Planering för integritetsefterlevnad: Förstå ISO 27701 klausul 5.4
Det är viktigt att organisationer, innan de implementerar ett PIMS, får en tydlig bild av vad deras specifika integritetsskydd/PII-mål är, på alla nivåer av deras informationssäkerhetsverksamhet.
Riskbedömning bör vara en nyckelkomponent i alla organisationsövergripande integritetsskyddsprotokoll, inklusive en förståelse för hur man bedömer och analyserar risker, och ”riskbehandling” – processen att modifiera risken genom en rad tekniska åtgärder.
Vad som omfattas av ISO 27701 klausul 5.4
ISO 27701 5.4 handlar om de steg som organisationer måste vidta när de planerar en PIMS eller integritetsskyddspolicy.
ISO 27701 5.4 bygger på vägledning från ISO 27001 6.1 (Åtgärder för att ta itu med risker och möjligheter) och innehåller ytterligare vägledning över fyra huvudunderklausuler:
- ISO 27701 klausul 5.4.1.1 (Referenser ISO 27001 kontroll 6.1.1)
- ISO 27701 klausul 5.4.1.2 (Referenser ISO 27001 kontroll 6.1.2)
- ISO 27701 klausul 5.4.1.3 (Referenser ISO 27001 kontroll 6.1.3)
- ISO 27701 klausul 5.4.2 (Referenser ISO 27001 kontroll 6.2)
Två underklausuler (5.4.1.2 och 5.4.1.3) innehåller båda vägledning som direkt hänför sig till artikel 32 i GDPR, närmare bestämt avsnitten (1)(b), (2).
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 5.4.1.1 – Allmänt
Referenser ISO 27001 Kontroll 6.1.1
Generellt sett måste organisationer anta en riskspecifik strategi för att planera en PIMS som:
- Arbetar för att bygga ett PIMS som uppnår en uppsättning specifika integritetsskyddsmål.
- Syftar till att antingen helt utrota eller minimera eventuella negativa effekter.
- Strävar efter ständig utveckling och stegvis förbättring av PII och integritetsskyddsrelaterade aktiviteter.
När organisationer utarbetar en plan måste de:
- Var uppmärksam på de specifika åtgärder som behövs för att hantera eventuella risker och implementera dem i ett PIMS.
- Utvärdera ständigt deras tillvägagångssätt.
Relevanta ISO 27001-kontroller
Vägledningen i ISO 27701 5.4.1.1 är nära kopplad till en organisations förmåga att förstå dess krav och förväntningarna hos intern och extern personal och PII-ämnen vars data organisationen har.
- ISO 27001 4.1 – Förstå organisationen och dess sammanhang.
- ISO 27001 4.2 – Förstå behoven och förväntningarna hos berörda parter.
ISO 27701 Klausul 5.4.1.2 – Informationssäkerhetsriskbedömning
Referenser ISO 27001 Kontroll 6.1.2
Organisationer bör kartlägga och implementera en process för riskbedömning av integritetsskydd som:
- Innehåller riskacceptanskriterier, i syfte att utföra integritetsskyddsbedömningar.
- Tillhandahåller ett ramverk för jämförbar analys av alla integritetsskyddsbedömningar.
- Fastställer integritetsskyddsrisker (och deras ägare).
- Tänker på farorna och riskerna med förlusten av "konfidentialitet, tillgänglighet och integritet" för PII.
- Analyserar integritetsskyddsrisker tillsammans med tre faktorer:
- Deras potentiella konsekvenser.
- Sannolikheten att de inträffar.
- Deras svårighetsgrad.
- Analyserar och prioriterar identifierade risker i enlighet med deras risknivå.
Ytterligare PIMS- och PII-vägledning
Organisationer bör fokusera riskbedömningsaktiviteter som inte bara tar upp informationssäkerhet, utan kompletterar implementeringen av ett PIMS och till bearbetning och lagring av PII.
Organisationer bör tänka på konsekvenserna, inte bara för företaget självt, utan för alla PII-principer, bör och problem uppstå.
Tillämpliga GDPR-artiklar
- Artikel 32 – Säkerhet vid behandling
- Tillämpliga avsnitt – (1)(b), (2)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 5.4.1.3 – Informationssäkerhetsriskbehandling
Referenser ISO 27001 Kontroll 6.1.3
Organisationer bör utarbeta och implementera en "riskbehandlingsprocess" för integritetsskydd/PII som:
- genomföra en "riskbehandlingsplan" för integritetsskydd.
- identifierar hur en PIMS ska behandla individuella risknivåer, baserat på en uppsättning bedömningsresultat.
- lyfter fram en rad kontroller som krävs för att implementera behandling av integritetsskyddsrisker.
- korsreferens alla kontroller identifierade med den omfattande listan som tillhandahålls av ISO i Bilaga A till ISO 27001.
- dokumentera och motivera användningen av eventuella kontroller som används i en formell "tillämplighetsförklaring".
- söka godkännande från eventuella riskägare innan du slutför en behandlingsplan för integritetsskyddsrisk som inkluderar eventuella "återstående" integritetsskydd och PII-risker.
Tillämpliga GDPR-artiklar
- Artikel 32 – Säkerhet vid behandling
- Tillämpliga avsnitt – (1)(b), (2)
ISO 27701 klausul 5.4.2 – Informationssäkerhetsmål och planering för att uppnå dem
Referenser ISO 27001 Kontroll 6.2
Organisatoriska integritetsskyddsmål bör:
- Var anpassad till andra informationssäkerhetspolicyer.
- Vara kvantifierbar, för rapporterings- och bedömningsändamål.
- Inkludera data från riskbedömningar och riskbehandlingar.
- Görs tillgänglig för alla relevanta anställda och registrerade.
- Bli ständigt förbättrad och uppdaterad i enlighet med operativa resultat och verkliga händelser.
- Bli dokumenterad.
Under hela planeringsprocessen måste organisationer fastställa följande:
- Eventuella resurser som kommer att krävas.
- Vem kommer att få äganderätten till målen, deras helt eller delvis.
- När en organisations angivna mål kommer att uppnås.
- Hur eventuell data ska analyseras.
Stödjande kontroller från ISO 27001 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27001-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 5.4.1.1 | Allmänt |
6.1.1 – Allmänna aspekter vid planering kring risk för ISO 27001 |
Ingen |
| 5.4.1.2 | Informationssäkerhetsriskbedömning |
6.1.2 – Informationssäkerhetsriskbedömning för ISO 27001 |
Artikeln Lagring |
| 5.4.1.3 | Informationssäkerhetsriskbehandling |
6.1.3 – Informationssäkerhetsriskbehandling för ISO 27001 |
Artikeln Lagring |
| 5.4.2 | Informationssäkerhetsmål och planering för att uppnå dem |
6.2 – Informationssäkerhetsmål och planering för att uppnå dem för ISO 27001 |
Ingen |
Hur ISMS.online hjälper
Du måste skapa ett Privacy Information Management System (PIMS) för att uppfylla ISO 27701. Med vårt förbyggda Privacy Information Management System (PIMS) kan du snabbt och effektivt organisera och hantera kund-, leverantörs- och medarbetares information för att uppfylla ISO 27701-kraven.
Sekretessbedömningar kan ställas in och köras med lätthet, allt från dataskyddskonsekvensbedömningar till reglerings- eller efterlevnadsberedskap.
Se hela vårt utbud av funktioner genom boka en demo.
