Förstå ISO 27701 klausul 5.2: Organisationens sammanhang
Integritetsskydd är ett komplicerat lagstiftningsämne som innehåller icke-rättslig och rättslig vägledning från ett brett spektrum av källor.
Genom hela sin serie av kontroller refererar ISO ständigt till de unika kommersiella, integritetsbaserade och logistiska behoven hos alla organisationer som sysslar med PII.
ISO 27701 5.2 täcker vad som i stora drag kan beskrivas som en serie kartläggningsövningar för organisationer som vill förstå sina skyldigheter gentemot interna och externa anställda, och hur de interagerar med tredjepartsorganisationer från en efterlevnad och PII-perspektiv.
Vad som omfattas av ISO 27701 klausul 5.2
ISO 27701 5.2 innehåller fyra underklausuler som rör integritetsskydd och bearbetning/kontroll av PII, som var och en motsvarar en länkad klausul inom ISO 27001 (som fungerar som huvudvägledningsdokumentet).
Dessutom innehåller ISO 27701 extra vägledningspunkter för organisationer som vill implementera ett PIMS, med tips om hur man tillämpar både ISO 27701 och ISO 27001 riktlinjerna för detta specifika ämne.
Organisationer måste se och implementera ISO 27701 tillsammans med artiklarna i statliga GDPR riktlinjer. I tillämpliga fall har vi markerat relevanta GDPR-artiklar tillsammans med deras angränsande underklausuler.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 5.2.1 – Förstå organisationen och dess sammanhang
Referenser ISO 27001 Kontroll 4.1
Organisationer måste genomgå en kartläggningsövning som listar både interna och externa faktorer relaterade till implementeringen av ett PIMS.
Organisationen måste kunna förstå hur den ska uppnå sina resultat för integritetsskydd, och alla problem som står i vägen för att skydda PII bör identifieras och åtgärdas.
Ytterligare PIMS- och PII-vägledning
Innan organisationer försöker ta itu med integritetsskydd och implementera en PII måste de först få en förståelse för sina skyldigheter som en enskild eller gemensam PII-kontrollant och/eller processor.
Detta inkluderar:
- Granska alla rådande integritetslagar, förordningar eller "rättsliga beslut";
- Med hänsyn till organisationens unika uppsättning krav avseende den typ av produkter och tjänster de säljer, och företagsspecifika styrdokument, policyer och procedurer;
- Eventuella administrativa faktorer, inklusive den dagliga driften av företaget;
- Tredjepartsavtal eller tjänstekontrakt som har potential att påverka PII och integritetsskydd.
Tillämpliga GDPR-artiklar
- Artikel 24 – Den registeransvariges ansvar
- Tillämpligt avsnitt – (3)
- Artikel 25 – Dataskydd genom design och standard
- Tillämpligt avsnitt – (3)
- Artikel 28 – Behandlare
- Tillämpliga avsnitt – (5), (6), (10)
- Artikel 32 – Säkerhet vid behandling
- Tillämpligt avsnitt – (2)
- Artikel 40 – Uppförandekoder
- Tillämpliga avsnitt – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- Artikel 41 – Övervakning av godkända uppförandekoder
- Tillämpliga avsnitt – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
- Artikel 42 – Certifiering
- Tillämpliga avsnitt – (1), (2), (3), (4), (5), (6), (7), (8)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 5.2.2 – Förstå behoven och förväntningarna hos intresserade parter
Referenser ISO 27001 Kontroll 4.2
PII och integritetsskydd har potential att påverka ett stort antal anställda, användare, kunder, både internt och externt.
Organisationer måste få en fast förståelse för behoven hos all berörd personal och vad ISO anser vara "intresserade parter".
Organisationens behov av att fastställa och dokumentera:
- Alla "intresserade parter" som är relevanta för det bredare ämnet integritetsskydd;
- Vilka unika krav är på nämnda individer inom ramen för en PIMS;
Organisationer bör också ta hänsyn till alla rättsliga, regulatoriska eller kontraktuella förpliktelser, vid sidan av praktiska och operativa krav.
Ytterligare PIMS- och PII-vägledning
När man implementerar ett PIMS måste organisationer kartlägga en lista över intresserade parter som antingen påverkas av ett PIMS eller har en roll att spela i behandlingen av PII.
När det gäller PII kan en intresserad part vara en av följande (men inte begränsat till):
- En anställd;
- En kund;
- Tillsynsmyndigheter, rättsliga eller tillsynsmyndigheter;
- Andra PII-kontroller och processorer.
Det är viktigt att notera att PII-krav – som relaterade till en PIMS – ofta härrör från ett brett spektrum av källor, inklusive:
- Interna processer och mål;
- Statliga och/eller reglerande organ;
- Avtalsförpliktelser med tredjepartsorganisationer.
Det kan ofta vara svårt för styrande och reglerande organisationer att bekräfta efterlevnaden av publicerade integritetsskyddsstandarder från en organisations sida, i dess roll som PII-behandlare och personuppgiftsansvarig.
Som sådan måste organisationer förvänta sig att sådana organ kräver oberoende granskning av alla relevanta ledningssystem för att uppfylla sina egna revisionskrav.
Tillämpliga GDPR-artiklar
- Artikel 31 – Samarbete med tillsynsmyndigheten
- Artikel 35 – Konsekvensbedömning av dataskydd
- Tillämpligt avsnitt – (9)
- Artikel 36 – Förhandssamråd
- Tillämpliga avsnitt – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 5.2.3 – Fastställande av omfattningen av ledningssystemet för informationssäkerhet
Referenser ISO 27001 Kontroll 4.3
ISO rekommenderar en grundlig omfattningsövning, så att organisationer kan ta fram ett PIMS som för det första uppfyller dess krav på integritetsskydd, och för det andra inte kryper in på områden i verksamheten som inte behöver uppmärksamhet.
Organisationer bör upprätta och dokumentera:
- Eventuella externa eller interna problem, som beskrivs i ISO 27001 4.1;
- Tredjepartskrav som beskrivs i ISO 27001 4.2;
- Hur organisationen interagerar med både sig själv och externa organ (t.ex. kundkontaktpunkter, IKT-gränssnitt).
Ytterligare PIMS- och PII-vägledning
Alla scopingövningar som kartlägger en PIMS-implementering bör inkludera en grundlig bedömning av PII-bearbetning och lagringsaktiviteter.
Tillämpliga GDPR-artiklar
- Artikel 32 – Säkerhet vid behandling
- Tillämpligt avsnitt – (2)
ISO 27701 Klausul 5.2.4 – Management System för informationssäkerhet
Referenser ISO 27001 Kontroll 4.4
Organisationer bör försöka implementera, hantera och optimera ett PIMS, i linje med publicerade ISO-standarder.
Tillämpliga GDPR-artiklar
- Artikel 32 – Säkerhet vid behandling
- Tillämpligt avsnitt – (2)
Stödjande kontroller från ISO 27001 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27001-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 5.2.1 | Förstå organisationen och dess sammanhang |
4.1 – Förstå organisationen och dess sammanhang för ISO 27001 |
Artikeln Lagring, Lagring, Lagring, Lagring, Lagring, Lagring, Lagring |
| 5.2.2 | Förstå behoven och förväntningarna hos intresserade parter |
4.2 – Förstå behoven och förväntningarna hos berörda parter för ISO 27001 |
Artikeln Lagring, Lagring, Lagring |
| 5.2.3 | Fastställande av omfattningen av ledningssystemet för informationssäkerhet |
4.3 – Fastställa omfattningen av ISMS för ISO 27001 |
Artikeln Lagring |
| 5.2.4 | Informationssäkerhetshanteringssystem |
4.4 – Information Security Management System (ISMS) för ISO 27001 |
Artikeln Lagring |
Hur man uppnår ISO 27701-efterlevnad genom ISMS.online
ISMS.online-plattformen erbjuder en anpassningsbar PIMS-funktion som övervakar, rapporterar och reviderar mot både ISO 27001 och ISO 27701 med en knapptryckning.
Vår lösning har ett dynamiskt verktyg för registrering av bearbetningsaktivitet som tar bort huvudvärken i samband med datakartläggning, dataregistrering och revision, med en inbyggd riskbank som erbjuder praktisk hjälp under hela bedömnings- och hanteringsprocessen.
ISO 27701 5.2 innehåller en rad vägledningspunkter om tredje parts sekretessstandarder och förhållandet mellan en PII-kontrollant och en registrerad, via en mandaterad begäran om rättigheter för datasubjekt (DRR). Vårt DRR-hanteringssystem erbjuder ett centraliserat administrationsnav som hanterar allt från förfrågningar till rapportering och analys.
Ta reda på hur mycket tid och pengar du sparar på din resa till en kombinerad ISO 27001- och 27701-certifiering använda ISMS.online genom att boka en demo.
