ISO 27701 – Klausul 6.15 – Overholdelse

Opnåelse af overensstemmelse med ISO 27701, paragraf 6.15: Et komplet overblik

Overholdelse er en vital del af enhver privatlivsbeskyttelse - organisationer skal kunne demonstrere, at de opfylder deres forpligtelser over for PII og de systemer, der bruges til at opbevare og behandle privatlivsrelateret materiale.

Hvad er dækket af ISO 27701 klausul 6.15

ISO 27701 6.15 omhandler overholdelse på to hovedområder – overholdelse af juridiske og kontraktmæssige kravog gennemgang af informationssikkerhed (sidstnævnte er det vigtigste middel til at afsløre tilfælde af manglende overholdelse og løse eventuelle privatlivsrelaterede problemer).

• ISO 27701 6.15.1.1 – Identifikation af gældende lovgivning og kontraktlige krav (ISO 27002 Kontrol 5.31)
• ISO 27701 6.15.1.2 – Immaterielle rettigheder (ISO 27002 kontrol 5.32)
• ISO 27701 6.15.1.3 – Beskyttelse af poster (ISO 27002 kontrol 5.33)
• ISO 27701 6.15.1.4 – Privatliv og beskyttelse af personligt identificerbare oplysninger (ISO 27002 Kontrol 5.34)
• ISO 27701 6.15.1.5 – Regulering af kryptografiske kontroller (ISO 27002 kontrol 5.31)
• ISO 27701 6.15.2.2 – Overholdelse af sikkerhedspolitikker og -standarder (ISO 27002 kontrol 5.36)
• ISO 27701 6.15.2.3 – Teknisk overensstemmelsesgennemgang (ISO 27002 kontrol 5.36)

Fire underklausuler indeholder oplysninger, der er relevante for Storbritannien GDPR lovgivning – vi har leveret artikelhenvisningerne under hver underklausul for din bekvemmelighed:

• ISO 27701 6.15.1.1
• ISO 27701 6.15.1.3
• ISO 27701 6.15.2.1
• ISO 27701 6.15.2.3

ISO 27701 klausul 6.15.1.1 – Identifikation af gældende lovgivning og kontraktlige krav

Referencer ISO 27002 Kontrol 5.31

Organisationer bør overholde juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:

• Udarbejdelse og/eller ændring af procedurer for beskyttelse af privatlivets fred.
• Kategorisering af information.
• Påbegyndelse af risikovurderinger vedrørende privatlivsinformationssikkerhedsaktiviteter.
• At skabe leverandørforhold, herunder eventuelle kontraktlige forpligtelser i hele forsyningskæden.

Lovgivningsmæssige og regulatoriske faktorer

Organisationer bør følge procedurer, der tillader dem identificere, analysere og forstå lovgivningsmæssige og regulatoriske forpligtelser – især dem, der vedrører privatlivsbeskyttelse og PII – uanset hvor de opererer.

Organisationer bør konstant være opmærksomme på deres forpligtelser til beskyttelse af privatlivets fred, når de indgår nye aftaler med tredjeparter, leverandører og kontrahenter.

Kryptografi

Når de implementerer krypteringsmetoder for at styrke beskyttelsen af ​​privatlivets fred og beskytte PII, bør organisationer:

• Overhold alle love, der regulerer import og eksport af hardware eller software, der har potentiale til at opfylde en kryptografisk funktion.
• Giv adgang til krypteret information i henhold til lovene i den jurisdiktion, de opererer inden for.
• Brug tre nøgleelementer i kryptering:
• Digitale underskrifter.
• Sæler.
• Digitale certifikater.

Gældende GDPR-artikler

• Artikel 5 – (1)(f)
• Artikel 28 – (1), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) (f), ( 3)(g), (3)(h)
• Artikel 30 – (2)(d)
• Artikel 32 – (1)(b)

Relevante ISO 27002 kontroller

• ISO 27002 5.20

ISO 27701 klausul 6.15.1.2 – Immaterielle rettigheder

Referencer ISO 27002 Kontrol 5.32

For at beskytte data, software eller aktiver, der kan anses for intellektuel ejendom (IP), bør organisationer:

• Overhold en "emnespecifik" politik, der omhandler IP-rettigheder, som tager hensyn til IP fra sag til sag.
• Overhold procedurer, der definerer, hvordan IP-integritet kan opretholdes, mens du bruger organisatorisk software og produkter.
• Brug kun velrenommerede kilder til at erhverve software, når du køber, lejer eller leaser software og softwareabonnementer.
• Behold dokumentation for ejerskab (elektronisk eller fysisk).
• Overhold grænserne for softwarebrug.
• Gennemgå periodiske softwaregennemgange for at undgå at bruge uautoriserede eller potentielt skadelige applikationer.
• Sørg for, at softwarelicenser er gyldige og opdaterede, og at retningslinjerne for rimelig brug bliver overholdt.
• Udkast til procedurer, der sikrer sikker og sikker bortskaffelse af softwareaktiver.
• (Hvis det drejer sig om kommercielle optagelser), skal du sikre dig, at ingen del af optagelsen udtrækkes, kopieres eller konverteres på nogen uautoriseret måde.
• Sørg for, at tekstdata betragtes sammen med digitale medier.

ISO 27701 paragraf 6.15.1.3 – Beskyttelse af optegnelser

Referencer ISO 27002 Kontrol 5.33

Organisationer bør overveje rekordhåndtering på tværs af 4 nøgleområder:

• Autenticitet
• Pålidelighed
• Integritet
• Brugbarhed

For at opretholde et funktionelt journalsystem, der beskytter PII og privatlivsrelaterede oplysninger, bør organisationer:

• Udgiv retningslinjer, der omhandler:
• Opbevaring.
• Håndtering (chain of custody).
• Bortskaffelse.
• Forebyggelse af manipulation.
• Angiv, hvor længe hver posttype skal opbevares.
• Overhold alle love, der omhandler journalføring.
• Overhold kundernes forventninger til, hvordan organisationer skal håndtere deres optegnelser.
• Ødelæg optegnelser, når de ikke længere er nødvendige.
• Klassificer poster baseret på deres sikkerhedsrisiko, f.eks.
• Regnskab.
• Forretningstransaktioner.
• Personalejournaler.
• Politikker
• Sørg for, at de er i stand til at hente optegnelser inden for et acceptabelt tidsrum, hvis de bliver bedt om det af en tredjepart eller et retshåndhævende organ.
• Overhold altid producentens retningslinjer, når du opbevarer eller håndterer optegnelser på elektroniske mediekilder.

Gældende GDPR-artikler

• Artikel 5 – (2)
• Artikel 24 – (2)

ISO 27701 klausul 6.15.1.4 – Fortrolighed og beskyttelse af personligt identificerbare oplysninger

Referencer ISO 27002 Kontrol 5.34

Organisationer bør behandle PII som en emnespecifik koncept, der skal behandles inden for rammerne af adskillige forskellige forretningsfunktioner.

Først og fremmest bør organisationer implementere politikker, der tager højde for tre hovedaspekter af PII-behandling og -lagring:

• Bevarelse
• Privatliv
• Beskyttelse

Organisationer bør sikre, at alle medarbejdere er opmærksomme på deres forpligtelser i forhold til at håndtere PII, ikke kun dem, der møder det dagligt som en del af deres job.

Privatlivsansvarlige

Organisationer bør udpege en Privacy Officer, hvis job det er at give vejledning til medarbejdere og tredjepartsorganisationer om emnet PII, sideløbende med at rådgive den øverste ledelse om, hvordan man opretholder integriteten og tilgængeligheden af ​​privatlivsoplysninger.

ISO 27701 paragraf 6.15.1.5 – Regulering af kryptografiske kontroller

Referencer ISO 27002 Kontrol 5.31

Se ISO 27701 klausul 6.15.1.1

ISO 27701 paragraf 6.15.2.1 – Uafhængig gennemgang af informationssikkerhed

Referencer ISO 27002 Kontrol 5.35

Organisationer bør udvikle processer, der tager højde for uafhængige gennemgange af deres praksis for privatlivsinformationssikkerhed, herunder både emnespecifikke politikker og generelle politikker.

Anmeldelser bør udføres af:

• Interne revisorer.
• Uafhængige afdelingsledere.
• Specialiserede tredjepartsorganisationer.

Anmeldelser bør være uafhængige og udføres af personer med tilstrækkelig viden om retningslinjer for beskyttelse af privatlivets fred og organisationens egne procedurer.

Korrekturlæsere bør fastslå, om sikkerhedspraksis for privatlivets fred er i overensstemmelse med organisationens "dokumenterede mål og krav".

Ud over strukturerede periodiske gennemgange kan organisationer støde på behovet for at udføre ad hoc-gennemgange, der udløses af visse begivenheder, herunder:

• Efter ændringer af interne politikker, love, retningslinjer og regler, der påvirker beskyttelsen af ​​privatlivets fred.
• Efter større hændelser, der har påvirket privatlivets fred.
• Hver gang en ny virksomhed oprettes, eller der gennemføres større ændringer i den nuværende virksomhed.
• Efter vedtagelsen af ​​et nyt produkt eller en tjeneste, der på nogen måde beskæftiger sig med beskyttelse af privatlivets fred.

Gældende GDPR-artikler

• Artikel 32 – (1)(d),(2)

ISO 27701 klausul 6.15.2.2 – Overholdelse af sikkerhedspolitikker og standarder

Referencer ISO 27002 Kontrol 5.36

Organisationer skal sikre, at personalet er i stand til at gennemgå privatlivspolitikker på tværs af hele spektret af forretningsdrift.

Ledelsen bør udvikle tekniske metoder til rapportering om overholdelse af privatlivets fred (herunder automatisering og skræddersyede værktøjer). Rapporter bør registreres, opbevares og analyseres for yderligere at forbedre indsatsen for PII-sikkerhed og beskyttelse af privatlivets fred.

Hvor overholdelsesproblemer opdages, bør organisationer:

• Find årsagen.
• Beslut dig for en metode til korrigerende handling for at lukke og overholde huller.
• Gense problemet efter en passende periode for at sikre, at problemet er løst.

Det er meget vigtigt at træffe korrigerende foranstaltninger så hurtigt som muligt. Hvis problemerne ikke er fuldt løst på tidspunktet for den næste gennemgang, skal der som minimum fremlægges dokumentation for, at der gøres fremskridt.

ISO 27701 paragraf 6.15.2.3 – Teknisk overensstemmelsesgennemgang

Referencer ISO 27002 Kontrol 5.36

Se ISO 27701 klausul 6.15.2.2

Gældende GDPR-artikler

• Artikel 32 – (1)(d),(2)

Understøttende kontroller fra ISO 27002 og GDPR

Hvordan ISMS.online hjælper

ISO 27701 er ikke kun en ramme for organisationer at vedtage; det betyder at tilpasse den måde, folk forstår, brugerflader og interagerer med data.

Hos ISMS.online har vi designet vores system, så du og dine medarbejdere kan drage fordel af vores brugervenlige grænseflade til at dokumentere din ISO-rejse.

Vi leverer også videoressourcer og adgang til informationssikkerhedseksperter for at hjælpe dig med at integrere standarder i din virksomhed.

Find ud af mere ved booking af en praktisk demo.