ISO 27701 klausul 7.4.1 – Limit Collection
Formål med paragraf 7.4.1
Organisationer bør begrænse deres indsamling af PII baseret på tre faktorer:
- Relevans.
- Proportionalitet.
- Nødvendighed.
Vejledning til punkt 7.4.1
Organisationer bør kun indsamle PII – enten direkte eller indirekte – i overensstemmelse med ovenstående faktorer, og kun til formål, der er relevante og nødvendige i forhold til deres erklærede formål.
Som et koncept bør 'privatliv som standard' overholdes – dvs. eventuelle valgfrie funktioner skal som standard deaktiveres.
ISO 27701, paragraf 7.4.2 – Begrænsningsbehandling
Formål med paragraf 7.4.2
For at ledsage ISO 27701 7.4.1 bør organisationer også kun behandle PII, hvis det er relevant, proportionalt og nødvendigt for at opfylde et angivet formål.
Vejledning til punkt 7.4.2
PII-behandling inkluderer:
- Afsløring.
- Opbevaring.
- Tilgængelighed.
Alle ovenstående funktioner bør udføres til de minimumsniveauer, der kræves for at opfylde et mål.
Organisationer bør begrænse behandlingen af PII i forbindelse med offentliggjorte informationssikkerhedsprocesser, politikker og procedurer (se ISO 27701 paragraf 6.2).
Relevante ISO 27701-klausuler
- ISO 27701 6.2
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 punkt 7.4.3 – Nøjagtighed og kvalitet
Formål med paragraf 7.4.3
Organisationer bør tage skridt til at sikre, at PII er præcis, fuldføre og up-to-date, gennem hele dens livscyklus.
Vejledning til punkt 7.4.3
Organisatoriske informationssikkerhedspolitikker og tekniske konfigurationer bør indeholde trin, der søger at minimere fejl i hele dens PII-behandling, herunder kontrol med, hvordan man reagerer på unøjagtigheder.
ISO 27701 klausul 7.4.4 – PII-minimeringsmål
Formål med paragraf 7.4.4
Organisationer skal konstruere "dataminimeringsprocedurer", herunder mekanismer såsom afidentifikation.
Vejledning til punkt 7.4.4
Dataminimering bør bruges til at sikre, at indsamling og behandling af PII er begrænset til det 'identificerede formål' for hver funktion (se ISO 27701, punkt 7.2.1).
En stor del af denne proces involverer at dokumentere, i hvilket omfang en PII principal information skal kunne henføres direkte til dem, og hvordan minimering skal opnås via en række tilgængelige metoder.
Organisationer bør skitsere de specifikke teknikker, der bruges til at afidentificere PII-principper, såsom:
- Randomisering.
- Tilsætning af støj.
- Generalisering.
- Attributfjernelse.
Relevante ISO 27701-klausuler
- ISO 27701 7.2.1
ISO 27701 klausul 7.4.5 – PII-afidentifikation og sletning ved slutningen af behandlingen
Formål med paragraf 7.4.5
Organisationer skal enten fuldstændigt ødelægge enhver PII, der ikke længere opfylder et formål, eller ændre den på en måde, der forhindrer enhver form for principiel identifikation.
Vejledning til punkt 7.4.5
Så snart organisationen har fastslået, at PII'en ikke skal behandles på noget tidspunkt i fremtiden, bør oplysningerne slettet or de-identificeret, som omstændighederne tilsiger.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 7.4.6 – Midlertidige filer
Formål med paragraf 7.4.6
Midlertidige filer oprettes af en række tekniske årsager gennem hele PII-behandlingen og indsamlingens livscyklus på tværs af adskillige applikationer, systemer og sikkerhedsplatforme.
Organisationer skal sikre, at disse filer destrueres inden for et rimeligt tidsrum i overensstemmelse med en officiel opbevaringspolitik.
Vejledning til punkt 7.4.6
En simpel måde at identificere eksistensen af sådanne filer på er at udføre periodiske kontroller af midlertidige filer på tværs af netværket. Midlertidige filer inkluderer ofte:
- Databaseopdateringsfiler.
- Cachelagrede oplysninger.
- Filer oprettet af applikationer og skræddersyede softwarepakker.
Organisationer bør overholde en såkaldt procedure for affaldsindsamling der sletter midlertidige filer, når de ikke længere er nødvendige.
ISO 27701 paragraf 7.4.7 – Opbevaring
Formål med paragraf 7.4.7
Det er meget vigtigt, at organisationer anerkender deres forpligtelser til at slette og/eller bortskaffe PII, som ikke længere er nødvendige for at opnå et erklæret formål.
Vejledning til punkt 7.4.7
Organisationer bør udarbejde og overholde kategoriske opbevaringsplaner, der angiver den nøjagtige tidsperiode, som PII-princippere kan forvente, at deres data bliver gemt i.
Opbevaringsplaner bør skræddersyes til alle juridiske, lovbestemte eller kontraktmæssige krav, der styrer, hvor længe PII skal opbevares på en given platform.
ISO 27701 punkt 7.4.8 – Bortskaffelse
Formål med paragraf 7.4.8
Organisationer skal have klare politikker og procedurer, der styrer, hvordan PII bortskaffes.
Vejledning til punkt 7.4.8
Databortskaffelse er et vidtfavnende emne, der indeholder et væld af forskellige variabler baseret på den nødvendige bortskaffelsesteknik og arten af de data, der bortskaffes.
Organisationer skal overveje:
- Hvad PII omfatter.
- Eventuelle resterende metadata, der skal slettes sammen med de primære data.
- Den type lagringsmedie PII'et holdes på.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 7.4.9 – PII-transmissionskontrol
Formål med paragraf 7.4.9
Enhver PII, der er indstillet til at blive overført til en tredjepartsorganisation, skal gøres med den største omhu for de oplysninger, der sendes, ved hjælp af sikre midler.
Vejledning til punkt 7.4.9
Organisationer skal sikre, at kun autoriseret personale er i stand til at få adgang til transmissionssystemer, og det gør det på en måde, der let kan revideres med det ene formål at få informationen derhen, hvor den skal hen uden hændelser.
Understøttende GDPR-artikler
Forskellige elementer i ISO 27701 paragraf 7.4 er gældende i Storbritannien GDPR lovgivning. Tag et kig på nedenstående tabel for de tilsvarende referencer.
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | Tilknyttede GDPR-artikler |
|---|---|---|
| 7.4.1 | Begræns samling | Artikel (5) |
| 7.4.2 | Begræns behandling | Artikel (25) |
| 7.4.3 | Nøjagtighed og kvalitet | Artikel (5) |
| 7.4.4 | PII-minimeringsmål | Artikel (5) |
| 7.4.5 | PII-afidentifikation og sletning ved slutningen af behandlingen | Artikler (5), (6), (11), (32) |
| 7.4.6 | Midlertidige filer | Artikel (5) |
| 7.4.7 | Retention | Artikler (13), (14) |
| 7.4.8 | Bortskaffelse | Artikel (5) |
| 7.4.9 | PII transmissionskontrol | Artikel (5) |
Hvordan ISMS.online hjælper
ISMS.online platformen tilbyder integreret assistance på alle trin, og vores 'Adopter, Adapt, Add' implementeringstilgang til ISO 27701 for at gøre processen meget lettere.
Du vil også drage fordel af en række tidsbesparende funktioner.
Hvis du af en eller anden grund oplever mangel på selvtillid, evner eller lysten til at handle under din rejse til ISO 27701, kan vi stille vores team af interne eksperter til rådighed.
Find ud af mere ved booking af en demo.
