Det kan tyckas självklart att överväga informationssäkerhet vid sidan av datasekretess men vad exakt innebär den nya, kommande, General Data Protection Regulation (GDPR)?
Egentligen innehåller GDPR inga specifika säkerhetskrav. Enligt artikel 32, med rubriken "Säkerhet", bara 135 ord beskriver dem:
”Med hänsyn till teknikens ståndpunkt, kostnaderna för genomförandet och behandlingens art, omfattning, sammanhang och syften samt risken för varierande sannolikhet och svårighetsgrad för fysiska personers rättigheter och friheter, ska den registeransvarige och registerföraren genomföra lämpligt tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå till risken, inklusive bland annat när så är lämpligt:
a) Pseudonymisering och kryptering av personuppgifter.
(b) Förmågan att säkerställa kontinuerlig konfidentialitet, integritet, tillgänglighet och motståndskraft för bearbetningssystem och tjänster.
(c) Möjligheten att återställa tillgängligheten och tillgången till personlig information i tid i händelse av en fysisk eller teknisk incident;
(d) en process för att regelbundet testa, bedöma och utvärdera effektiviteten av tekniska och organisatoriska åtgärder för att säkerställa säkerheten för bearbetningen.”
Ordet "lämpligt" nämns 3 gånger här. Samtidigt som detta ger en viss grad av flexibilitet när det gäller att ställa in organisationens säkerhetskontroller, det medför också risken att en tillsynsmyndighets uppfattning kan skilja sig från din när det gäller de säkerhetsåtgärder du har vidtagit.
Det betyder att du måste vara redo visa och försvara ditt förhållningssätt och den operativa effektiviteten av de säkerhetskontroller som finns på plats.
Chris Zoladz*, grundare av informations- och integritetsrådgivare, Navigate LLC, och tidigare ordförande för International Association of Privacy Professionals (IAPP) erbjuder...
ISMS.online kommer att spara tid och pengar för ISO 27001-certifiering och göra det enkelt att underhålla.
Informationssäkerhetschef, Honeysuckle Health
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
1. Använd en erkänd säkerhetsram — Om din organisation inte redan använder ett säkerhetsramverk som ISO 27001/2 för att vägleda ditt säkerhetsprogram, välj ett ramverk eller en kombination av kända ramverk som kommer att informera komponenterna i det övergripande säkerhetsprogrammet.
2. Hantera säkerhetenRisken — Alla säkerhetsrisker är inte lika och inte alla risker kan eller bör elimineras. Det är helt enkelt inte realistiskt, kostnadseffektivt eller nödvändigt. Tack och lov, den GDPR erkänner den verkligheten. Men du behöver fortfarande bedöma säkerhetsrisker och vidta rimliga åtgärder för att minska betydande risker, implementera kompenserande kontroller eller motivera varför en oförminskad risk kommer att accepteras. Varje organisation bör använda ett riskramverk och ha en process för att utvärdera och styra risker. Om din organisation för närvarande inte har en formell process för att identifiera, dokumentera och hantera säkerheten risker, utnyttja ISO 27001, NIST eller annat ramverk för att göra förbättringar. Detta betyder inte att din organisationens behov att implementera varje element i ett visst ramverk, men i stället kommer det att fungera som en utgångspunkt eller referens för att säkerställa att de nödvändiga delarna av riskhantering tas upp.
3. Dokumentation är din vän — När det finns en fråga som resulterar i en utredning eller revision, kommer framgången för organisationens försvar att vara direkt relaterad till styrkan i "visa och berätta" som presenteras för tillsynsmyndigheten eller revisorn. Dokumentation är "show"-delen av försvaret som kan användas för att visa att säkerhetskontroller är på plats (t.ex. en lista över alla anställda som genomför säkerhetsutbildningen) och fungerar effektivt (t.ex. åtkomstkontroll loggar visar att en obehörig åtkomstförsök till ett system med personuppgifter har identifierats och undersökts). Upprätthåll en rimlig nivå av dokumentation för att visa och försvara säkerhetskontrollerna på plats.
4. Ständigt "läs och reagera" — Teknik, affärskrav och juridiska krav kommer kontinuerligt att förändras över tiden. Som ett resultat kommer nya risker att dyka upp och nya eller annorlunda säkerhetskontroller kommer att behövas. Detta kommer att vara en oändlig cykel och kräver att organisationen kontinuerligt anpassar och förfinar sin säkerhetsställning för att vara lyhörd för nya risker. Säkerhet, liksom integritet, är en pågående process, inte ett engångsprojekt.
En skräddarsydd praktisk session utifrån dina behov och mål
Standarder som ISO 27001:2013 uppmuntrar kontinuerligt förbättring. Av externa revision, med oberoende certifiering kommer du att ge dina kunder det förtroende de behöver för att se att du upprätthåller ISMS och uppfyller kraven på regelbundna granskningar och löpande hantering.
Med kunder som sannolikt också har olika åsikter om vilka säkerhetskontroller som är lämpliga, kommer implementering av en välkänd standard att hjälpa till att undvika att dras i olika riktningar.
ISMS.online gör det enkelt att beskriva, demonstrera och försvara din dataintegritet och informationssäkerhetspraxis och kontroller.
Använd vår förbyggda GDPR och ISO 27001 ramverk, ISO 27001 policyer och kontroller Tillsammans med verktyg för riskhantering och verktyg för att hantera andra arbetsprocesser krävs enligt GDPR.
100 % av våra användare uppnår ISO 27001-certifiering första gången