Hvordan paragraf 5.5 styrker din privatlivsramme
Ud over implementeringen af specifikke politikker og selve PIMS skal organisationer være opmærksomme på, hvordan de både understøtter og formidler deres bredere beskyttelse af privatlivets fred og PIMS-relaterede aktiviteter, både internt og eksternt, for at sikre fortsat overholdelse.
ISO 27701 5.5 omhandler støttebegrebet på fire hovedområder:
- Ressourcer – Hvor godt placeret en organisation er til at implementere et PIMS fra et økonomisk og mandskabsmæssigt perspektiv.
- Kompetence – De færdigheder og færdigheder, der kræves for at operere i et sikkert datamiljø.
- Awareness – Sikre, at personalet forstår både selve politikkerne, og hvad der forventes af dem.
- Kommunikation – Hvordan privatlivsbeskyttelsesaktiviteter og begivenheder kommunikeres både i og uden for organisationen.
Hvad er dækket af ISO 27701 klausul 5.5
For at formulere de forskellige privatlivsbeskyttelse, PII og PIMS-relaterede retningslinjer, er ISO 27701 5.5 stærkt afhængig af vejledning indeholdt i ISO 27001 afsnit 7 (Support).
ISO 27701 5.5 indeholder fire underklausuler, der tager hvert element af organisatorisk støtteaktivitet efter tur:
- ISO 27701 5.5.1 – Ressourcer (Referencer ISO 27001 Kontrol 7.1)
- ISO 27701 5.5.2 – Kompetence (Referencer ISO 27001 Kontrol 7.2)
- ISO 27001 5.5.3 – Bevidsthed (Referencer ISO 27001 Kontrol 7.3)
- ISO 27001 5.5.4 – Kommunikation (Referencer ISO 27001 Kontrol 7.4)
I modsætning til de fleste andre klausuler i ISO 27701 indeholder paragraf 5.5 ingen yderligere vejledning, der er gældende for implementeringen af et PIMS, og heller ikke nogen af dets underklausuler er relevante for artikler indeholdt i GDPR lovgivning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 5.5.1 – Ressourcer
Referencer ISO 27001 Kontrol 7.1
Organisationer skal sikre, at de har tilstrækkelige ressourcer til at planlægge, implementere og forbedre et PIMS, der opfylder deres erklærede privatlivsbeskyttelsesmål.
ISO 27701 punkt 5.5.2 – Kompetence
Referencer ISO 27001 Kontrol 7.2
Enhver, der arbejder med kontroller, politikker og/eller procedurer, der omhandler organisatorisk beskyttelse af privatlivets fred, bør have den nødvendige kompetence til at gøre det.
For at beskytte PII og forhindre utilsigtet eksponering eller tab af data, bør organisationer:
- Sørg for, at alle, der udfører arbejde, der har potentiale til at påvirke beskyttelsen af privatlivets fred og PII, har de nødvendige færdigheder til at gøre det.
- Husk tre faktorer, der angiver en persons kompetenceniveau:
- Uddannelse.
- Træning.
- Erfaring.
- Tag skridt til at rekruttere, uddanne og/eller på anden måde opnå de nødvendige kompetenceniveauer.
- Vedligeholde grundig dokumentation, der er i stand til at påvise overholdelse af det nødvendige kompetenceniveau, som krævet af organisationens PIMS og/eller privatlivsbeskyttelsespolitik.
ISO 27701 paragraf 5.5.3 – Bevidsthed
Referencer ISO 27001 Kontrol 7.3
At fremme bevidstheden om en PIMS og organisatorisk privatlivspolitik er altafgørende for at sikre overholdelse af bredere informationssikkerhed og PII-mål.
Personer, der udfører arbejde, der har potentiale til at påvirke beskyttelsen af privatlivets fred, bør udtrykkeligt være opmærksomme på:
- Organisationens privatlivspolitik.
- Deres forpligtelser til at opretholde en effektiv og kompatibel PIMS.
- Konsekvenserne af, at vejret med vilje eller ved et uheld omgår nogen af organisationens kontroller af privatlivets fred – både for dem selv, organisationen og de registrerede.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 punkt 5.5.4 – Kommunikation
Referencer ISO 27001 Kontrol 7.4
Som med de fleste andre forretningsfunktioner bør effektiv kommunikation (både intern og ekstern) være front og centrum for enhver organisatorisk beskyttelse af privatlivets fred.
Ved implementering eller ændring af en privatlivsbeskyttelsespolitik eller -procedure eller meddelelser om et PIMS- eller PII-relateret spørgsmål, bør organisationen beslutte:
- Præcis hvad der skal kommunikeres.
- Hvornår skal der kommunikeres internt og eksternt (f.eks. til en registreret eller gruppe af personer efter en PII-relateret hændelse).
- Hvem skal man kommunikere til (f.eks. medarbejdere, der er berørt af en politikændring).
- Hvem fra organisationen skal kommunikere.
hvordan man kommunikerer (dvs. hvilke kanaler eller medier, og eventuelle processer, der skal følges, herunder indledende udarbejdelse og godkendelse).
Understøttende kontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27001 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.5.1 | Ressourcer | 7.1 – Ressourcer til ISO 27001 | Ingen |
| 5.5.2 | Kompetence | 7.2 – Kompetence til ISO 27001 | Ingen |
| 5.5.3 | Awareness | 7.3 – Bevidsthed om ISO 27001 | Ingen |
| 5.5.4 | Kommunikation | 7.4 – Kommunikation til ISO 27001 | Ingen |
Hvordan ISMS.online hjælper
ISMS.online platformen har indbygget vejledning ved hvert trin kombineret med vores 'Adopter, Adapt, Add' implementeringstilgang, så den indsats, der kræves for at opnå ISO 27701, er væsentligt reduceret.
Du vil også drage fordel af en række kraftfulde tidsbesparende funktioner.
Se alle vores funktioner i aktion af booking af en demo.
