Säkerställa säkra informationsöverföringar: ISO 27701 klausul 6.10.2 förklaras
Information är ofta som mest sårbar när den överförs från en plats till en annan – antingen fysiskt, digitalt eller verbalt.
Organisationer måste skydda PII som är på väg och ge anställda och leverantörer en tydlig uppsättning riktlinjer för hur de ska uppträda när de flyttar information från en källa till en annan.
Vad som omfattas av ISO 27701 klausul 6.10.2
ISO 27701 klausul 6.10.2 innehåller 4 underklausuler som behandlar integritetsskydd inom ramen för informationsöverföringar. Varje underklausul är beroende av vägledningsinformation från ISO 27002 :
- ISO 27701 6.10.2.1 – Policyer och procedurer för informationsöverföring (ISO 27002 Kontroll 5.14).
- ISO 27701 6.10.2.2 – Avtal för informationsöverföring (ISO 27002 Kontroll 5.14).
- ISO 27701 6.10.2.3 – Elektronisk meddelandehantering (ISO 27002 Kontroll 5.14).
- ISO 27701 6.10.2.4 – Sekretess- eller sekretessavtal (ISO 27002 Kontroll 6.6).
Två underklausuler innehåller vägledning som är tillämplig inom Storbritannien GDPR lagstiftning – (Klausuler 6.10.2.1 och 6.10.2.4), utan ytterligare PIMS eller PII-relaterad vägledning som erbjuds utanför de allmänna vägledningspunkter som redan har angetts.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.10.2.1 – Policyer och förfaranden för informationsöverföring
Referenser ISO 27002 Kontroll 5.14
Informationsöverföringsoperationer bör:
- Fokusera på kontroller som förhindrar uppsnappande, obehörig åtkomst, kopiering, modifiering, felvägning, destruktion och förnekande av tjänsten av PII och integritetsrelaterad information (se ISO 27002 Kontroll 8.24).
- Se till att informationen är spårbar.
- Kategorisera en lista med kontakter – dvs ägare, riskägare etc.
- Beskriv ansvar i händelse av en säkerhetsincident.
- Inkludera tydliga och koncisa märkningssystem (se ISO 27002 Kontroll 5.13).
- Säkerställ en tillförlitlig överföringsmöjlighet, inklusive ämnesspecifika policyer för överföring av data (se ISO 27002 Kontroll 5.10).
- Ange riktlinjer för förvaring och kassering, inklusive eventuella region- eller sektorspecifika lagar och riktlinjer.
Elektronisk överföring
När organisationer använder elektroniska överföringsmöjligheter bör de:
- Försök att upptäcka och skydda mot skadliga program (se ISO 27002 Kontroll 8.7).
- Fokusera på att skydda tillbehör.
- Var noga med att skicka information till rätt adress.
- Mandat för en godkännandeprocess, innan anställda kan överföra information via "externa offentliga tjänster" (t.ex. snabbmeddelanden), och utöva större kontroll över sådana metoder.
- Undvik att använda SMS-tjänster och faxar om möjligt.
Fysiska överföringar (inklusive lagringsmedia)
Vid överföring av fysiska medier (inklusive pappersdokument) mellan lokaler eller externa platser bör organisationer:
- Beskriv tydliga ansvarsområden för avsändning och mottagande.
- Var noga med att ange rätt adressuppgifter.
- Använd förpackningar som ger skydd mot fysisk skada eller manipulering.
- Arbeta med en lista över auktoriserade kurirer och tredje parts speditörer, inklusive robusta identifieringsstandarder.
- Håll noggranna loggar över alla fysiska överföringar, inklusive mottagarens uppgifter, datum och tider för överföringar och eventuella fysiska skyddsåtgärder.
Verbala överföringar
Att verbalt förmedla känslig information utgör en unik säkerhetsrisk, särskilt när det gäller PII och integritetsskydd.
Organisationer bör påminna anställda om att:
- Undvik att ha sådana konversationer på en offentlig plats eller på osäkrad intern plats.
- Undvik att lämna röstmeddelanden som innehåller känslig eller begränsad information.
- Se till att personen de pratar med är på en lämplig nivå för att ta emot denna information, och informera dem om vad som kommer att sägas innan information avslöjas.
- Var uppmärksam på sin omgivning och se till att rumskontrollerna följs.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Relevanta ISO 27002-kontroller
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Klausul 6.10.2.2 – Avtal för informationsöverföring
Referenser ISO 27002 Kontroll 5.14
Se ISO 27701 klausul 6.10.2.1
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.10.2.3 – Elektroniska meddelanden
Referenser ISO 27002 Kontroll 5.14
Se ISO 27701 klausul 6.10.2.1
ISO 27701 klausul 6.10.2.4 – Avtal om sekretess eller sekretess
Referenser ISO 27002 Kontroll 6.6
Organisationer bör använda sekretessavtal (NDA) och sekretessavtal för att skydda avsiktligt eller oavsiktligt avslöjande av känslig information till obehörig personal.
När organisationer utarbetar, implementerar och upprätthåller sådana avtal bör:
- Erbjud en definition av den information som ska skyddas.
- Ange tydligt den förväntade varaktigheten av avtalet.
- Ange tydligt vilka åtgärder som krävs när ett avtal har sagts upp.
- Eventuellt ansvar som överenskommits av bekräftade undertecknare.
- Äganderätt till information (inklusive IP och affärshemligheter).
- Hur undertecknare får använda informationen.
- Beskriv tydligt organisationens rätt att övervaka konfidentiell information.
- Eventuella konsekvenser som kommer att uppstå av bristande efterlevnad.
- Går regelbundet igenom deras sekretessbehov och anpassar eventuella framtida avtal därefter.
Sekretesslagar varierar från jurisdiktion till jurisdiktion, och organisationer bör ta hänsyn till sina egna juridiska och regulatoriska skyldigheter när de utarbetar NDAs och sekretessavtal (se ISO 27002 kontroller 5.31, 5.32, 5.33 och 5.34).
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)
- Artikel 25 – (1)(f)
- Artikel 28 – (3)(b)
- Artikel 38 – (5)
Relevanta ISO 27002-kontroller
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.10.2.1 | Policyer och förfaranden för informationsöverföring |
5.14 – Informationsöverföring för ISO 27002 |
Artikeln Lagring |
| 6.10.2.2 | Avtal för informationsöverföring |
5.14 – Informationsöverföring för ISO 27002 |
Ingen |
| 6.10.2.3 | Elektroniska meddelanden |
5.14 – Informationsöverföring för ISO 27002 |
Ingen |
| 6.10.2.4 | Sekretess- eller sekretessavtal |
6.6 – Sekretess- eller sekretessavtal för ISO 27002 |
Artikeln Lagring, Lagring, Lagring, Lagring |
Hur ISMS.online hjälper
Oavsett om du precis har börjat titta på datasekretess, eller en expert som vill integrera flera standarder och förordningar, är våra funktioner enkla att använda och du kommer att göra framsteg så fort du loggar in.
- Inbyggd riskbank
- ROPA enkelt
- Säkert utrymme för DRR
Ta reda på mer av boka en demo.
