Vad är det, varför du bör följa det och vad som är inblandat
Personlig informationssäkerhet har aldrig varit viktigare. Varje organisation som hanterar personligt identifierbar information (PII) har ett ansvar att säkerställa säkerheten för integritetsdata. Organisationer måste visa att de tar integritetshantering på allvar, särskilt nu när nya regleringar, som det allmänna Dataskydd Förordning (GDPR) har införts. Det är där BS 10012 kommer in.
Den här artikeln täcker de vanligaste frågorna om BS 10012 och förklarar hur denna standard kan främja god praxis och hjälpa dig att kontrollera och behandla personuppgifter i linje med bästa praxis. Med hjälp av vår molnbaserade mjukvara kan du utveckla din Integritetsinformationshanteringssystem (PIMS) så att den uppfyller kriterierna i BS 10012. Även om ingen standard kan garantera efterlevnad av lagar och förordningar, kan ISMS förse ditt företag med en Metodik för garanterade resultat för att utveckla din PIMS. Detta kan hjälpa dig att följa dataskyddsbestämmelser och annan integritet lagar.
BS 10012 är en brittisk standard för personlig informationshanteringssystem utvecklad och godkänd av British Standards Institute (BSI). Standarden definierar bästa praxis för personlig informationshantering (PIM). utveckling med målet att minska risken för att integritetsdata äventyras. BS10012 vägleder företag om policyer, procedurer och tekniker de använder för att identifiera, hantera, lagra, komma åt, använda och dela personlig information mellan och mellan organisationer.
BS 10012 sätter standarder för företag att följa strikta protokoll när de samlar in, lagrar och använder personlig information om en individ. Att uppfylla BS 10012-standarden hjälper dig att ha ett ramverk för att hantera integritetsdata på rätt sätt.
Hantering av personuppgifter (PIM) är den process genom vilken företag skaffar, organiserar, lagrar, kommer åt och använder personligt identifierbar information (PII).
PIM hänvisar till när människor organiserar, delar och underhåller personlig information, och de policyer, procedurer och tekniker som gör det möjligt för dem att göra det. PIM fokuserar inte bara på de tekniker som används för att lagra information utan också på hur individer får tillgång till informationen för användning och radering.
Att förstå och implementera effektiva standarder för hantering av personlig information hjälper organisationer att arbeta mer kompetent, hantera "informationsöverbelastning" och utveckla effektiva strategier för att skydda personlig identifierbar information.
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Eftersom BS 10012 är utformad kring GDPR syftar den till att matcha de principer som anges i dessa förordningar. Därför är principerna för BS 10012 följande:
Du kommer att hållas ansvarig för att uppnå och upprätthålla allt ovanstående. Alla personuppgifter som lagras eller hanteras av ditt företag måste följa dessa principer om du vill säkerställa att din BS 10012-certifiering är framgångsrik.
BS 10012 kretsar kring följande nyckelteman:
BS 10012 var strukturerad för att vara kompatibel med andra ledningssystemstandarder, vilket säkerställer att majoriteten av klausulerna som stöder implementeringen av ett PIMS, såsom styrning/ledarskap, medarbetarförståelse, riskhantering och ständiga förbättringar, är förenliga med ISO 27001-klausuler; detta förhindrar onödig dubblering av journalföring och ansträngning.
Dataskydd och lagring är väsentliga affärskrav som du måste uppfylla för att säkerställa efterlevnad av relevanta integritetslagar. Underlåtenhet att göra det kan leda till betydande ekonomiska påföljder och skada på ryktet. Eftersom dataintrång har ökat exponentiellt under de senaste åren måste organisationer, nu mer än någonsin, vidta de åtgärder som behövs för att skydda sekretessdata.
En grundläggande princip i BS 10012 är riskhantering, vilket innebär att man definierar potentiella integritetsrisker och implementerar skyddsåtgärder för att minska dessa risker till en acceptabel nivå.
Ett PIMS som är anpassat till BS 10012 bekräftar GDPR-principerna och försäkrar intressenter om att personuppgifter hanteras i enlighet med bästa praxis. BS 10012 främjar effektiv hantering av risker i samband med hantering av personuppgifter.
GDPR kräver att organisationer utför en integritetskonsekvensbedömning (PIA) om insamling av personligt identifierbar information (särskilt med användning av framväxande teknologier) sannolikt kommer att leda till en hög risk för en individs rättigheter och friheter.
Modern teknik tillåter insamling och analys av enorma mängder data, vilket ökar risken att äventyra integriteten för dem som delar sin personliga information. Men med en BS 10012-kompatibel PIMS kan du känna igen potentiella risker förknippade med personuppgiftssäkerhet och vidta åtgärder för att minska dessa risker.
Med många organisationer som hanterar någon typ av personlig information kan BS 10012 hjälpa till med att implementera policyer, procedurer och kontroller som gör det möjligt för en organisation att effektivt behandla personuppgifter. Att följa ramverket BS10012 kommer att hjälpa dig att utforma och leverera utbildning för personlig informationsmedvetenhet och riskbedömningar, såväl som processerna för datahantering, lagring och kassering inom din organisation.
Förutom att uppfylla GDPR-kriterierna tar BS10012 upp hur företag kan säkerställa att deras dataskyddsskyldigheter är anpassade till deras övergripande affärsplan genom kontinuerlig förbättring av kontroller och policyer. Detta åstadkoms med hjälp av Plan-Do-Check-Act-modellen kontinuerlig förbättring.
Betrodd av över 1,000 XNUMX företag över hela världen
En av de främsta fördelarna med att bygga eller anpassa ditt PIMS i linje med BS 10012-standarden är att det för ditt företag närmare överensstämmelse med GDPR. Överensstämmelse med GDPR krävs för företag och organisationer som arbetar inom EU. I Storbritannien har GDPR assimilerats i brittiska dataskyddslagar, vilket betyder mycket liten praktisk skillnad mellan EU GDPR och UK GDPR.
BS 10012 främjar god praxis i hela din organisation när det gäller hantering av personuppgifter.
Några av fördelarna med BS 10012-standarden är:
Om du menar allvar med att få ditt företag uppdaterat med de senaste sekretessdatastandarderna kan BS 10012 ge dig ett ramverk för bästa praxis. Vilka fördelar kommer en PIMS-standard att ge ditt företag?
Att hålla sig själv i enlighet med lagen är avgörande. Genom att implementera BS 10012 kommer du att kunna ha ett ramverk som vägleder efterlevnaden av integritetsdatalagar. Du vill ha dokumenterade rutiner på plats för dina dataprocesser och hur och var data lagras. BS 10012 är tillämplig inom olika branscher och hjälper dig att uppfylla dina juridiska skyldigheter.
Om du driver ett företag som hanterar personlig information i Storbritannien måste du se till att du följer de brittiska dataskyddslagarna. Storbritannien har införlivat GDPR i Storbritanniens dataskyddslagar, vilket innebär att ditt GDPR-ansvar är i stort sett oförändrat efter Brexit.
Genom att uppnå BS 10012 kommer ditt företag att ha infört policyer och procedurer för bästa praxis som är inriktade på att hantera integritetsdata på rätt sätt. Att ha BS 10012 kommer att minska riskerna förknippade med dataintrång och böter genom att tillhandahålla dokumentära bevis på att din PIMS uppfyller den brittiska standarden.
Genom att uppnå BS 10012 kan du visa dina kunder, industri och tillsynsmyndigheter att du är engagerad i högkvalitativ hantering av personlig information. Detta kan förbättra ditt företags image. Om du drabbas av ett dataintrång, men har följt bästa praxis för att utveckla ditt PIMS, kommer du förmodligen att minska ryktesskadorna.
Genom att implementera BS 10012 kommer kunderna att känna sig säkra på att ditt företag är pålitligt och kompetent. Kunder och partners vill veta att du följer robusta processer. Att använda standardramverket BD 10012 är ett bra sätt att visa att du respekterar ditt ansvar relaterat till sekretessdata.
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
Det är svårt att ange exakta tidsramar eftersom BS-10012-certifieringen bygger på en mängd olika faktorer, inklusive komplexiteten i ditt företag och din bransch, hur nära du är att uppfylla standarden eller din nuvarande nivå av PIMS-efterlevnad av standarden, storleken på din organisation och så vidare. Det är en bra idé att budgetera mellan 6 månader till ett år för processen. Några av de faktorer som kommer att påverka BS-10012-certifieringen inkluderar:
Innan du kan förtjäna din BS-10012-certifiering måste du se till att hanteringssystemet för personlig information som används av din organisation är kompatibelt med BS-10012-standarden. När din PIMS täcker de nödvändiga efterlevnadskraven, kan du komma igång med certifieringsprocessen och raka lite ledigt den förväntade tidsramen.
Att uppnå BS-10012-certifiering är en stor prestation för alla företag eftersom det försäkrar kunderna om att deras data förvaras säkert och säkert. Men att få certifieringen kan vara utmanande och tidskrävande. Beroende på storleken på din verksamhet och omfattningen av verksamheten kan processerna – från GAP-analysen till implementering och certifiering ta allt från tre månader till ett år.
BS-10012 är en oberoende revisionsbar standard, så du måste anlita en kvalificerad extern revisor för att bedöma din organisations efterlevnad av BS-10012. Om nöjd, den extern revisor kommer att ge dig pappersarbete som bekräftar efterlevnaden. Denna process förväntas inte heller ta mer än några dagar.
Internrevisorer ansvarar för att verifiera effektiviteten i ett företags interna kontrollsystem och för att säkerställa att företaget följer relevanta lagar och förordningar vad gäller informationssäkerhet. Även om det finns olika krav som täcker olika områden av internrevision, förväntas revisorer följa BS-10012-standarderna när de utför en internrevision av PIMS-processen. Denna process tar vanligtvis en dag eller två.
När du kommer igång med BS 10012 är det första steget när du börjar implementera BS 10012 att göra en gapanalys för att avgöra var ditt hanteringssystem för personlig information är för tillfället. Du granskar sedan resultaten och utvecklar en strategi för att implementera de policyer och procedurer som krävs för att uppfylla standardens kriterier. Dessutom kommer denna granskning att identifiera eventuella aktuella risker förknippade med din personliga informationshantering, vilka kan lösas när du utvecklar ditt hanteringsramverk.
Såvida du inte har erfarenhet av BS 10012 rekommenderar vi att du få expertråd vid utveckling av ett hanteringssystem för personuppgifter. Våra experter på informationssäkerhet på ISMS.online kan hjälpa dig att följa BS 10012. Vi har resurser för videocoaching och vårt moln ISMS hjälper dig att följa en metod för säkerställda resultat, genom att placera dokumentationen om överensstämmelse med standarden på en lättanvänd plattform.
Varje företag har sin egen uppsättning personliga data och står inför olika integritetsrisker. Varje företag befinner sig också i ett annat stadium när det gäller att hantera personlig information. Det är därför det är viktigt att ditt Privacy Information Management System är byggt på BS 10012 men är designat för att passa din verksamhet. BS 10012 kan anpassas för att inkludera vad ditt företag behöver för att skydda personlig information, effektivisera processer och följa regler och lagar.
För att börja implementera BS 10012 måste följande steg vidtas:
BS 10012 kan vara lite knepigt att komma runt - som de flesta ISO- och BS-standarder. ISMS.online hjälper dig genom att tillhandahålla en molnbaserad lösning som kan hjälpa dig att dokumentera efterlevnad av BS 10012-kraven.
BS 10012 sätter standarden för beteenden, processer, teknik och kunskap som representerar bästa praxis för effektiv hantering av risker för integritetsdata. Genom att implementera BS 10012 kan din organisation visa "god praxis" när det gäller att hantera personligt identifierbar information.
PDCA (Plan-Do-Check-Act) är en iterativ metod i fyra steg för att kontinuerligt förbättra procedurer, tjänster eller produkter, såväl som för problemlösning. Det innebär att genomföra rigorösa tester av potentiella alternativ, analysera resultaten och tillämpa de som har visat sig lyckas.
BS 10012 är en kvalitetsledningsstandard som är baserad på Plan-Do-Check-Act-modellen (PDCA) för kontinuerlig kvalitetskontroll och förbättring. Som sådan är ramverket kompatibelt med annat ISO-godkänt ledningssystem standarder, vilket möjliggör en strömlinjeformad distribution och interoperabilitet för ett PIMS inom applikationer som ett Information Security Management System (ISMS).
Att införa ett ledningssystem tar ett systematiskt tillvägagångssätt som involverar alla intressenter.
Följande är de viktiga kraven för att uppnå överensstämmelse med BS 10012:
När dessa steg har vidtagits och du är säker på din organisations implementering av BS 10012, kommer du att vilja ansöka om en extern revision och certifiering.
Smakämnen ram för nuvarande ISO-standarder sammanfattas i bilaga SL. Strukturen i bilaga SL är sammansatt av tio paragrafer som definierar hur allt innehåll i en ledningssystemstandard ska klassificeras:
En skräddarsydd praktisk session utifrån dina behov och mål
Termerna efterlevnad och certifiering används ofta omväxlande men de är inte samma sak. Ett företag kan vara kompatibelt utan att vara certifierat, och ett företag kan ibland bli certifierat utan att det är helt kompatibelt.
Efterlevnad innebär att din PIMS uppfyller kraven för lagar, förordningar eller standarder. BS10012-certifiering innebär att du har bevisat att din organisation har uppfyllt kraven i personuppgiftsstandarden. Certifiering kräver dokumentation. Vanligtvis kommer du att få ett certifikat som säger att du är kompatibel med din valda standard; BS 10012 i detta fall. Certifiering är ett utmärkt sätt att visa efterlevnad för potentiella kunder!
BS 10012-certifieringen är rätt för ditt företag om du behöver visa bevis på att du har vidtagit alla rätta åtgärder för att skydda kritisk data och information från hot som dataläckor, säkerhetsriskeroch missbruk.
Dessutom är BS 10012 ett smart val om du vill följa regulatoriska krav, skydda information och data och minimera dataskyddsrisker.
Oavsett omfattningen av ditt företag eller vilken typ av personlig information du behandlar, innehåller BS 10012-ramverket riktlinjer som hjälper dig att identifiera hot mot personlig dataintegritet och implementera lämpliga policyer, protokoll och kontroller för att säkerställa efterlevnad av dataskyddskrav.
Det finns vissa steg du kan vidta för att göra BS 10012-certifieringen så smidig som möjligt.
Stegen är:
certifiering:En revisor kommer att besöka din anläggning för att verifiera att dina processer är i linje med BS 10012-standarderna och att alla nödvändiga ändringar har implementerats. Om allt stämmer kan du fortsätta att ansöka om BS 10012-certifiering. Detta certifikat är normalt giltigt i tre år.
På din resa mot BS 10012-certifiering kan du dra fördel av ISMS.online power molnbaserade system för att dokumentera din PIMS-process för att visa efterlevnad och bli certifierad.
Prata med våra experter på informationssäkerhet eller begär en demo genom att ringa +44 (0)1273 041140.
Effektiv implementering av BS 10012 innebär samarbete mellan alla i organisationen.
Senior ledningen måste vara ombord och engagerad i att implementera data bästa praxis för sekretess. Men för att korrekt hantera alla din organisations personuppgifter måste du ta med alla avdelningar i organisationen.
A hanteringssystem för personlig information är en uppsättning protokoll, praxis och organisatoriska processer som är avsedda att skydda personuppgifter från obehörig åtkomst, hämtning eller användning av andra skäl än de för vilka de samlades in, samt att säkerställa datasekretess och säkerhet.
Ett hanteringssystem för personuppgifter är avsett att säkerställa efterlevnad av alla tillämpliga GDPR- och dataskyddslagar.
Standarder som BS 10012 och ISO 27701 definierar ramverket för ett hanteringssystem för personlig information (PIMS), hjälper dig att upprätthålla och förbättra efterlevnaden av dataskyddslagstiftningen och försäkra intressenter.
Byrån kan undvikas helt om implementeringen av BS 10012 görs korrekt.
Även om det kan vara frestande att dokumentera alla aspekter och steg i processen, kan detta vara krävande och tidskrävande för personer inblandade. Att dokumentera steg spelar en viktig roll om du planerar att uppgradera dina system, men för mycket dokumentation kan leda till byråkrati.
Att upprätthålla BS 10012-certifieringen är inte en svår uppgift, förutsatt att den ursprungliga BS 10012-implementeringen utfördes korrekt. Till behålla ditt certifikats giltighet, måste årliga revisioner utföras av en kvalificerad person, följt av en omfattande omvärdering av din PIMS innan certifieringen förnyas, vilket sker vart tredje år. Du bör också vara villig att investera i ständiga förbättringar.
Kontinuerlig förbättring är en bred term som används för att beskriva alla metoder eller tillvägagångssätt för gradvisa och permanenta förbättringar av hur din organisation hanterar personligt identifierbar information, identifiera nya risker för efterlevnad och vidta systemiska åtgärder för att åtgärda dem.
Ständiga förbättringar är särskilt viktiga med BS 10012, som är designad kring Plan-Do-Check-Act-metoden. För att kvalificera dig för certifiering eller omcertifiera till BS10012 måste du visa ett kontinuerligt förbättringsfokus i ditt PIMS.
BS 10012 är baserad på ständiga förbättringskonceptet 'Plan-Do-Check-Act' och är kompatibel med ISO Annex SL, som antas av alla större ramverk för ledningssystem. Detta tillåter organisationer att införliva sina BS10012-certifierade PIMS med andra standarder, framför allt ISO 27001.
Standarder som fokuserar på GDPR och liknande bestämmelser är i allmänhet kompatibla med en BS 10012 PIMS. De flesta moderna integritetsstandarder är utformade kring Annex L/SL-ramverket och är därför kompatibla med varandra.
Två av de vanligaste standarderna som används vid sidan av BS 10012 är ISO 27001 och ISO 27701. Internationella organisationer väljer ibland att få sina PIMS-certifierade enligt BS 10012 och ISO 27701 för att uppfylla industricertifieringsstandarder både i Storbritannien och EU.
GDPR står för General Data Protection Regulation. GDPR är en lag som företag måste följa när de håller och behandlar PII i EU. Den stora majoriteten av kraven för GDPR omfattas av BS 10012, så BS 10012 underlättar efterlevnaden av GDPR.
BS 10012 ändrades i mars 2017 som svar på artikel 42 i GDPR, som främjar "etablering av dataskyddscertifieringsmekanismer för syftet att visa efterlevnad av GDPR behandlingsoperationer av registeransvariga och processorer.” Det är precis vad BS 10012:2017 syftar till att göra.
Detta innebär att ett BS 10012-kompatibelt PIMS visar att organisationen har vidtagit alla lämpliga och nödvändiga åtgärder för att uppfylla kraven för att hantera personlig information, enligt definitionen i GDPR.
BS 10012 är inte ett alternativ till GDPR. BS 10012 hjälper dig att visa att du har tittat på ditt företag och etablerat och upprätthåller de policyer, processer och teknologier som bör göra dig GDPR-kompatibel.
ISO 27701 och BS 10012 är standarder som företag mäter sina organisationspolicyer och rutiner mot i utformningen av sina PIMS. Båda tillhandahåller dokumentation, genom certifiering, för att visa att ett företag har följt en robust process.
BS 10012 är lämplig för företag som är verksamma i Storbritannien som vill säkerställa efterlevnad av GDPR och Data Protection Act. ISO 27701 är en globalt erkänd standard.
ISO 27701 adresserar många av samma specifikationer som BS 10012 men har en bredare räckvidd och kan anpassas till olika länder, territorier och industrier. En betydande skillnad mellan ISO 27701 och BS 10012 är att en ISO 27701 PIMS är strukturerad som en förlängning av de ISMS-standarder och kontroller som specificeras i ISO 27001.
BS 10012 å andra sidan ger en helt annan uppsättning GDPR-kompatibla kriterier för att implementera ett PIMS. För att förhindra dubbelarbete har BS 10012 utformats för att vara kompatibel med internationellt erkända ledningssystemstandarder, såsom ISO 27001.
BS 10012 är baserad på modellen för ständiga förbättringar av 'Plan-Do-Check-Act' och är kompatibel med ISO Annex SL, som antas av alla större ledningssystemstandarder, inklusive ISO 27701. Detta innebär att organisationer kan införliva en PIMS-baserad på BS 10012 med en ISO 27701-kompatibel PIMS.
Det finns två uppsättningar avgifter kopplade till BS 10012:
Att bygga ditt eget BS 10012 PIMS-system är ett bättre sätt att få ett system som är skräddarsytt för dina specifika affärsprocesser. Ett personligt system kan spara pengar och vara lättare att använda, anpassa och anpassa.
Vissa företag, å andra sidan, tycker att möjligheten att utveckla sitt eget system är överväldigande och väljer därför färdiga lösningar. Oavsett vilken väg du tar med ditt företag, kommer våra molnbaserade lösningar på ISMS.online att hjälpa dig att hålla reda på de checklistor du behöver för att uppfylla kraven i PIMS-standarder när du söker certifiering.
ISMS.online tillhandahåller en lättanvänd molnbaserad plattform som gör det möjligt för organisationer att visa BS 10012-efterlevnad. Vi har experter på informationssäkerhet internt för att hjälpa dig att förstå och slutföra dokumentationsprocessen. Våra coachningsvideor och ytterligare resurser ger ytterligare vägledning och stöd för att underlätta din resa till BS 10012-certifiering.
Men det är inte allt. Vårt system stöder även:
Det kan vara svårt att veta var man ska börja med BS 10012, särskilt om det är första gången. Det är här ISMS.online kommer in.
Våra lösningar tillhandahåller ramverk för att visa din organisations efterlevnad av BS 10012. Våra informationssäkerhetsexperter kan också hjälpa dig att ta fram en implementeringsplan som överensstämmer med standardens dokumentationskrav.
Varje medlem i ditt implementeringsteam kan använda checklistfunktionen i ISMS.online för att lägga till sitt bidrag. Vårt lättanvända samarbetsverktyg, med en enkel godkännandeprocess, inbyggda automatiserade granskningar och ett användarvänligt gränssnitt gör att du kan övervaka dina framsteg mot certifiering. Med vårt molnbaserade system får du enklare projektsamarbete och full överblick på ett ställe.
Vi har lösningar som hjälper dig att ta mer kontroll över din leveranskedja, från kontrakt till kommunikation och relationer, hela vägen till resultatövervakning och rapportering. Genom att välja våra ytterligare verktyg för försörjningshantering kan du utöka dina sekretessdatastandarder till din försörjningskedja. Genom att välja våra ytterligare verktyg för försörjningshantering kan du utöka dina sekretessdatastandarder till din försörjningskedja.
För att framgångsrikt implementera ett GDPR-kompatibelt PIMS-system måste du få inköp från alla intressenter i ditt företag. Det är här våra kommunikations- och engagemangsverktyg kan göra skillnad. Våra lösningar kan hjälpa dig att integrera nyckelintressenter och visa fördelarna med efterlevnad av BS10012.
Kontakta ISMS.online idag på + 44 (0) 1273 041140 för att lära dig mer om hur vår molnbaserade programvara kan hjälpa dig att visa överensstämmelse med BS 10012.
Samarbeta, skapa och visa att du alltid har koll på din dokumentation
Läs merTa itu med hot och möjligheter utan ansträngning och rapportera dynamiskt om prestanda
Läs merTa bättre beslut och visa att du har kontroll med instrumentpaneler, KPI:er och relaterad rapportering
Läs merGör lätt arbete med korrigerande åtgärder, förbättringar, revisioner och ledningsgranskningar
Läs merBelys kritiska relationer och länka elegant samman områden som tillgångar, risker, kontroller och leverantörer
Läs merVälj tillgångar från Asset Bank och skapa din Asset Inventory med lätthet
Läs merIntegrationer direkt med dina andra viktiga affärssystem för att förenkla din efterlevnad
Läs merLägg prydligt till andra områden av efterlevnad som påverkar din organisation för att uppnå ännu mer
Läs merEngagera personal, leverantörer och andra med dynamisk end-to-end-efterlevnad hela tiden
Läs merHantera due diligence, kontrakt, kontakter och relationer under deras livscykel
Läs merKartlägg och hantera intresserade parter visuellt för att säkerställa att deras behov tydligt tillgodoses
Läs merStark integritet genom design och säkerhetskontroller för att matcha dina behov och förväntningar
Läs mer