ISO 27701 klausul 5.7: En guide till prestationsutvärdering
En del av att arbeta med en vattentät uppsättning integritetsskyddskontroller är att erkänna behovet av att kontinuerligt övervaka, bedöma och förbättra organisationens efterlevnad med
PII-relaterade mål och juridiska/regulatoriska krav.
ISO 27701 Control 5.7 anger en tydlig uppsättning riktlinjer som informerar organisationer om hur de ska bedöma sin egen prestation, och lika viktigt, hur man genomför en meningsfull förändring så att integritetsskyddet förblir i framkant av deras bredare informationssäkerhetspolicy.
Vad som omfattas av ISO 27701 klausul 5.7
ISO 27701 klausul 5.7 innehåller tre underklausuler som handlar om de tre huvudsakliga delarna av utvärdering av integritetsskydd – övervakning, audition och granskning.
Varje underklausul är kopplat till en medföljande uppsättning informationssäkerhetsriktlinjer från ISO 27001:
- ISO 27701 5.7.1 – Övervakning, mätning, analys och utvärdering (Referenser ISO 27001 Kontroll 9.1)
- ISO 27701 5.7.2 – Internrevision (Referenser ISO 27001 Kontroll 9.2)
- ISO 27701 5.7.3 – Ledningsgranskning (Referenser ISO 27001 Kontroll 9.3)
Klausul 5.7 saknar ytterligare vägledning om hur man tillämpar riktlinjer för prestationsutvärdering inom ramen för en PIM, och den innehåller inte heller någon vägledning inom ramen för GDPR.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 5.7.1 – Övervakning, mätning, analys och utvärdering
Referenser ISO 27001 Kontroll 9.1
Organisationer måste ständigt övervaka och utvärdera hur de presterar ur integritetsskyddssynpunkt och hur effektivt deras PIMS är inom ramen för deras uttalade mål.
För att göra det måste organisationer upprätta:
- Exakt vilka områden av deras verksamhet som kräver övervakning;
- Hur de kommer att utföra nämnda övervakning, och de mekanismer de kommer att använda för att analysera all data som erhållits;
- När övervakningsaktiviteter ska utföras;
- Vilka anställda kommer att vara involverade i övervakningsaktiviteter;
- Tidsperioden då resultaten ska analyseras, efter eventuella övervakningsaktiviteter.
Som med all annan integritetsskydd och PII-relaterad verksamhet behöver en noggrann journal över alla övervakningsaktiviteter föras i form av officiell dokumentation.
ISO 27701 Klausul 5.7.2 – Internrevision
Referenser ISO 27001 Kontroll 9.2
Organisationer måste vara medvetna om sitt ansvar för sina egna data och processer, genom att utföra planerade revisioner med lämpliga intervall.
Revisioner måste fastställa:
- Huruvida PIMS är i linje med organisationens integritetsskyddskrav och relevanta ISO-standarder;
- Att PIMS har implementerats korrekt och att det underhålls på ett adekvat sätt.
För att uppnå dessa mål bör organisationer:
- Planera, skapa och underhålla ett revisionsprogram som tar hänsyn till flera viktiga detaljer:
- Revisionsfrekvens;
- Revisionsmetod;
- Interna roller och ansvar;
- Förimplementerings- och planeringskrav;
- Rapportering av revisionsdata.
- Fastställ omfattningen av varje enskild revision.
- Förstärk behovet av opartiskhet och ett objektivt förhållningssätt till dataanalys, med vem som har valts ut att genomföra revisionen, vare sig det är intern eller extern personal.
- Säkerställa att revisionsresultaten når rätt interna kanaler (ledande befattningshavare etc.), så att meningsfulla åtgärder kan vidtas för att förbättra organisationens ledningssystem för informationssäkerhet om behov skulle uppstå.
- Håll ett noggrant register över all revisionsverksamhet i form av dokumenterad information.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 5.7.3 – Management Review
Referenser ISO 27001 Kontroll 9.3
Högre ledning spelar en nyckelroll för att säkerställa genomförbarheten och effektiviteten av eventuell integritetsskyddspolicy eller implementering av PIMS.
När man granskar organisationens efterlevnad av PII-relaterade kontroller, policyer och procedurer bör ledningen inkludera:
- Eventuella åtgärder som återstår från den tidigare granskningen.
- Eventuella förändringar i organisationens verksamhet som har potential att påverka integritetsskyddet eller behandlingen och/eller lagringen av PII.
- Feedback från alla relevanta källor om integritetsskydd, som inkluderar märkbara trender inom:
- Icke-efterlevnad och korrigerande åtgärder;
- Alla data som erhållits från övervakningsaktiviteter;
- Resultaten av de senaste revisionerna;
- Hur organisationen uppfyller sina uttalade integritetsskyddsmål.
- Feedback från all relevant personal (intern eller extern).
- Resultaten av eventuella riskbedömningar för integritetsskydd och hur de kommer att hanteras via en särskild riskbehandlingsplan.
- Hur organisationen avser att utveckla och förbättra sin integritetsskyddsverksamhet, inklusive eventuella ändringar som behöver göras.
Alla granskningar bör vara noggrant dokumenterade för framtida analys och för att säkerställa kontinuitet från en granskning till nästa.
Stödjande kontroller från ISO 27001 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27001-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 5.7.1 | Övervakning, mätning, analys och utvärdering |
9.1 – Övervakning, mätning, analys och utvärdering för ISO 27001 |
Ingen |
| 5.7.2 | Internrevision |
9.2 – Internrevision för ISO 27001 |
Ingen |
| 5.7.3 | Ledningsöversyn |
9.3 – Management Review för ISO 27001 |
Ingen |
Hur ISMS.online hjälper
ISMS.online-plattformen har inbyggd vägledning vid varje steg i kombination med vår implementeringsmetod 'Adoptera, anpassa, lägg till' så att ansträngningen som krävs för att uppnå ISO 27701 minskar avsevärt.
Du kommer också att dra nytta av en rad kraftfulla tidsbesparande funktioner.
Utforska fördelarna med ISMS.online av boka en demo.
