ISO 27701, paragraf 5.4 – Planering

ISO 27701 kontroller och klausuler förklaras

Boka en demo

silhuetter,av,mÀnniskor,sittande,vid,bordet.,ett,team,av

Det Àr viktigt att organisationer, innan de implementerar ett PIMS, fÄr en tydlig bild av vad deras specifika integritetsskydd/PII-mÄl Àr, pÄ alla nivÄer av deras informationssÀkerhetsverksamhet.

Riskbedömning bör vara en nyckelkomponent i alla organisationsövergripande integritetsskyddsprotokoll, inklusive en förstĂ„else för hur man bedömer och analyserar risker, och ”riskbehandling” – processen att modifiera risken genom en rad tekniska Ă„tgĂ€rder.

Vad som omfattas av ISO 27701 klausul 5.4

ISO 27701 5.4 handlar om de steg som organisationer mÄste vidta nÀr de planerar en PIMS eller integritetsskyddspolicy.

ISO 27701 5.4 bygger pĂ„ vĂ€gledning frĂ„n ISO 27001 6.1 (ÅtgĂ€rder för att ta itu med risker och möjligheter) och innehĂ„ller ytterligare vĂ€gledning över fyra huvudunderklausuler:

  • ISO 27701 klausul 5.4.1.1 (Referenser ISO 27001 kontroll 6.1.1)

  • ISO 27701 klausul 5.4.1.2 (Referenser ISO 27001 kontroll 6.1.2)

  • ISO 27701 klausul 5.4.1.3 (Referenser ISO 27001 kontroll 6.1.3)

  • ISO 27701 klausul 5.4.2 (Referenser ISO 27001 kontroll 6.2)

TvÄ underklausuler (5.4.1.2 och 5.4.1.3) innehÄller bÄda vÀgledning som direkt hÀnför sig till artikel 32 i GDPR, nÀrmare bestÀmt avsnitten (1)(b), (2).

Observera att GDPR-hÀnvisningar endast Àr i vÀgledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gÀller för dem.

Hoppa till Àmne
UppnÄ ISO 27701 framgÄng

Se vÄr plattform i aktion med en skrÀddarsydd praktisk session baserad pÄ dina behov och mÄl.

Boka din demo
img

ISO 27701 Klausul 5.4.1.1 – AllmĂ€nt

Referenser ISO 27001 Kontroll 6.1.1

Generellt sett mÄste organisationer anta en riskspecifik strategi för att planera en PIMS som:

  1. Arbetar för att bygga ett PIMS som uppnÄr en uppsÀttning specifika integritetsskyddsmÄl.

  2. Syftar till att antingen helt utrota eller minimera eventuella negativa effekter.

  3. StrÀvar efter stÀndig utveckling och stegvis förbÀttring av PII och integritetsskyddsrelaterade aktiviteter.

NÀr organisationer utarbetar en plan mÄste de:

  1. Var uppmÀrksam pÄ de specifika ÄtgÀrder som behövs för att hantera eventuella risker och implementera dem i ett PIMS.

  2. UtvÀrdera stÀndigt deras tillvÀgagÄngssÀtt.

Relevanta ISO 27001-kontroller

VÀgledningen i ISO 27701 5.4.1.1 Àr nÀra kopplad till en organisations förmÄga att förstÄ dess krav och förvÀntningarna hos intern och extern personal och PII-Àmnen vars data organisationen har.

  • ISO 27001 4.1 – FörstĂ„ organisationen och dess sammanhang.

  • ISO 27001 4.2 – FörstĂ„ behoven och förvĂ€ntningarna hos berörda parter.

ISO 27701 Klausul 5.4.1.2 – InformationssĂ€kerhetsriskbedömning

Referenser ISO 27001 Kontroll 6.1.2

Organisationer bör kartlÀgga och implementera en process för riskbedömning av integritetsskydd som:

  • InnehĂ„ller riskacceptanskriterier, i syfte att utföra integritetsskyddsbedömningar.

  • TillhandahĂ„ller ett ramverk för jĂ€mförbar analys av alla integritetsskyddsbedömningar.

  • FaststĂ€ller integritetsskyddsrisker (och deras Ă€gare).

  • TĂ€nker pĂ„ farorna och riskerna med förlusten av "konfidentialitet, tillgĂ€nglighet och integritet" för PII.

  • Analyserar integritetsskyddsrisker tillsammans med tre faktorer:

    • Deras potentiella konsekvenser.

    • Sannolikheten att de intrĂ€ffar.

    • Deras svĂ„righetsgrad.

  • Analyserar och prioriterar identifierade risker i enlighet med deras risknivĂ„.

Ytterligare PIMS- och PII-vÀgledning

Organisationer bör fokusera riskbedömningsaktiviteter som inte bara tar upp informationssÀkerhet, utan kompletterar implementeringen av ett PIMS och till bearbetning och lagring av PII.

Organisationer bör tÀnka pÄ konsekvenserna, inte bara för företaget sjÀlvt, utan för alla PII-principer, bör och problem uppstÄ.

TillÀmpliga GDPR-artiklar

  • Artikel 32 – SĂ€kerhet vid behandling

    • TillĂ€mpliga avsnitt – (1)(b), (2)

UpptÀck vÄr plattform

Boka en skrÀddarsydd hands-on session
utifrÄn dina behov och mÄl
Boka din demo

Vi Àr kostnadseffektiva och snabba

UpptÀck hur enkelt ISO 27701 Àr med ISMS.online
FĂ„ din offert

ISO 27701 Klausul 5.4.1.3 – InformationssĂ€kerhetsriskbehandling

Referenser ISO 27001 Kontroll 6.1.3

Organisationer bör utarbeta och implementera en "riskbehandlingsprocess" för integritetsskydd/PII som:

  1. genomföra en "riskbehandlingsplan" för integritetsskydd.

  2. identifierar hur en PIMS ska behandla individuella risknivÄer, baserat pÄ en uppsÀttning bedömningsresultat.

  3. lyfter fram en rad kontroller som krÀvs för att implementera behandling av integritetsskyddsrisker.

  4. korsreferens alla kontroller identifierade med den omfattande listan som tillhandahÄlls av ISO i Bilaga A till ISO 27001.

  5. dokumentera och motivera anvÀndningen av eventuella kontroller som anvÀnds i en formell "tillÀmplighetsförklaring".

  6. söka godkÀnnande frÄn eventuella riskÀgare innan du slutför en behandlingsplan för integritetsskyddsrisk som inkluderar eventuella "ÄterstÄende" integritetsskydd och PII-risker.

TillÀmpliga GDPR-artiklar

  • Artikel 32 – SĂ€kerhet vid behandling

    • TillĂ€mpliga avsnitt – (1)(b), (2)

ISO 27701 klausul 5.4.2 – InformationssĂ€kerhetsmĂ„l och planering för att uppnĂ„ dem

Referenser ISO 27001 Kontroll 6.2

Organisatoriska integritetsskyddsmÄl bör:

  • Var anpassad till andra informationssĂ€kerhetspolicyer.

  • Vara kvantifierbar, för rapporterings- och bedömningsĂ€ndamĂ„l.

  • Inkludera data frĂ„n riskbedömningar och riskbehandlingar.

  • Görs tillgĂ€nglig för alla relevanta anstĂ€llda och registrerade.

  • Bli stĂ€ndigt förbĂ€ttrad och uppdaterad i enlighet med operativa resultat och verkliga hĂ€ndelser.

  • Bli dokumenterad.

Under hela planeringsprocessen mÄste organisationer faststÀlla följande:

  1. Eventuella resurser som kommer att krÀvas.

  2. Vem kommer att fÄ ÀganderÀtten till mÄlen, deras helt eller delvis.

  3. NÀr en organisations angivna mÄl kommer att uppnÄs.

  4. Hur eventuell data ska analyseras.

Stödjande kontroller frÄn ISO 27001 och GDPR

ISO 27701 KlausulidentifierareISO 27701 KlausulnamnISO 27001-kravTillhörande GDPR-artiklar
5.4.1.1AllmĂ€nt6.1.1 – AllmĂ€nna aspekter vid planering kring risk för ISO 27001Ingen
5.4.1.2InformationssĂ€kerhetsriskbedömning6.1.2 – InformationssĂ€kerhetsriskbedömning för ISO 27001Artikeln (32)
5.4.1.3InformationssĂ€kerhetsriskbehandling6.1.3 – InformationssĂ€kerhetsriskbehandling för ISO 27001Artikeln (32)
5.4.2InformationssĂ€kerhetsmĂ„l och planering för att uppnĂ„ dem6.2 – InformationssĂ€kerhetsmĂ„l och planering för att uppnĂ„ dem för ISO 27001Ingen

Hur ISMS.online hjÀlper

Du mÄste skapa ett Privacy Information Management System (PIMS) för att uppfylla ISO 27701. Med vÄrt förbyggda Privacy Information Management System (PIMS) kan du snabbt och effektivt organisera och hantera kund-, leverantörs- och medarbetares information för att uppfylla ISO 27701-kraven.

Sekretessbedömningar kan stÀllas in och köras med lÀtthet, allt frÄn dataskyddskonsekvensbedömningar till reglerings- eller efterlevnadsberedskap.

Se hela vÄrt utbud av funktioner genom boka en demo.

Se vÄr plattform
i aktion

Boka en skrÀddarsydd hands-on session
utifrÄn dina behov och mÄl
Boka din demo

Enkel. SĂ€kra. HĂ„llbar.

Se vÄr plattform i aktion med en skrÀddarsydd praktisk session baserad pÄ dina behov och mÄl.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - vÀrldens första AI Management System. Klicka för att ta reda pÄ mer