ISO 27701 Klausul 5.6 Forklaret: Vigtige operationelle krav
ISO 27701 paragraf 5.6 omhandler praksis med at kontrollere de processer, kontroller og procedurer, der er nødvendige for at fungere med en robust plan for beskyttelse af privatlivets fred og datastyringssystem for privatlivets fred.
Operationel planlægning dækker en bred vifte af emner – fra strukturerede forandringsledelsesaktiviteter til risikovurderinger for beskyttelse af privatlivets fred og risikobehandlingsplaner, der forbedre sikkerheden af PII inden for rammerne af organisationens netværk.
Hvad er dækket af ISO 27701 klausul 5.6
ISO 27701 paragraf 5.6 indeholder tre underklausuler, der stole på ledsagende vejledning inden for ISO 27001:
- ISO 27701 5.6.1 – Operationel planlægning og kontrol (Referencer ISO 27001 Kontrol 8.1)
- ISO 27701 5.6.2 – Risikovurdering af informationssikkerhed (Referencer ISO 27001 Kontrol 8.2)
- ISO 27701 5.6.3 – Behandling af informationssikkerhedsrisici (Referencer ISO 27001 Kontrol 8.3)
ISO 27701 5.6 indeholder ingen andre vejledningspunkter, der specifikt omhandler implementeringen af et PIMS - i stedet fokuserer dens opmærksomhed mere bredt på organisatorisk beskyttelse af privatlivets fred - og den indeholder heller ikke nogen tilstødende GDPR poster.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 Klausul 5.6.1 – Operationel planlægning og kontrol
Referencer ISO 27001 Kontrol 8.1
ISO 27701 Kontrol 5.6.1 beskriver ISOs bredere tilgang til planlægning af privatlivsbeskyttelse. Organisationer bør 'planlægge, implementere og kontrollere' og interne procedurer eller processer, der er relevante for beskyttelse af privatlivets fred og lagring og behandling af PII (se ISO 27001 6.1 og 6.2).
ISO beder også organisationer om at opbevare dokumenterede oplysninger, der beviser overholdelse og ændringer på tværs af organisatoriske kontrolforanstaltninger til beskyttelse af privatlivets fred, herunder alle outsourcede aktiviteter.
Planlægning omfatter også forandringsledelse. ISO kræver, at organisationer administrerer alle interne ændringer for at minimere risikoen for PII og evaluere eventuelle utilsigtede konsekvenser, der opstår som følge af målrettede eller utilsigtede ændringer.
Relevante ISO 27001 kontroller
- 6.1 – Handlinger til håndtering af risici og muligheder
- 6.1.2 – Risikovurdering af informationssikkerhed
- 6.2 – Informationssikkerhedsmål og planlægning for at nå dem
ISO 27701 Klausul 5.6.2 – Informationssikkerhedsrisikovurdering
Referencer ISO 27001 Kontrol 8.2
Organisationer skal udføre periodiske risikovurderinger for beskyttelse af privatlivets fred på vigtige stadier af operationen – såsom en større ændring eller umiddelbart efter en sikkerhedshændelse.
Som med alle PII-relaterede aktiviteter bør organisationer grundigt dokumentere enhver risikovurdering for at forbedre dens overordnede informationssikkerhedsfunktion og for at kunne levere tilstrækkelig dokumentation til juridiske og regulerende myndigheder, hvis behovet skulle opstå.
Relevante ISO 27001 kontroller
- 6.1.2 – Risikovurdering af informationssikkerhed
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 Klausul 5.6.3 – Informationssikkerhedsrisikobehandling
Referencer ISO 27001 Kontrol 8.3
Ud over periodiske risikovurderinger bør organisationer også vedtage en "risikobehandlingsplan" for privatlivsbeskyttelse, som bør indeholde anbefalinger, der reducerer sandsynligheden for og/eller virkningen af eventuelle risici, der er forbundet med opbevaring og behandling af PII.
Understøttende kontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27001 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.6.1 | Driftsplanlægning og kontrol |
8.1 – Operationel planlægning og kontrol for ISO 27001 |
Ingen |
| 5.6.2 | Informationssikkerhedsrisikovurdering |
8.2 – Informationssikkerhedsrisikovurdering for ISO 27001 |
Ingen |
| 5.6.3 | Informationssikkerhedsrisikobehandling |
8.3 – Informationssikkerhedsrisikobehandling for ISO 27001 |
Ingen |
Hvordan ISMS.online hjælper
Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27001 og ISO 27701 med et klik på en knap.
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27001- og 27701-certificering ved hjælp af ISMS.online.
Se det live med ISMS.online af booking af en demo.
