuetter,af,folk,sidder,ved,bordet.,et,hold,af

Det er vigtigt, at organisationer, før de implementerer et PIMS, får et klart billede af, hvad deres specifikke privatlivsbeskyttelse/PII-mål er på alle niveauer af deres informationssikkerhedsdrift.

Risikovurdering bør være et nøgleelement i alle protokoller til beskyttelse af privatlivets fred i hele organisationen, herunder en forståelse af, hvordan man vurderer og analyserer risici, og "risikobehandling" - processen med at ændre risiko gennem en række tekniske foranstaltninger.

Hvad er dækket af ISO 27701 klausul 5.4

ISO 27701 5.4 omhandler de skridt, organisationer skal tage, når de planlægger en PIMS eller privatlivsbeskyttelsespolitik.

ISO 27701 5.4 bygger på vejledning fra ISO 27001 6.1 (Handlinger for at adressere risici og muligheder) og indeholder yderligere vejledning på tværs af fire hovedunderklausuler:

  • ISO 27701 klausul 5.4.1.1 (Referencer ISO 27001 kontrol 6.1.1)

  • ISO 27701 klausul 5.4.1.2 (Referencer ISO 27001 kontrol 6.1.2)

  • ISO 27701 klausul 5.4.1.3 (Referencer ISO 27001 kontrol 6.1.3)

  • ISO 27701 klausul 5.4.2 (Referencer ISO 27001 kontrol 6.2)

To underafsnit (5.4.1.2 og 5.4.1.3) indeholder begge vejledninger, der direkte relaterer til artikel 32 i GDPR, mere specifikt afsnit (1)(b), (2).

Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.

Gå til emne
Opnå ISO 27701 succes

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISO 27701 paragraf 5.4.1.1 – Generelt

Referencer ISO 27001 Kontrol 6.1.1

Generelt skal organisationer vedtage en risikospecifik tilgang til planlægning af et PIMS, der:

  1. Arbejder hen imod at opbygge et PIMS, der opnår et sæt specifikke privatlivsbeskyttelsesmål.

  2. Søger enten fuldstændigt at udrydde eller minimere eventuelle negative virkninger.

  3. Stræber efter den løbende udvikling og trinvise forbedring af PII og privatlivsrelaterede aktiviteter.

Når organisationer udarbejder en plan, skal de:

  1. Vær opmærksom på de specifikke handlinger, der er nødvendige for at håndtere eventuelle risici, og implementer dem i et PIMS.

  2. Evaluer konstant deres tilgang.

Relevante ISO 27001 kontroller

Vejledningen indeholdt i ISO 27701 5.4.1.1 er tæt forbundet med en organisations evne til at forstå dens krav og forventningerne til internt og eksternt personale og PII-emner, hvis data organisationen har.

  • ISO 27001 4.1 – Forståelse af organisationen og dens kontekst.

  • ISO 27001 4.2 – Forståelse af interesserede parters behov og forventninger.

ISO 27701 Klausul 5.4.1.2 – Informationssikkerhedsrisikovurdering

Referencer ISO 27001 Kontrol 6.1.2

Organisationer bør kortlægge og implementere en risikovurderingsproces for beskyttelse af privatlivets fred, der:

  • Inkluderer risikoacceptkriterier med henblik på at udføre vurderinger af privatlivsbeskyttelse.

  • Giver en ramme for sammenlignelig analyse af alle vurderinger af privatlivsbeskyttelse.

  • Identificerer privatlivsbeskyttelsesrisici (og deres ejere).

  • Overvejer de farer og risici, der er forbundet med tab af "fortrolighed, tilgængelighed og integritet" af PII.

  • Analyserer risici for beskyttelse af privatlivets fred sammen med tre faktorer:

    • Deres potentielle konsekvenser.

    • Sandsynligheden for at de opstår.

    • Deres sværhedsgrad.

  • Analyserer og prioriterer eventuelle identificerede risici i overensstemmelse med deres risikoniveau.

Yderligere PIMS- og PII-vejledning

Organisationer bør fokusere risikovurderingsaktiviteter, der ikke kun omhandler informationssikkerhed, men komplementerer implementeringen af ​​et PIMS og til behandling og opbevaring af PII.

Organisationer bør huske på konsekvenserne, ikke kun for virksomheden selv, men for eventuelle PII principper, bør og problemer opstår.

Gældende GDPR-artikler

  • Artikel 32 – Behandlingssikkerhed

    • Gældende afsnit – (1)(b), (2)

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Vi er omkostningseffektive og hurtige

Opdag, hvor nemt ISO 27701 er med ISMS.online
Få dit tilbud

ISO 27701 Klausul 5.4.1.3 – Informationssikkerhedsrisikobehandling

Referencer ISO 27001 Kontrol 6.1.3

Organisationer bør udarbejde og implementere en privatlivsbeskyttelse/PII "risikobehandlingsproces", der:

  1. implementere en 'risikobehandlingsplan' til beskyttelse af privatlivets fred.

  2. identificerer, hvordan en PIMS skal behandle individuelle risikoniveauer, baseret på et sæt vurderingsresultater.

  3. fremhæver en række kontroller, der er nødvendige for at implementere behandling af beskyttelse af privatlivets fred.

  4. krydsreferencer til kontrolelementer, der er identificeret med den omfattende liste fra ISO i Bilag A til ISO 27001.

  5. dokumentere og begrunde brugen af ​​eventuelle kontroller, der anvendes i en formel "erklæring om anvendelighed".

  6. søg godkendelse fra eventuelle risikoejere, før der færdiggøres en risikobehandlingsplan for beskyttelse af privatlivets fred, der omfatter enhver "resterende" privatlivsbeskyttelse og PII-risici.

Gældende GDPR-artikler

  • Artikel 32 – Behandlingssikkerhed

    • Gældende afsnit – (1)(b), (2)

ISO 27701 klausul 5.4.2 – Informationssikkerhedsmål og planlægning for at nå dem

Referencer ISO 27001 Kontrol 6.2

Organisatoriske mål for beskyttelse af privatlivets fred bør:

  • Vær på linje med andre informationssikkerhedspolitikker.

  • Vær kvantificerbar til rapportering og vurderingsformål.

  • Indarbejde data fra risikovurderinger og risikobehandlinger.

  • Gøres tilgængelig for alle relevante medarbejdere og registrerede.

  • Bliv løbende forbedret og opdateret i overensstemmelse med operationelle resultater og begivenheder i den virkelige verden.

  • Bliv dokumenteret.

Igennem planlægningsprocessen skal organisationer etablere følgende:

  1. Eventuelle ressourcer, der kræves.

  2. Hvem får ejerskab til målene, deres helt eller delvist.

  3. Hvornår en organisations erklærede mål vil blive opfyldt.

  4. Hvordan eventuelle data skal analyseres.

Understøttende kontroller fra ISO 27001 og GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27001 kravTilknyttede GDPR-artikler
5.4.1.1Generelt6.1.1 – Generelle aspekter i planlægning omkring risiko for ISO 27001Ingen
5.4.1.2Informationssikkerhedsrisikovurdering6.1.2 – Informationssikkerhedsrisikovurdering for ISO 27001Artikel (32)
5.4.1.3Informationssikkerhedsrisikobehandling6.1.3 – Informationssikkerhedsrisikobehandling for ISO 27001Artikel (32)
5.4.2Informationssikkerhedsmål og planlægning for at nå dem6.2 – Informationssikkerhedsmål og planlægning for at nå dem for ISO 27001Ingen

Hvordan ISMS.online hjælper

Du skal oprette et Privacy Information Management System (PIMS) for at opfylde ISO 27701. Med vores forudbyggede Privacy Information Management System (PIMS) kan du hurtigt og effektivt organisere og håndtere kunde-, leverandør- og medarbejderoplysninger for at opfylde ISO 27701-kravene.

Privatlivsvurderinger kan nemt opsættes og køres, lige fra databeskyttelseskonsekvensvurderinger til lovgivningsmæssige eller overholdelsesberedskabsvurderinger.

Se hele vores udvalg af funktioner ved booking af en demo.

Se vores platform
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere