Att uppnå överensstämmelse med ISO 27701 Klausul 6.15: En fullständig översikt
Efterlevnad är en viktig del av all integritetsskyddsverksamhet – organisationer måste kunna visa att de uppfyller sina skyldigheter gentemot PII och de system som används för att lagra och behandla integritetsrelaterat material.
Vad som omfattas av ISO 27701 klausul 6.15
ISO 27701 6.15 handlar om efterlevnad inom två huvudområden – efterlevnad av juridiska och avtalsenliga kravoch granskningar av informationssäkerhet (det senare är det huvudsakliga verktyget för att upptäcka fall av bristande efterlevnad och lösa eventuella integritetsrelaterade problem).
- ISO 27701 6.15.1.1 – Identifiering av tillämplig lagstiftning och avtalskrav (ISO 27002 Kontroll 5.31)
- ISO 27701 6.15.1.2 – Immateriella rättigheter (ISO 27002 Kontroll 5.32)
- ISO 27701 6.15.1.3 – Skydd av register (ISO 27002 Kontroll 5.33)
- ISO 27701 6.15.1.4 – Sekretess och skydd av personligt identifierbar information (ISO 27002 Kontroll 5.34)
- ISO 27701 6.15.1.5 – Reglering av kryptografiska kontroller (ISO 27002 Kontroll 5.31)
- ISO 27701 6.15.2.2 – Överensstämmelse med säkerhetspolicyer och standarder (ISO 27002 Control 5.36)
- ISO 27701 6.15.2.3 – Teknisk överensstämmelsegranskning (ISO 27002 Kontroll 5.36)
Fyra underklausuler innehåller information som är relevant för Storbritannien GDPR lagstiftning – vi har tillhandahållit artikelhänvisningarna under varje underklausul för din bekvämlighet:
- ISO 27701 6.15.1.1
- ISO 27701 6.15.1.3
- ISO 27701 6.15.2.1
- ISO 27701 6.15.2.3
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 klausul 6.15.1.1 – Identifiering av tillämplig lagstiftning och avtalskrav
Referenser ISO 27002 Kontroll 5.31
Organisationer bör följa juridiska, lagstadgade, regulatoriska och kontraktuella krav när:
- Utarbeta och/eller ändra säkerhetsrutiner för integritetsinformation.
- Kategorisering av information.
- Inleda riskbedömningar relaterade till aktiviteter för integritetsinformationssäkerhet.
- Skapa leverantörsrelationer, inklusive eventuella avtalsförpliktelser genom hela leveranskedjan.
Lagstiftande och regulatoriska faktorer
Organisationer bör följa procedurer som tillåter dem identifiera, analysera och förstå lagstiftande och reglerande skyldigheter – särskilt de som handlar om integritetsskydd och PII – var de än är verksamma.
Organisationer bör ständigt vara uppmärksamma på sina skyldigheter om integritetsskydd när de ingår nya avtal med tredje part, leverantörer och entreprenörer.
Kryptografi
När organisationer implementerar krypteringsmetoder för att stärka integritetsskyddet och skydda PII bör organisationer:
- Följ alla lagar som reglerar import och export av hårdvara eller mjukvara som har potential att fylla en kryptografisk funktion.
- Ge tillgång till krypterad information enligt lagarna i den jurisdiktion de är verksamma inom.
- Använd tre nyckelelement för kryptering:
- Digitala signaturer.
- Tätningar.
- Digitala certifikat.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
- Artikel 28 – (1), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) (f), ( 3)(g), (3)(h)
- Artikel 30 – (2) d)
- Artikel 32 – (1)(b)
Relevanta ISO 27002-kontroller
- ISO 27002 5.20
ISO 27701 Klausul 6.15.1.2 – Immateriella rättigheter
Referenser ISO 27002 Kontroll 5.32
För att skydda all data, programvara eller tillgångar som kan anses vara immateriella rättigheter (IP), bör organisationer:
- Följ en "ämnesspecifik" policy som handlar om IP-rättigheter, som tar hänsyn till IP från fall till fall.
- Följ procedurer som definierar hur IP-integritet kan upprätthållas samtidigt som du använder organisatorisk programvara och produkter.
- Använd endast välrenommerade källor för att skaffa programvara när du köper, hyr eller leasar programvara och mjukvaruabonnemang.
- Behåll bevis på ägandedokumentation (elektronisk eller fysisk).
- Följ gränserna för programvarans användning.
- Genomgå regelbundna mjukvarugranskningar för att undvika att använda obehöriga eller potentiellt skadliga applikationer.
- Se till att programvarulicenser är giltiga och uppdaterade och att riktlinjerna för tillåten användning följs.
- Utkast till rutiner som säkerställer en säker och säker avyttring av programvarutillgångar.
- (När det gäller kommersiella inspelningar), se till att ingen del av inspelningen extraheras, kopieras eller konverteras på något otillåtet sätt.
- Se till att textdata beaktas vid sidan av digitala medier.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.15.1.3 – Skydd av register
Referenser ISO 27002 Kontroll 5.33
Organisationer bör överväga rekordhantering inom fyra nyckelområden:
- Autencitet
- Pålitlighet
- Integritet
- Användbarhet
För att upprätthålla ett funktionellt registersystem som skyddar PII och integritetsrelaterad information bör organisationer:
- Publicera riktlinjer som handlar om:
- Lagring.
- Hantering (kedjan of custody).
- Förfogande.
- Förhindra manipulation.
- Ange hur länge varje posttyp ska sparas.
- Följ alla lagar som handlar om journalföring.
- Följ kundernas förväntningar på hur organisationer ska hantera sina register.
- Förstör rekord när de inte längre behövs.
- Klassificera poster baserat på deras säkerhetsrisk, t.ex.
- Bokföring.
- Affärstransaktion.
- Personalregister.
- Adress
- Se till att de kan hämta uppgifter inom en acceptabel tidsperiod, om de uppmanas att göra det av en tredje part eller en brottsbekämpande myndighet.
- Följ alltid tillverkarens riktlinjer när du lagrar eller hanterar register på elektroniska mediakällor.
Tillämpliga GDPR-artiklar
- Artikel 5 – (2)
- Artikel 24 – (2)
ISO 27701 klausul 6.15.1.4 – Sekretess och skydd av personligt identifierbar information
Referenser ISO 27002 Kontroll 5.34
Organisationer bör behandla PII som en ämnesspecifikt koncept som måste hanteras inom ramen för många olika affärsfunktioner.
Först och främst bör organisationer implementera policyer som tillgodoser tre huvudaspekter av PII-bearbetning och lagring:
- Bevarande
- Integritetspolicy
- Skydd
Organisationer bör se till att alla anställda är medvetna om sina skyldigheter att hantera PII, inte bara de som möter det dagligen som en del av sitt jobb.
Sekretessansvariga
Organisationer bör utse en sekretessansvarig, vars uppgift det är att ge vägledning till anställda och tredjepartsorganisationer i ämnet PII, tillsammans med att ge råd till ledande befattningshavare om hur man upprätthåller integriteten och tillgängligheten för integritetsinformation.
ISO 27701 Klausul 6.15.1.5 – Reglering av kryptografiska kontroller
Referenser ISO 27002 Kontroll 5.31
Se ISO 27701 klausul 6.15.1.1
ISO 27701 klausul 6.15.2.1 – Oberoende granskning av informationssäkerhet
Referenser ISO 27002 Kontroll 5.35
Organisationer bör utveckla processer som tillgodoser oberoende granskning av deras sekretessinformationssäkerhetspraxis, inklusive både ämnesspecifika policyer och allmänna policyer.
Granskningar bör utföras av:
- Internrevisorer.
- Oberoende avdelningschefer.
- Specialiserade tredjepartsorganisationer.
Granskningar bör vara oberoende och utföras av individer med tillräcklig kunskap om riktlinjer för integritetsskydd och organisationens egna rutiner.
Granskare bör fastställa huruvida sekretessinformationssäkerhetspraxis är förenlig med organisationens "dokumenterade mål och krav".
Förutom strukturerade periodiska granskningar kan organisationer stöta på behovet av att utföra ad hoc granskningar som utlöses av vissa händelser, inklusive:
- Efter ändringar av interna policyer, lagar, riktlinjer och förordningar som påverkar integritetsskyddet.
- Efter stora incidenter som har påverkat integritetsskyddet.
- Närhelst ett nytt företag skapas eller större förändringar genomförs i den nuvarande verksamheten.
- Efter antagandet av en ny produkt eller tjänst som handlar om integritetsskydd på något sätt.
Tillämpliga GDPR-artiklar
- Artikel 32 – (1) (d), (2)
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 klausul 6.15.2.2 – Överensstämmelse med säkerhetspolicyer och standarder
Referenser ISO 27002 Kontroll 5.36
Organisationer måste säkerställa att personalen kan granska integritetspolicyer över hela spektrumet av affärsverksamhet.
Ledningen bör utveckla tekniska metoder för rapportering om integritetsefterlevnad (inklusive automatisering och skräddarsydda verktyg). Rapporter bör registreras, lagras och analyseras för att ytterligare förbättra PII-säkerhet och integritetsskydd.
När efterlevnadsproblem upptäcks bör organisationer:
- Fastställ orsaken.
- Bestäm en metod för korrigerande åtgärder för att täppa till luckor och efterlevnad.
- Gå igenom problemet igen efter en lämplig tidsperiod för att säkerställa att problemet är löst.
Det är mycket viktigt att vidta korrigerande åtgärder så snart som möjligt. Om problemen inte är helt lösta vid tidpunkten för nästa granskning, bör åtminstone bevis tillhandahållas som visar att framsteg görs.
ISO 27701 Klausul 6.15.2.3 – Teknisk överensstämmelsegranskning
Referenser ISO 27002 Kontroll 5.36
Se ISO 27701 klausul 6.15.2.2
Tillämpliga GDPR-artiklar
- Artikel 32 – (1) (d), (2)
Stödjande kontroller från ISO 27002 och GDPR
Hur ISMS.online hjälper
ISO 27701 är inte bara ett ramverk för organisationer att anta; det innebär att anpassa hur människor förstår, samverkar med och interagerar med data.
På ISMS.online har vi designat vårt system så att du och din personal kan dra nytta av vårt lättanvända gränssnitt för att dokumentera din ISO-resa.
Vi tillhandahåller också videoresurser och tillgång till informationssäkerhetsproffs för att hjälpa dig att integrera standarder i ditt företag.
Ta reda på mer av boka en praktisk demo.
