Forståelse af paragraf 6.3: Effektiv organisering af informationssikkerhed
Privatlivsbeskyttelse bør administreres som en Konceptet, samt en operationel realitet.
Organisationer bør overveje beskyttelse af privatlivets fred ikke kun i forhold til de systemer, de bruger til at beskytte data, men også i den måde, de administrerer de personer, der får adgang til PII, og hvordan privatlivsbeskyttelse behandles sammen med andre forretningsfunktioner, såsom projektledelse.
ISO 27701 6.3 skitserer, hvordan organisationer kan administrere privatlivsbeskyttelse som en ende-til-ende-proces, der omfatter ovenstående faktorer.
Hvad er dækket af ISO 27701 klausul 6.3
ISO 27701 6.3 indeholder tre underklausuler, der omfatter privatlivsbeskyttelsesspecifik vejledning, tilpasset fra tre understøttende klausuler i ISO 27002:
- ISO 27701 6.3.1.1 – Informationssikkerhedsroller og -ansvar (Referencer ISO 27002 kontrol 5.2)
- ISO 27701 6.3.1.2 – Adskillelse af opgaver (Referencer ISO 27002 kontrol 5.3)
- ISO 27701 6.3.1.5 – Informationssikkerhed i projektledelse (Referencer ISO 27002 kontrol 5.8)
Yderligere PIMS-specifik vejledning vedrørende behandlingen af PII kan findes i paragraf 6.3.1.1, som også er knyttet til artikler indeholdt i GDPR-lovgivningen.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 Klausul 6.3.1.1 – Informationssikkerhedsroller og -ansvar
Referencer ISO 27002 Kontrol 5.2
Organisationer bør definere roller og ansvar, der er specifikke for individuelle funktioner, der er indeholdt i deres privatlivspolitik – både deres generelle politik og emnespecifikke politikker.
Personer med specifikke ansvarsområder bør være dygtige nok til at udføre privatlivsrelaterede opgaver og bør tilbydes løbende støtte, der opretholder et acceptabelt kompetenceniveau.
Ansvarsområder bør omfatte:
- Beskyttelse af PII og eventuelle privatlivsrelaterede aktiver.
- Udførelse af procedurer for beskyttelse af privatlivets fred.
- PII-relaterede risikostyringsaktiviteter, herunder afhjælpende handlinger.
- Enhver, der bruger organisationens oplysninger og data, herunder brugen af IKT-aktiver.
- Personer med ansvar på øverste niveau for beskyttelse af privatlivets fred uddelegerer opgaver til andre.
ISO anerkender, at hver organisation er unik i den måde, de behandler information på. Ovenstående ansvarsområder bør ledsages af sted- og facilitetsspecifikke retningslinjer, der tager højde for virkelige faktorer, der påvirker en organisations PII-behandling.
Alle de ovennævnte ansvarsområder og sikkerhedsområder skal være klart dokumenteret og gøres tilgængelige for alle relevante medarbejdere.
Yderligere PIMS-specifik vejledning
Organisationer bør udpege en person, som kunder (og eksterne myndigheder) kan bruge som et dedikeret kontaktpunkt for alle PII-relaterede spørgsmål (se ISO 27701 7.3.2).
Derudover bør organisationer uddelegere ansvaret til en eller flere enkeltpersoner for at opbygge et organisatorisk program for styring af privatlivets fred, der understøtter overholdelse af lokale og nationale PII-love og -regler.
Gældende GDPR-artikler
- Artikel 27 - (1), (2) (a), (2) (b), (3), (4), (5)
- Artikel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artikel 38 – (1), (2), (3), (4), (5), (6)
- Artikel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Understøttende klausuler
- ISO 27701 klausul 7.3.2
ISO 27701 Klausul 6.3.1.2 – Opdeling af opgaver
Referencer ISO 27002 Kontrol 5.3
I en organisation med mange forskellige privatlivsrelaterede roller kan ansvar og pligter ofte komme i konflikt med hinanden.
Enkeltpersoner kan ofte udføre roller, der har potentiale til at kompromittere PII, i kraft af at de enten er den eneste autoritet eller mangler ledelsesmæssigt tilsyn.
Ansvar bør adskilles for at sikre en mere robust beskyttelse af privatlivets fred. Eksempler på roller, der kan indeholde konflikter, omfatter:
- Anmodning om, godkendelse eller implementering af en ændring af PIMS.
- Foretag ændringer af adgangsrettigheder, herunder RBAC.
- At skrive eller ændre kode eller udføre enhver form for applikationsudvikling.
- Brug af applikationer eller databaser, der beskæftiger sig med behandling og/eller lagring af PII.
- Udarbejdelse, godkendelse og/eller gennemgang af kontrolforanstaltninger til beskyttelse af privatlivets fred.
Adskillelseskontroller bør udvikles med forskellige faktorer i tankerne:
- Forebyggelse af samordning.
- Identifikation af konflikter.
- Overvågning af aktiviteter.
- Oprettelse af revisionsspor.
- Automatisering af processen med at identificere konflikter.
ISO anerkender, at mindre organisationer kan have svært ved at adskille roller på grund af deres begrænsede ressourcer, men hele konceptet med adskillelse bør ikke desto mindre forfølges så vidt det er kommercielt og operationelt muligt.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 6.3.1.5 – Informationssikkerhed i projektledelse
Referencer ISO 27002 Kontrol 5.8
Ud over den daglige tilbagevendende indtægtsgenerering bør beskyttelse af privatlivets fred også omfatte projektimplementering og forvaltningsaktiviteter.
Projekter omfatter ofte migrering, oprettelse og ændring af enorme mængder af PII og bør som sådan tages tilstrækkeligt hensyn til, for at organisationer kan opretholde overholdelse af lokaliserede og nationale privatlivsrelaterede love og regulatoriske retningslinjer.
Et "projekt" kan være enhver aktivitet, der ændrer en standard måde at arbejde på, eller introducerer nye processer og/eller udstyr og applikationer til en organisation.
Projektledelsesaktiviteter skal sikre, at:
- Privatlivsbeskyttelsesrisici og -krav tages i betragtning tidligt i projektet og opretholdes gennem hele projektets livscyklus (se ISO 27002, paragraf 5.32 og 8.26).
- Beskyttelse af privatlivets fred overvåges og handles løbende – i form af formelle evalueringer af egnede personer eller styringsorganer og strukturerede tests.
- Alle roller relateret til projektspecifik privatlivsbeskyttelse er klart definerede.
- Alle produkter eller tjenester, der skal leveres som en del af projektet, skal skabes i overensstemmelse med organisationens offentliggjorte privatlivsstandarder.
- Beskyttelse af privatlivets fred styrkes gennem metoder som trusselsmodellering, hændelsesanmeldelser, sårbarhedstærskler og beredskabsplanlægning.
Bestræbelser på beskyttelse af privatlivets fred bør ikke begrænses til ikt-projekter. Organisationer bør overveje en række faktorer, når de fastlægger specifikke PII-relaterede krav, herunder:
- De unikke informationsvariabler, herunder hvad specifikke data involverer, dets sikkerhedsbehov og konsekvenserne af et brud eller misbrug.
- De forsikringer, der skal søges med hensyn til fortrolighed, integritet og tilgængelighed.
- Tilvejebringelse af adgangsrettigheder og autorisationsprotokoller til internt og eksternt personale (inklusive kunder).
- At sætte klare forventninger, der informerer brugerne om deres forpligtelser.
- Kravene til andre interne sikkerhedskontroller.
- Eventuelle systemrelaterede handlinger, der er nødvendige på grund af operationelle aktiviteter (f.eks. transaktionslogning).
- Opretholdelse af overholdelse af lovmæssige, regulatoriske og kontraktmæssige krav.
- Tredjeparts kontraktlige forpligtelser, der er tilpasset organisationens egne privatlivsstandarder.
Relevante ISO 27002 kontroller
- ISO 27002 5.32
- ISO 27002 8.26
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.3.1.1 | Informationssikkerhedsroller og -ansvar |
5.2 – Informationssikkerhedsroller og -ansvar for ISO 27002 |
Artikler (27), (37), (38), (39) |
| 6.3.1.2 | Adskillelse af opgaver |
5.3 – Opdeling af opgaver for ISO 27002 |
Ingen |
| 6.3.1.5 | Informationssikkerhed i projektledelse |
5.8 – Informationssikkerhed i projektledelse for ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Vores ISMS.online-løsninger gør det nemt for organisationer at opnå projekttilsyn, hvilket sikrer, at dataansvarlige og databehandlerens politikker og procedurer er i overensstemmelse med ISO-standarden.
Vores online system sikrer også, at systemimplementere har et enkelt sted for reference og samarbejde.
Vores Assured Results Method (ARM) giver dig mulighed for at være sikker på, at du afkrydser alle de felter, du skal bruge for at overholde standarden.
Find ud af mere og få en praktisk demonstration af booking af en demo.
