Hvordan ISO 27701 sikrer privatlivets fred under ansættelsen: En vejledning til klausul 6.4.2
Organisationer har en forpligtelse over for deres personale, som omfatter dem at informere personalet om, hvad der forventes af dem inden for rammerne af privatlivsbeskyttelse og PII – både på et generelt og emnespecifikt niveau.
I deres egenskab af PII-controllere bør organisationer tilbyde løbende trænings- og oplysningsprogrammer og overholde en robust disciplinærpolitik, der sætter klare forventninger til begge sider i tilfælde af et databrud.
Hvad er dækket af ISO 27701 klausul 6.4.2
ISO 27701 6.4.2 indeholder tre hovedunderklausuler, der omhandler forskellige aspekter af ansættelsesspecifikke emner til beskyttelse af privatlivets fred.
Hvert emne indeholder vejledning fra en række ISO 27002 kontroller, præsenteret i forbindelse med organisatorisk håndtering af privatlivsoplysninger og PII-beskyttelse:
- ISO 27701 Klausul 6.4.2.1 – Ledelsesansvar (Referencer ISO 27002 Kontrol 5.4)
- ISO 27701 klausul 6.4.2.2 – Informationssikkerhedsbevidsthed, uddannelse og træning (Referencer ISO 27002 kontrol 6.3)
- ISO 27701 punkt 6.4.2.3 – Disciplinære procedurer (Referencer ISO 27002 kontrol 6.4)
Yderligere PIMS-specifik vejledning vedrørende behandlingen af PII kan findes i paragraf 6.4.2.1, som også er knyttet til britisk GDPR-lovgivning.
Bemærk venligst, at GDPR-sammenligninger er til kun vejledende formål. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 Klausul 6.4.2.1 – Ledelsesansvar
Referencer ISO 27002 Kontrol 5.4
Ledelsen spiller en nøglerolle i at opretholde standarder for beskyttelse af privatlivets fred – både fra et administrativt perspektiv og også i at sikre, at personalet forstår, hvad der forventes af dem, og opfører sig i overensstemmelse hermed.
Den øverste ledelse bør sikre, at alt personale:
- Anerkend deres individuelle ansvar i forhold til håndtering af privatlivsoplysninger og beskyttelse af privatlivets fred – både generelt og fra et emnespecifikt perspektiv – før de får lov til at interagere med PII og relaterede aktiver (se ISO 27002 6.3).
- Er forsynet med et klart sæt retningslinjer og procedurer, der styrer beskyttelse af privatlivets fred inden for rammerne af deres rolle.
- Får ressourcerne og passende myndighedsniveauer til at planlægge projekter/ændringer og opfylde organisationens generelle og emnespecifikke privatlivsbeskyttelsespolitikker.
- Forstå vilkårene og betingelserne for deres ansættelse, som relateret til beskyttelse af privatlivets fred, og hvad de betyder i praksis.
- Får mulighed for at udvikle deres forståelse for beskyttelse af privatlivets fred både som et koncept og en løbende operationel overvejelse.
- Forstå, hvordan man, og får midlerne til, anonymt at kommunikere brud på privatlivsbeskyttelsespolitikker på tværs af organisationen (også kaldet "whistleblowing").
Relevante kontroller
- ISO 27002 6.3
ISO 27701 Klausul 6.4.2.2 – Informationssikkerhedsbevidsthed, uddannelse og træning
Referencer ISO 27002 Kontrol 6.3
Kurser
Løbende træning på arbejdspladsen sikrer, at personalet holdes ajour med organisatoriske privatlivspolitikker (generelle og emnespecifikke), ændringer inden for PII-lovgivningen og sektorspecifikke regulatoriske retningslinjer.
Som en generel tilgang bør organisationer implementere periodiske personaleuddannelsesprogrammer (inklusive under ombordstigningsfasen), der er specifikt tilpasset deres egne generelle og emnespecifikke privatlivsbeskyttelsespolitikker og PIMS-relaterede krav.
Træningsformater kan omfatte:
- e-læring.
- En-til-en rådgivning.
- Medarbejdere skygger for hinanden.
- Dedikerede træningsseminarer udført af emnespecifikke eller generaliserede specialister i privatlivsbeskyttelse.
- Vejledning på arbejdspladsen.
Personale med en specialiseret rolle at spille inden for beskyttelse af privatlivets fred – f.eks. IKT-vedligeholdelsespersonale – bør drage fordel af specialiserede uddannelsesplaner, der tager højde for den integrerede rolle, de spiller i sikringen af PII.
Uddannelsesplaner/sessioner bør afsluttes med en vurdering, der giver organisationen et top-down-billede af kompetenceniveauer på medarbejder-for-medarbejder-basis.
Oplysningsprogrammer
For at supplere træning på arbejdspladsen bør organisationer også udrulle oplysningsprogrammer om beskyttelse af privatlivets fred, der giver personalet en række materialer, der fungerer som informationspunkter om emnet PII og organisatorisk beskyttelse af privatlivets fred.
Oplysningsprogrammer kan omfatte:
- foldere.
- pjecer.
- kontorplakater.
- dedikerede hjemmesider.
- team briefing sessioner.
Oplysningsindsatsen bør fokuseres på:
- Hvordan ledelsen planlægger at opretholde overholdelse af privatlivsbeskyttelse på tværs af organisationen, og hvem de vigtigste kontaktpunkter er for PII-relaterede spørgsmål.
- Hvad er organisationens compliance-krav under hensyntagen til love, regulatoriske bestemmelser, kontraktlige forpligtelser og leverandøraftaler.
- Understreger behovet for personlig ansvarlighed, når det kommer til at beskytte PII, og hvad konsekvenserne er for utilsigtede eller målrettede proceduremæssige brud.
- Grundlæggende IKT-sikkerhedsprincipper, såsom adgangskodesikkerhed og hændelsesrapportering.
- Hvordan personalet kan informere sig selv om de finere aspekter af privatlivsbeskyttelse (yderligere læsning, ressourcelister osv.).
Yderligere PIMS-specifik vejledning
PII bør behandles som sit eget særskilte emne inden for træningsprogrammer for beskyttelse af privatlivets fred.
Personalet skal gøres akut opmærksom på de specifikke juridiske, kommercielle, omdømmemæssige og disciplinære konsekvenser, der følger af uretmæssig tilegnelse og/eller forkert håndtering af PII.
GDPR-vejledning
- Artikel 39 – (1)(b)
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.4.2.3 – Disciplinære procedurer
Referencer ISO 27002 Kontrol 6.4
Organisationer bør udvikle disciplinære procedurer, der tilgodeser personer, der har overtrådt generelle eller emnespecifikke privatlivspolitikker.
Inden der træffes disciplinære foranstaltninger, er det vigtigt, at organisationen bekræfter, at en politikovertrædelse faktisk har fundet sted (se ISO 27002 5.28).
Disciplinære procedurer bør tage hensyn til:
- Databruddets underliggende karakter, og hvad de forskellige konsekvenser er.
- Den pågældendes motiver, og om bruddet var forsætligt eller ej.
- Hvor mange gange den enkelte har brudt privatlivspolitik.
- Hvis den enkelte har modtaget tilstrækkelig træning i de relevante aspekter af beskyttelse af privatlivets fred.
- Enhver individuel ret til anonymitet gennem hele den disciplinære proces.
Disciplinære handlinger i tilfælde af et bekræftet brud bør bruges som en afskrækkelse for lignende aktiviteter og bør tage hensyn til organisationens forpligtelser som PII-ansvarlig og databehandler sammen med alle relevante love, regulatoriske retningslinjer og kontraktlige forpligtelser.
Relevante kontroller
- ISO 27002 5.28
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.4.2.1 | Ledelsesansvar |
5.4 – Ledelsesansvar for ISO 27002 |
Ingen |
| 6.4.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.3 – Informationssikkerhedsbevidsthed, uddannelse og træning for ISO 27002 |
Artikel (39) |
| 6.4.2.3 | Disciplinære procedurer |
6.4 – Disciplinær proces for ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Vi har dig dækket.
Hvis du af en eller anden grund oplever mangel på selvtillid, evner eller lysten til at handle under din rejse til ISO 27701, kan vi stille vores team af interne eksperter til rådighed eller anbefale en af vores betroede partnere til at give din indsats et løft.
Her for at hjælpe, når du har brug for det.
Find ud af mere ved booking af en demo.
