Uppnå regulatorisk överensstämmelse med ISO 27701

Skapa ett ISO 27701-baserat PIMS för att uppnå efterlevnad av integritetsbestämmelser

Vår ISO 27701-lösning är en förkonfigurerad PIMS. Det kommer att se till att ditt integritetsarbete överensstämmer med och uppfyller behoven för varje del av standarden. Och eftersom det är regleringsagnostiskt kan du mappa det till alla regler eller förordningar du behöver.

Din PIMS följer ISO 27701 och hjälper dig att uppnå GDPR-efterlevnad genom att:

Svarar på helheten

Du kommer att starta PIMS-utvecklingsprocessen genom att förstå sammanhanget som din PIMS kommer att fungera i. Det kommer du definiera om din organisation är en PII-kontroller, PII-processor eller båda. Och det kommer du se till att du är medveten av:

• Rättsliga faktorer, som integritetslagstiftning, förordningar eller rättsliga beslut
• Organisatoriska faktorer, som dess sammanhang, styrning, policyer och procedurer
• Praktiska faktorer, som eventuella administrativa beslut och avtalskrav

Då ska du se till att du förstå och ta hänsyn till behoven och förväntningarna hos alla med intresse i hur du behandlar PII. Det kan vara en lång lista, inklusive alla från dina kunder och leverantörer till tillsynsmyndigheter och handelsorgan.

När du har arbetat igenom allt detta kommer du att kunna ta reda på dina PIMS. Om du utökar ditt befintliga ISMS till att även uppfylla PIMS-krav kan du behöva överväg omfattningen av ditt ISMS för. Och om du implementerar båda samtidigt, kommer du att se till att de fungerar tillsammans.

Få ditt ledarskap ombord

Hela din organisation måste förstå och följa dina PIMS. För att uppnå det måste du ha ditt ledande ledarskap fullt ut ombord. ISO 27701 pekar tillbaka till ISO 27001 för vägledning. Om du redan har skapat ett ISO 27001 ISMS kommer det att vara en bekant process.

• Du måste se till att din högsta ledning visar ledarskap och engagemang för din PIMS genom att: sätta tydliga integritetsmål, se till att din PIMS uppnår dem, allokera resurser för att skapa och underhålla den, integrera den med bredare organisatoriska processer och hjälpa den kontinuerligt förbättra

De kommer också att ställa in dina bredare sekretesspolicyer. De borde:

• Stöd och bidra till din organisations bredare strategi och syfte, sätt tydliga integritetsmål eller beskriv hur du skapar dem och inkludera ett åtagande att både möta dess integritetsbehov och ständigt förbättra dina PIMS

Och naturligtvis måste du dokumentera dem och se till att alla som behöver förstå dem snabbt och enkelt kan komma åt dem.

Slutligen kommer dina högsta chefer att behöva utse de personer som kommer att ansvara för och ansvara för din PIMS. De kommer att hålla den i linje med standarden och rapportera tillbaka om dess status, framsteg och prestationer när och när det behövs.

Att vara noggrant planerad

När du har förstått sammanhanget du arbetar i och har ledningen helt bakom dig kan du börja planera din PIMS. Även här skickar ISO 27701 dig tillbaka till ISO 27001 för vägledning, men den lägger till några egna integritetsspecifika förbättringar.

Du måste:

• Bedöm riskerna dina PII-ansikter, ange tydliga policyer och kontroller för att hantera vissa eller alla av dessa risker och motivera varför du har valt att ignorera någon av dem
• Dokumentera din policy, kontroller och eventuella beslut om dem på ett lättillgängligt sätt, läs sätt och se till att alla uppdateringar är korrekta och i rätt tid

Återigen, om du redan har skapat en ISO 27001-baserat ISMS det kommer att vara en mycket välbekant process. Och om du utvecklar ett PIMS och ett ISMS tillsammans kommer du förmodligen att kunna slå samman dina arbetsflöden.

Att ha allt stöd den behöver

Även här är ISO 27001 och ISO 27701 mycket nära förenade. ISO 27701 ber dig följa ISO 27001:s supportvägledning.

• Du bör se till att du har alla resurser du behöver för att ställa in, implementera, underhålla och kontinuerligt utveckla dina PIMS tillgängliga när du behöver dem
• De personer som arbetar med din PIMS borde ha alla kompetens som deras roller kräver – om de inte gör det, bör du inrätta utbildning eller utbildning för dem
• Du måste se till att alla som påverkas av din PIMS förstår varför det är så viktigt, vad det skyddar och hur man följer det
• Du måste fullständigt dokumentera din PIMS (exakt vad det betyder beror på din organisations storlek och typ) och planera hur du ska uppdatera din dokumentation

Genomgår regelbunden utvärdering

En oexaminerad PIMS är inte värd att ha. Du måste vara tydlig med hur du ska övervaka, mäta, analysera och utvärdera din PIMS för att se till att den uppnår allt den borde. Standarden hänvisar dig till ISO 27001 för vägledning om hur du gör det.

Den anger att du ska genomföra regelbundna interna revisioner och ledningsgranskningar. Båda bör ske med planerade intervaller och följa noggrant dokumenterade processer. Du behöver också en tydlig plan för att svara på avvikelser och vidta korrigerande åtgärder.

Du kommer att utvärdera dina ISO 27701-baserade PIMS och ISO 27001-baserade ISMS på mycket liknande sätt. Som alltid, om du redan har ett ISO 27001 ISMS kommer du att tycka att hela processen är mycket välbekant.

Ständigt utvecklas och förbättras

Du kommer att följa ISO 27001-baserade processer för att utveckla och förbättra din PIMS. Det betyder att du snabbt och effektivt reagerar på eventuella avvikelser. Och du kommer att dokumentera både själva avvikelserna och de åtgärder du vidtog för att åtgärda dem.

Du kommer också att se till att kontinuerligt förbättra dina PIMS. Det är en mycket viktig punkt att komma ihåg. En PIMS är inte en eld-och-glöm-uppsättning dokument som – när de väl har skapats – kan lämnas kvar på en hårddisk någonstans.

Det är ett dynamiskt skyddssystem som kommer att utvecklas med alla förändringar i din organisation och miljön den arbetar i. Så du måste se till att du tar kontinuerliga steg för att öka lämpligheten, adekvatheten och effektiviteten hos dina PIMS.