Sikring af sikker informationsoverførsel: ISO 27701 klausul 6.10.2 forklaret
Information er ofte mest sårbar, når den overføres fra et sted til et andet – enten fysisk, digitalt eller verbalt.
Organisationer skal sikre PII, der er i transit, og give medarbejdere og leverandører et klart sæt retningslinjer for, hvordan de skal opføre sig, når de flytter information fra en kilde til en anden.
Hvad er dækket af ISO 27701 klausul 6.10.2
ISO 27701 paragraf 6.10.2 indeholder 4 underklausuler, der omhandler privatlivsbeskyttelse inden for rammerne af informationsoverførsler. Hver underklausul er afhængig af vejledningsoplysninger fra ISO 27002:
- ISO 27701 6.10.2.1 – Politikker og procedurer for informationsoverførsel (ISO 27002 kontrol 5.14).
- ISO 27701 6.10.2.2 – Aftaler om informationsoverførsel (ISO 27002 Kontrol 5.14).
- ISO 27701 6.10.2.3 – Elektronisk meddelelse (ISO 27002 kontrol 5.14).
- ISO 27701 6.10.2.4 – Fortroligheds- eller fortrolighedsaftaler (ISO 27002 Kontrol 6.6).
To underklausuler indeholder vejledning, der er gældende i Storbritannien GDPR lovgivning – (Klausuler 6.10.2.1 og 6.10.2.4), uden yderligere PIMS eller PII-relateret vejledning, der tilbydes uden for de generelle vejledningspunkter, der allerede er angivet.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 6.10.2.1 – Politikker og procedurer for informationsoverførsel
Referencer ISO 27002 Kontrol 5.14
Informationsoverførsel bør:
- Fokuser på kontroller, der forhindrer aflytning, uautoriseret adgang, kopiering, ændring, fejldirigering, ødelæggelse og nægtelse af tjeneste af PII og privatlivsrelaterede oplysninger (se ISO 27002 kontrol 8.24).
- Sørg for, at oplysningerne er sporbare.
- Kategoriser en liste over kontakter – dvs. ejere, risikoejere osv.
- Skitsere ansvar i tilfælde af en sikkerhedshændelse.
- Medtag klare og præcise mærkningssystemer (se ISO 27002 kontrol 5.13).
- Sikre en pålidelig overførselsfacilitet, herunder emnespecifikke politikker for overførsel af data (se ISO 27002 Kontrol 5.10).
- Skitser retningslinjer for opbevaring og bortskaffelse, herunder eventuelle regions- eller sektorspecifikke love og retningslinjer.
Elektronisk overførsel
Når organisationer benytter elektroniske overførselsfaciliteter, bør:
- Forsøg på at opdage og beskytte mod ondsindede programmer (se ISO 27002 kontrol 8.7).
- Fokuser på at beskytte vedhæftede filer.
- Vær meget omhyggelig med at sende oplysninger til den korrekte adresse.
- Mandat til en godkendelsesproces, før medarbejderne er i stand til at overføre information via 'eksterne offentlige tjenester' (f.eks. instant messaging), og udøve større kontrol over sådanne metoder.
- Undgå at bruge SMS-tjenester og faxmaskiner, hvor det er muligt.
Fysiske overførsler (inklusive lagermedier)
Ved overførsel af fysiske medier (herunder papirdokumenter) mellem lokaler eller eksterne lokationer, bør organisationer:
- Skitser klare ansvar for forsendelse og modtagelse.
- Vær meget omhyggelig med at indtaste de korrekte adresseoplysninger.
- Brug emballage, der giver beskyttelse mod fysisk skade eller manipulation.
- Arbejd med en liste over autoriserede kurerer og tredjepartssendere, inklusive robuste identifikationsstandarder.
- Før grundige logfiler over alle fysiske overførsler, inklusive modtageroplysninger, datoer og tidspunkter for overførsler og eventuelle fysiske beskyttelsesforanstaltninger.
Verbale overførsler
Verbalt formidling af følsomme oplysninger udgør en unik sikkerhedsrisiko, især når det drejer sig om PII og privatlivsbeskyttelse.
Organisationer bør minde medarbejderne om at:
- Undgå at have sådanne samtaler på et offentligt sted eller på en usikret intern placering.
- Undgå at efterlade voicemail-beskeder, der indeholder følsomme eller begrænsede oplysninger.
- Sørg for, at den person, de taler med, er på et passende niveau til at modtage den nævnte information, og informer dem om, hvad der vil blive sagt, før informationen videregives.
- Vær opmærksom på deres omgivelser, og sørg for, at rummets kontroller overholdes.
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
Relevante ISO 27002 kontroller
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Klausul 6.10.2.2 – Aftaler om informationsoverførsel
Referencer ISO 27002 Kontrol 5.14
Se ISO 27701 klausul 6.10.2.1
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 6.10.2.3 – Elektronisk meddelelser
Referencer ISO 27002 Kontrol 5.14
Se ISO 27701 klausul 6.10.2.1
ISO 27701 klausul 6.10.2.4 – Fortroligheds- eller tavshedspligtaftaler
Referencer ISO 27002 Kontrol 6.6
Organisationer bør anvende fortrolighedsaftaler (NDA'er) og fortrolighedsaftaler for at beskytte bevidst eller utilsigtet videregivelse af følsomme oplysninger til uautoriseret personale.
Når organisationer udarbejder, implementerer og vedligeholder sådanne aftaler, bør de:
- Giv en definition af de oplysninger, der skal beskyttes.
- Angiv tydeligt den forventede varighed af aftalen.
- Angiv tydeligt eventuelle nødvendige handlinger, når en aftale er blevet opsagt.
- Ethvert ansvar, der er aftalt af bekræftede underskrivere.
- Ejerskab af oplysninger (herunder IP og forretningshemmeligheder).
- Hvordan underskrivere har tilladelse til at bruge oplysningerne.
- Angiv klart organisationens ret til at overvåge fortrolige oplysninger.
- Eventuelle konsekvenser, der vil opstå af manglende overholdelse.
- Gennemgå regelmæssigt deres behov for fortrolighed og justere eventuelle fremtidige aftaler i overensstemmelse hermed.
Fortrolighedslovene varierer fra jurisdiktion til jurisdiktion, og organisationer bør overveje deres egne juridiske og regulatoriske forpligtelser, når de udarbejder NDA'er og fortrolighedsaftaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
Gældende GDPR-artikler
- Artikel 5 – (1)
- Artikel 25 – (1)(f)
- Artikel 28 – (3)(b)
- Artikel 38 – (5)
Relevante ISO 27002 kontroller
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.10.2.1 | Politikker og procedurer for informationsoverførsel |
5.14 – Informationsoverførsel til ISO 27002 |
Artikel (5) |
| 6.10.2.2 | Aftaler om informationsoverførsel |
5.14 – Informationsoverførsel til ISO 27002 |
Ingen |
| 6.10.2.3 | Elektronisk beskeder |
5.14 – Informationsoverførsel til ISO 27002 |
Ingen |
| 6.10.2.4 | Aftaler om fortrolighed eller fortrolighed |
6.6 – Fortroligheds- eller tavshedspligtaftaler for ISO 27002 |
Artikel (5), (25), (28), (38) |
Hvordan ISMS.online hjælper
Uanset om du lige er begyndt at se på databeskyttelse, eller en ekspert, der ønsker at integrere flere standarder og regler, er vores funktioner nemme at bruge, og du vil gøre fremskridt i det øjeblik, du logger på.
- Indbygget risikobank
- ROPA gjort let
- Sikker plads til DRR
Find ud af mere ved booking af en demo.
