Förstå klausul 6.3: Organisera informationssäkerheten effektivt
Integritetsskydd bör administreras som en begrepp, såväl som en operativ verklighet.
Organisationer bör överväga integritetsskydd inte bara i termer av de system de använder för att skydda data, utan också i det sätt som de hanterar de individer som får tillgång till PII, och hur integritetsskydd behandlas tillsammans med andra affärsfunktioner, såsom projektledning.
ISO 27701 6.3 beskriver hur organisationer kan hantera integritetsskydd som en helhetsprocess, som omfattar ovanstående faktorer.
Vad som omfattas av ISO 27701 klausul 6.3
ISO 27701 6.3 innehåller tre underklausuler som inkluderar integritetsskyddsspecifik vägledning, anpassad fr.o.m. tre stödklausuler i ISO 27002:
- ISO 27701 6.3.1.1 – Informationssäkerhetsroller och -ansvar (Referenser ISO 27002 kontroll 5.2)
- ISO 27701 6.3.1.2 – Uppdelning av arbetsuppgifter (Referenser ISO 27002 kontroll 5.3)
- ISO 27701 6.3.1.5 – Informationssäkerhet i projektledning (Referenser ISO 27002 kontroll 5.8)
Ytterligare PIMS-specifik vägledning som rör behandlingen av PII finns i paragraf 6.3.1.1, som också är kopplad till artiklar som ingår i GDPR-lagstiftningen.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.3.1.1 – Informationssäkerhetsroller och -ansvar
Referenser ISO 27002 Kontroll 5.2
Organisationer bör definiera roller och ansvar som är specifika för enskilda funktioner som ingår i deras integritetsskyddspolicy – både deras allmänna policy och ämnesspecifika policyer.
Individer med specifika ansvarsområden bör vara tillräckligt skickliga för att utföra integritetsrelaterade uppgifter och bör erbjudas kontinuerligt stöd som upprätthåller en acceptabel kompetensnivå.
Ansvarsområden bör omfatta:
- Skydd av PII och alla integritetsrelaterade tillgångar.
- Utföra integritetsskyddsförfaranden.
- PII-relaterade riskhanteringsaktiviteter, inklusive korrigerande åtgärder.
- Alla som använder organisationens information och data, inklusive användning av IKT-tillgångar.
- Individer med ansvar på toppnivå för integritetsskydd delegerar uppgifter till andra.
ISO erkänner att varje organisation är unik i sitt sätt att bearbeta information. Ovanstående ansvarsområden bör åtföljas av plats- och anläggningsspecifika riktlinjer som tar hänsyn till verkliga faktorer som påverkar en organisations PII-bearbetning.
Alla ovanstående ansvarsområden och säkerhetsområden bör vara tydligt dokumenterade och göras tillgängliga för alla relevanta personal.
Ytterligare PIMS-specifik vägledning
Organisationer bör nominera en person som kunder (och externa myndigheter) kan använda som en dedikerad kontaktpunkt för alla PII-relaterade frågor (se ISO 27701 7.3.2).
Dessutom bör organisationer delegera ansvaret till en eller flera individer för att bygga ett organisatoriskt program för sekretessstyrning som stärker efterlevnaden av lokala och nationella PII-lagar och -föreskrifter.
Tillämpliga GDPR-artiklar
- Artikel 27 – (1), (2) (a), (2) (b), (3), (4), (5)
- Artikel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artikel 38 – (1), (2), (3), (4), (5), (6)
- Artikel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Stödande klausuler
- ISO 27701 klausul 7.3.2
ISO 27701 Klausul 6.3.1.2 – Uppdelning av arbetsuppgifter
Referenser ISO 27002 Kontroll 5.3
I en organisation med många olika integritetsrelaterade roller kan ansvar och skyldigheter ofta komma i konflikt med varandra.
Individer kan ofta utföra roller som har potential att äventyra PII, på grund av att de antingen är den enda myndigheten eller saknar ledningsöversyn.
Ansvaren bör separeras för att säkerställa en mer robust integritetsskyddsverksamhet. Exempel på roller som kan innehålla konflikter är:
- Begära, godkänna eller implementera en ändring av PIMS.
- Göra ändringar i åtkomsträttigheter, inklusive RBAC.
- Att skriva eller ändra kod, eller utföra någon form av applikationsutveckling.
- Använda applikationer eller databaser som hanterar bearbetning och/eller lagring av PII.
- Utarbeta, godkänna och/eller granska kontroller av integritetsskydd.
Segregationskontroller bör utvecklas med olika faktorer i åtanke:
- Förhindra maskopi.
- Identifiera konflikter.
- Övervakning av aktiviteter.
- Skapa revisionsspår.
- Automatisera processen att identifiera konflikter.
ISO erkänner att mindre organisationer kan ha svårt att separera roller, med tanke på deras begränsade resurser, men hela konceptet med segregation bör ändå eftersträvas så långt det är kommersiellt och operativt möjligt.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.3.1.5 – Informationssäkerhet i projektledning
Referenser ISO 27002 Kontroll 5.8
Förutom den dagliga återkommande inkomstgenereringen bör integritetsskyddet även omfatta projektgenomförande och förvaltningsaktiviteter.
Projekt inkluderar ofta migrering, skapande och ändring av stora mängder PII och bör därför beaktas tillräckligt för att organisationer ska kunna upprätthålla efterlevnad av lokala och nationella integritetsrelaterade lagar och reglerande riktlinjer.
Ett ”projekt” kan vara vilken aktivitet som helst som förändrar ett standardsätt att arbeta eller introducerar ny process och/eller utrustning och applikationer till en organisation.
Projektledningsaktiviteter bör säkerställa att:
- Integritetsskyddsrisker och -krav beaktas tidigt i projektet och upprätthålls under hela projektets livscykel (se ISO 27002, avsnitt 5.32 och 8.26).
- Integritetsskyddet övervakas och ageras kontinuerligt – genom formella utvärderingar av lämpliga personer eller styrande organ, och strukturerade tester.
- Alla roller relaterade till projektspecifikt integritetsskydd är tydligt definierade.
- Alla produkter eller tjänster som ska levereras som en del av projektet ska skapas i enlighet med organisationens publicerade sekretessstandarder.
- Integritetsskyddet stärks genom metoder som hotmodellering, incidentgranskning, sårbarhetströsklar och beredskapsplanering.
Integritetsskyddsinsatser bör inte begränsas till IKT-projekt. Organisationer bör överväga en rad faktorer när de bestämmer specifika PII-relaterade krav, inklusive:
- De unika informationsvariablerna, inklusive vad specifik data innebär, dess säkerhetsbehov och konsekvenserna av ett intrång eller missbruk.
- De försäkringar som behöver eftersträvas när det gäller sekretess, integritet och tillgänglighet.
- Tillhandahållande av åtkomsträttigheter och auktoriseringsprotokoll för intern och extern personal (inklusive kunder).
- Sätta tydliga förväntningar som informerar användarna om deras skyldigheter.
- Kraven för andra interna säkerhetskontroller.
- Alla systemrelaterade åtgärder som krävs på grund av operativa aktiviteter (t.ex. transaktionsloggning).
- Upprätthålla efterlevnad av juridiska, regulatoriska och kontraktuella krav.
- Tredjeparts avtalsförpliktelser som är anpassade till organisationens egna integritetsstandarder.
Relevanta ISO 27002-kontroller
- ISO 27002 5.32
- ISO 27002 8.26
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.3.1.1 | Informationssäkerhetsroller och ansvar |
5.2 – Informationssäkerhetsroller och ansvar för ISO 27002 |
Artiklar Lagring, Lagring, Lagring, Lagring |
| 6.3.1.2 | Uppdelning av arbetsuppgifter |
5.3 – Uppdelning av arbetsuppgifter för ISO 27002 |
Ingen |
| 6.3.1.5 | Informationssäkerhet i projektledning |
5.8 – Informationssäkerhet i projektledning för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Våra ISMS.online-lösningar gör det enkelt för organisationer att uppnå projektövervakning, vilket säkerställer att policyer och procedurer för personuppgiftsansvarig och processor är i linje med ISO-standarden.
Vårt onlinesystem säkerställer också att systemimplementatorer har en enda plats för referens och samarbete.
Vår Assured Results Method (ARM) gör att du kan vara säker på att du kryssar i alla rutor du behöver för att uppfylla standarden.
Ta reda på mer och få en praktisk demonstration av boka en demo.
