Nyckelelement i klausul 6.2: Policyramverk för PII-skydd
Integritetsskyddspolicyer tillhandahåller ett operativt ramverk för organisationer att uppträda som en ansvarig personuppgiftsansvarig och utbilda personalen om deras dagliga skyldigheter när det gäller PII.
Policydokumentation måste godkännas av högsta ledningen och kommuniceras till personalen så att alla i organisationen arbetar mot samma uppsättning PII-relaterade vägledande principer.
Vad som omfattas av ISO 27701 klausul 6.2
ISO 27701 6.2 innehåller två underklausuler som ger specifik integritetsskyddsvägledning:
- ISO 27701 6.2.1.1 – Policyer för informationssäkerhet (Referenser ISO 27002 Kontroll 5.1)
- ISO 27701 6.2.1.2 – Granskning av policyerna för informationssäkerhet (Referenser ISO 27002 Kontroll 5.1)
Som med andra klausuler i standarden, ISO 27701 klausul 6.2 hänvisar tillbaka till ISO 27002 när man beskriver hur organisationer ska hantera PII och PIMS-relaterad information.
Formuleringen av ISO 27701 6.2 innehåller hänvisningar till ISO 27002:2013, men denna standard har nu ersatts med en mer uppdaterad version – ISO 27002:2022. Där hänvisningar görs till klausuler inom ISO 27002:2013, har vi korsreferenserat citat med deras uppdaterade versioner i ISO 27002:2022.
För detta ändamål är ISO 27701 6.2 kopplat till två standarder från ISO 27002:2013 (5.1.1 och 5.1.2) som har slagits samman till en enda standard inom ISO 27002:2022 (5.1).
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.2.1.1 – Policyer för informationssäkerhet
Referenser ISO 27002 Kontroll 5.1
ISO förespråkar en dubbelfrontsstrategi för organisatoriskt integritetsskydd som inkluderar:
- En allmän integritetsskyddspolicy.
- Ämnesspecifika integritetsskyddspolicyer.
Båda typerna av policy kan antingen kombineras till ett dokument eller separeras ut som organisationen finner lämpligt.
Policyer bör spridas till alla relevanta anställda (och extern personal, om det behövs), för att säkerställa kontinuerlig efterlevnad av interna och externa integritetsskyddskrav.
Alla som får en policy bör uppmanas att bekräfta, helst skriftligt, att de både förstår vad som efterfrågas av dem och är villiga att följa.
Policyer bör ses över när ändringar görs i:
- Affärsstrategi.
- Operativ praxis/tekniska miljöer.
- Eventuella lagar (inklusive GDPR), regulatoriska bestämmelser eller allmänna PII-relaterade riktlinjer som organisationen har ett ansvar att följa.
- Risknivåer för integritetsskydd och det rådande/prognostiserade hotbilden.
Ämnesspecifika policyer
Ett ämnesspecifikt tillvägagångssätt för integritetsskydd ger organisationer friheten att hantera enskilda delar av sin databehandling/informationssäkerhetsverksamhet ämne för ämne, med en distinkt policy för var och en.
Ämnesspecifika områden kan omfatta IKT-funktioner såsom åtkomstkontroll, nätverkssäkerhet, BUDR-planering och krypteringsprocesser.
Varje ämnesspecifik policy bör skapas i linje med organisationens övergripande integritetsskyddspolicy och utarbetas av avdelningspersoner (inte nödvändigtvis ledande befattningshavare) som har relevant expertis och kompetens inom området för övervägande.
Allmänna integritetsskyddspolicyer
Ledningen bör upprätta en integritetsskyddspolicy på toppnivå som tydligt beskriver de processer och praktiska steg som kommer att vidtas för att skydda PII. Organisatoriska integritetsskyddspolicyer bör innehålla information från och förbli relevanta för:
- Den övergripande affärsstrategin.
- Alla rådande regulatoriska, juridiska eller kontraktuella krav.
- Alla tydliga och aktuella integritetsskyddsrisker.
Integritetsskyddspolicyer bör definiera organisationens:
- Operativ definition av integritetsskydd.
- Angivna integritetsskyddsmål.
- Bredare uppsättning styrande principer för skydd av PII.
- Engagemang för att uppfylla sina PII-relaterade mål och att kontinuerligt förbättra dem.
- Tillvägagångssätt för att delegera ansvaret för hela eller delar av integritetsskyddspolicyn till relevanta rolltyper.
- Tillvägagångssätt för att hantera undantag från policyn.
- Planer för högre ledning att granska och godkänna ändringar.
Ytterligare PII-specifik vägledning
Organisationer bör implementera policyer och procedurer som specifikt handlar om rådande PII-relaterad lagstiftning, regulatoriska riktlinjer eller avtalsavtal. När tredjepartsorganisationer är inblandade bör policyer tydligt beskriva PII-ansvaret på båda sidor.
Tillämpliga GDPR-artiklar
- Artikel 24 – (24)(2)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.2.1.2 – Granskning av policyerna för informationssäkerhet
Referenser ISO 27002 Kontroll 5.1
ISO 27701 klausul 6.2.1.2 innehåller exakt samma vägledning som ISO 27701 klausul 6.2.1.1, utan några ytterligare PII-relaterade krav.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.2.1.1 | Policyer för informationssäkerhet |
5.1 – Policyer för informationssäkerhet för ISO 27002 |
Artikeln Lagring |
| 6.2.1.2 | Granskning av policyerna för informationssäkerhet |
5.1 – Policyer för informationssäkerhet för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Det kan vara svårt att veta var man ska börja med ISO 27701, speciellt om du aldrig har behövt göra något liknande tidigare. Det är här ISMS.online kommer in!
Våra ISO 27701-lösningar tillhandahåller ramverk som gör att din organisation kan visa efterlevnad av ISO 27701.
Våra experter på informationssäkerhet kan samarbeta med dig för att säkerställa att du utvecklar en logisk implementeringsprocess som är i linje med ramverket för onlinedokumentation.
Ta reda på mer och få en praktisk demonstration av boka en demo.
