Personligt identifierbar information (PII) är varje del av information som bekräftar en individs identitet.
En persons PII kan inkludera deras:
PII utgör en viktig del av en organisations datastyrningsstrategi och medför ett antal unika regulatoriska, lagstiftningsmässiga och kontraktuella risker.
Kontroll 5.34 hanterar PII på tre olika sätt:
Kontroll 5.34 är en förebyggande kontroll den där upprätthåller risken genom att skapa riktlinjer och förfaranden som uppfyller en organisations juridiska, lagstadgade, regulatoriska och kontraktuella krav relaterade till förvaring, privatpolicy och skydd av PII i alla dess former.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera #Skydda | #Informationsskydd #Juridik och efterlevnad | #Skydd |
Kontroll 5.34 nämner uttryckligen en organisations delegerade integritetsombud (eller motsvarande organisation) som den person som ska övervaka efterlevnaden av PII.
Organisationer bör behandla PII som en ämnesspecifik affärsfunktion och utveckla policyer som är unika för deras organisation och de kategorier av PII som är vanligast för deras dagliga verksamhet.
Först och främst bör organisationen utarbeta, utveckla och implementera en serie policyer som tillgodoser bevarandet, integriteten och skyddet av PII, och säkerställa att dessa kommuniceras till och används av alla anställda som behandlar PII – inte bara de som är skyldiga att hantera det som en del av sina jobbroller.
PII måste hanteras på ett strukturerat, tydligt och kortfattat sätt. För att uppnå detta frågar Control 5.34 organisationer att utarbeta policyer som tar hänsyn till individuella roller och ansvarsområden och datakontroller i hela organisationen.
Det enklaste och mest effektiva sättet att uppnå detta är att anta ett uppifrån och ned-tillvägagångssätt som innehåller en sekretessansvarig, vars jobb det är att ge vägledning till anställda och tredjepartsorganisationer i ämnet PII, och ge råd till högre ledning om hur man fortsätter att följa organisationens skyldigheter.
Vid sidan av reglerande, lagstiftningsmässiga och avtalsmässiga riktlinjer, en organisationen bör också genomföra tekniska och operativa åtgärder som handlar om den praktiska hanteringen av PII som den lagras av och strömmar genom verksamheten.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
PII-lagstiftningen varierar från land till land, även inom territorier som innehåller decentraliserade förvaltningar eller icke-federala regeringar.
Organisationer bör granska deras PII-behandlingskrav och överväga eventuella gränsöverskridande implikationer som härrör från insamling, bearbetning eller distribution av PII inom separata jurisdiktioner.
Medan ISO 27002: 2022 ger ingen ytterligare vägledning om hur man uppnår detta, ett antal ISO-dokument går in mer i detalj på frågan, inklusive:
27002:2022-5.34 ersätter 27002:2013-18.1.4 (Sekretess och skydd av personligt identifierbar information).
27002:2022-5.34 är nästan en kopia av dess föregångare från 2013, med två anmärkningsvärda undantag.
Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhetskontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27k. Används på rätt sätt, ISMS. online kan hjälpa dig att uppnå certifiering med ett minimum av tid och resurser.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
