ISO 27701 – Klausul 6.2 – Informationssikkerhedspolitikker

ISO 27701 paragraf 6.2 understreger behovet for at etablere, vedligeholde og regelmæssigt revidere informationssikkerhedspolitikker for at beskytte personligt identificerbar information (PII), der sikrer overensstemmelse med forretningsstrategi og overholdelse af ISO 27002 kontrol 5.1.

Book en demo
Forfatter
Max Edwards
Opdateret 25. februar 2025
LinkedIn Twitter Twitter

Nøgleelementer i paragraf 6.2: Politikramme for PII-beskyttelse

Politikker til beskyttelse af privatlivets fred giver en operationel ramme for organisationer til at opføre sig som en ansvarlig dataansvarlig og uddanner personalet om deres daglige forpligtelser, hvad angår PII.

Politikdokumentation skal godkendes af den øverste ledelse og kommunikeres til personalet, så alle i organisationen arbejder efter det samme sæt PII-relaterede vejledende principper.

Hvad er dækket af ISO 27701 klausul 6.2

ISO 27701 6.2 indeholder to underklausuler, der giver specifik vejledning om beskyttelse af privatlivets fred:

  • ISO 27701 6.2.1.1 – Politikker for informationssikkerhed (Referencer ISO 27002 Kontrol 5.1)
  • ISO 27701 6.2.1.2 – Gennemgang af politikkerne for informationssikkerhed (Referencer ISO 27002 Kontrol 5.1)

Som med andre klausuler i standarden, ISO 27701 klausul 6.2 refererer tilbage til ISO 27002 når de skitserer, hvordan organisationer skal håndtere PII og PIMS-relaterede oplysninger.

Ordlyden af ​​ISO 27701 6.2 indeholder referencer til ISO 27002:2013, men denne standard er nu erstattet med en mere opdateret version – ISO 27002:2022. Hvor der henvises til klausuler i ISO 27002:2013, har vi krydsreferencer citater med deres opdaterede versioner i ISO 27002:2022.

Til dette formål er ISO 27701 6.2 forbundet med to standarder fra ISO 27002:2013 (5.1.1 og 5.1.2), som er slået sammen til én enkelt standard inden for ISO 27002:2022 (5.1).



Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 klausul 6.2.1.1 – Politikker for informationssikkerhed

Referencer ISO 27002 Kontrol 5.1

ISO går ind for en dobbeltfrontstilgang til organisatorisk beskyttelse af privatlivets fred, der omfatter:

  • En generel privatlivspolitik.
  • Emnespecifikke privatlivspolitikker.

Begge typer af politikker kan enten kombineres i ét dokument eller adskilles, som organisationen finder passende.

Politikker bør formidles til alle relevante medarbejdere (og eksternt personale, hvis det er nødvendigt), for at sikre løbende overholdelse af interne og eksterne krav til beskyttelse af privatlivets fred.

Enhver, der modtager en police, bør bedes bekræfte, helst skriftligt, at de både forstår, hvad der bliver bedt om dem, og er villige til at efterkomme.

Politikker bør gennemgås, når der foretages ændringer i:

  1. Forretningsstrategi.
  2. Operationel praksis/tekniske miljøer.
  3. Eventuelle love (herunder GDPR), regulatoriske bestemmelser eller generelle PII-relaterede retningslinjer, som organisationen har et ansvar for at overholde.
  4. Risikoniveauer for beskyttelse af privatlivets fred og det fremherskende/forventede trussellandskab.

Emnespecifikke politikker

En emnespecifik tilgang til beskyttelse af privatlivets fred giver organisationens frihed til at håndtere individuelle elementer af deres databehandling/informationssikkerhedsoperation på et emne-for-emne grundlag med en særskilt politik for hver.

Emnespecifikke områder kan omfatte IKT-funktioner såsom adgangskontrol, netværkssikkerhed, BUDR-planlægning og krypteringsprocesser.

Hver emnespecifik politik bør oprettes i overensstemmelse med organisationens overordnede privatlivspolitik og udarbejdes af afdelingspersoner (ikke nødvendigvis øverste ledelse), som har det relevante niveau af ekspertise og kompetence på området til overvejelse.

Generelle politikker for beskyttelse af privatlivets fred

Den øverste ledelse bør etablere en privatlivspolitik på topniveau, der klart beskriver de processer og praktiske skridt, der vil blive taget for at beskytte PII. Organisatoriske privatlivspolitikker bør indeholde oplysninger fra og forblive relevante for:

  • Den overordnede forretningsstrategi.
  • Alle gældende lovmæssige, juridiske eller kontraktmæssige krav.
  • Alle klare og aktuelle risici for beskyttelse af privatlivets fred.

Politikker til beskyttelse af privatlivets fred bør definere organisationens:

  1. Operationel definition af beskyttelse af privatlivets fred.
  2. Erklærede mål for beskyttelse af privatlivets fred.
  3. Bredere sæt styrende principper vedrørende beskyttelse af PII.
  4. Forpligtelse til at opfylde deres PII-relaterede mål og forbedre dem på en løbende basis.
  5. Tilgang til at uddelegere ansvaret for hele eller dele af privatlivspolitikken til de relevante rolletyper.
  6. Tilgang til håndtering af undtagelser fra politikken.
  7. Planer for, at den øverste ledelse skal gennemgå og godkende ændringer.

Yderligere PII-specifik vejledning

Organisationer bør implementere politikker og procedurer, der specifikt omhandler enhver gældende PII-relateret lovgivning, regulatoriske retningslinjer eller kontraktlige aftaler. Hvor tredjepartsorganisationer er involveret, bør politikkerne klart skitsere PII-ansvar på begge sider.

Gældende GDPR-artikler

  • Artikel 24 – (24)(2)


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 klausul 6.2.1.2 – Gennemgang af politikkerne for informationssikkerhed

Referencer ISO 27002 Kontrol 5.1

ISO 27701 paragraf 6.2.1.2 indeholder præcis den samme vejledning som ISO 27701 paragraf 6.2.1.1 uden yderligere PII-relaterede krav.

Understøttende kontroller fra ISO 27002 og GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27002 kravTilknyttede GDPR-artikler
6.2.1.1Politikker for informationssikkerhed
5.1 – Politikker for informationssikkerhed for ISO 27002
 Artikel (24)
6.2.1.2Gennemgang af politikkerne for informationssikkerhed
5.1 – Politikker for informationssikkerhed for ISO 27002
Ingen

Hvordan ISMS.online hjælper

Det kan være svært at vide, hvor man skal starte med ISO 27701, især hvis man aldrig har skullet gøre noget lignende før. Det er her ISMS.online kommer ind!

Vores ISO 27701-løsninger giver rammer, der giver din organisation mulighed for at demonstrere overholdelse af ISO 27701.

Vores informationssikkerhedseksperter kan arbejde sammen med dig for at sikre, at du udvikler en logisk implementeringsproces, der stemmer overens med onlinedokumentationsrammerne.

Find ud af mere og få en praktisk demonstration af booking af en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!