Hur ISO 27701 säkerställer integritet under anställning: En guide till klausul 6.4.2
Organisationer har en skyldighet gentemot sin personal, som sträcker sig till att informera personalen om vad som förväntas av dem inom ramen för integritetsskydd och PII – både på allmän och ämnesspecifik nivå.
I sin egenskap av PII-kontrollanter bör organisationer tillhandahålla fortlöpande utbildnings- och medvetenhetsprogram, och följa en robust disciplinär policy som ställer tydliga förväntningar på båda sidor, i händelse av ett dataintrång.
Vad som omfattas av ISO 27701 klausul 6.4.2
ISO 27701 6.4.2 innehåller tre huvudunderklausuler som behandlar olika aspekter av anställningsspecifika integritetsskyddsämnen.
Varje ämne innehåller vägledning från ett antal ISO 27002-kontroller, presenterad inom ramen för organisatorisk integritetsinformationshantering och PII-skydd:
- ISO 27701 Klausul 6.4.2.1 – Ledningsansvar (Referenser ISO 27002 Kontroll 5.4)
- ISO 27701 Klausul 6.4.2.2 – Informationssäkerhetsmedvetenhet, utbildning och träning (Referenser ISO 27002 Kontroll 6.3)
- ISO 27701 Klausul 6.4.2.3 – Disciplinära procedurer (Referenser ISO 27002 Kontroll 6.4)
Ytterligare PIMS-specifik vägledning som relaterar till behandlingen av PII finns i paragraf 6.4.2.1, som också är kopplad till brittisk GDPR-lagstiftning.
Observera att GDPR-jämförelser är till för endast vägledande syften. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.4.2.1 – Ledningsansvar
Referenser ISO 27002 Kontroll 5.4
Ledningen spelar en nyckelroll för att upprätthålla integritetsskyddsstandarder – både ur ett administrativt perspektiv och även för att säkerställa att personalen förstår vad som förväntas av dem och beter sig därefter.
Ledningen bör se till att all personal:
- Erkänn deras individuella ansvar för hantering av integritetsinformation och integritetsskydd – både generellt och ur ett ämnesspecifikt perspektiv – innan de tillåts interagera med PII och relaterade tillgångar (se ISO 27002 6.3).
- Är försedda med en tydlig uppsättning riktlinjer och procedurer som styr integritetsskydd inom ramen för deras roll.
- Får resurser och lämpliga behörighetsnivåer för att planera projekt/förändringar och uppfylla organisationens allmänna och ämnesspecifika integritetsskyddspolicyer.
- Förstå villkoren för deras anställning, som relaterade till integritetsskydd, och vad de betyder i praktiken.
- Får möjlighet att utveckla sin förståelse för integritetsskydd både som koncept, och ett löpande operativt övervägande.
- Förstå hur man, och ges möjlighet att anonymt kommunicera brott mot integritetsskyddspolicyer över hela organisationen (aka "whistleblowing").
Relevanta kontroller
- ISO 27002 6.3
ISO 27701 Klausul 6.4.2.2 – Informationssäkerhetsmedvetenhet, utbildning och träning
Referenser ISO 27002 Kontroll 6.3
Utbildning
Löpande arbetsplatsutbildning säkerställer att personalen hålls uppdaterad med organisatoriska integritetsskyddspolicyer (allmänna och ämnesspecifika), förändringar inom PII-lagstiftningen och sektorspecifika regleringsriktlinjer.
Som ett allmänt tillvägagångssätt bör organisationer implementera periodiska personalutbildningsprogram (inklusive under introduktionsfasen) som är specifikt anpassade till deras egna allmänna och ämnesspecifika integritetsskyddspolicyer och PIMS-relaterade krav.
Utbildningsformat kan inkludera:
- eLearning.
- En-till-en konsultverksamhet.
- Personal som skuggar varandra.
- Dedikerade utbildningsseminarier som genomförs av ämnesspecifika eller generaliserade integritetsskyddsspecialister.
- Arbetsplats mentorskap.
Personal med en specialiserad roll att spela inom integritetsskydd – t.ex. personal för underhåll av IKT – bör dra nytta av specialiserade utbildningsplaner som tar hänsyn till den integrerade roll de spelar för att skydda PII.
Utbildningsplaner/sessioner bör avslutas med en bedömning som ger organisationen en top-down-vy av kompetensnivåer på anställd-för-anställd-basis.
Medvetenhetsprogram
För att komplettera arbetsplatsutbildningen bör organisationer också lansera program för medvetenhet om integritetsskydd som förser personalen med en rad material som fungerar som informationspunkter om ämnet PII och organisatoriskt integritetsskydd.
Medvetenhetsprogram kan inkludera:
- broschyrer.
- broschyrer.
- kontorsaffischer.
- dedikerade webbplatser.
- team briefing sessioner.
Medvetenhetsinsatser bör fokuseras på:
- Hur ledningen planerar att upprätthålla efterlevnaden av integritetsskyddet i hela organisationen och vilka de viktigaste kontaktpunkterna är för PII-relaterade frågor.
- Vilka är organisationens efterlevnadskrav, med hänsyn till lagar, myndighetsbestämmelser, avtalsförpliktelser och leverantörsavtal.
- Understryker behovet av personligt ansvar när det gäller att skydda PII, och vilka konsekvenserna blir för oavsiktliga eller avsiktliga processuella överträdelser.
- Grundläggande ICT-säkerhetsprinciper, såsom lösenordssäkerhet och incidentrapportering.
- Hur personal kan informera sig om de finare aspekterna av integritetsskydd (vidareläsning, resurslistor etc).
Ytterligare PIMS-specifik vägledning
PII bör behandlas som sitt eget distinkta ämne inom utbildningsprogram för integritetsskydd.
Personalen måste göras akut medveten om de specifika juridiska, kommersiella, anseende och disciplinära konsekvenser som blir följden av förskingring och/eller felaktig hantering av PII.
GDPR vägledning
- Artikel 39 – (1)(b)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.4.2.3 – Disciplinära förfaranden
Referenser ISO 27002 Kontroll 6.4
Organisationer bör utveckla disciplinära procedurer som tillgodoser individer som har brutit mot allmänna eller ämnesspecifika integritetsskyddspolicyer.
Innan några disciplinära åtgärder vidtas är det viktigt att organisationen bekräftar att ett policyöverträdelse verkligen har ägt rum (se ISO 27002 5.28).
Disciplinära förfaranden bör ta hänsyn till:
- Dataintrångets underliggande karaktär och vilka de olika konsekvenserna är.
- Den berörda personens motiv och om överträdelsen var avsiktlig eller inte.
- Hur många gånger individen har brutit mot integritetsskyddspolicyn.
- Om individen har fått tillräcklig utbildning om relevanta aspekter av integritetsskyddet.
- Varje individuell rätt till anonymitet, under hela den disciplinära processen.
Disciplinära åtgärder i händelse av ett bekräftat överträdelse bör användas som ett avskräckande medel för liknande verksamhet, och bör ta hänsyn till organisationens skyldigheter som PII-kontrollant och processor, tillsammans med alla relevanta lagar, regulatoriska riktlinjer och avtalsförpliktelser.
Relevanta kontroller
- ISO 27002 5.28
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.4.2.1 | Ledningsansvar |
5.4 – Ledningsansvar för ISO 27002 |
Ingen |
| 6.4.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.3 – Informationssäkerhetsmedvetenhet, utbildning och utbildning för ISO 27002 |
Artikeln Lagring |
| 6.4.2.3 | Disciplinära procedurer |
6.4 – Disciplinär process för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Vi täcker dig.
Om du av någon anledning upplever brist på självförtroende, förmåga eller drivkraft att vidta åtgärder under din resa till ISO 27701, kan vi göra vårt team av interna experter tillgängliga eller rekommendera en av våra pålitliga partners för att ge dina ansträngningar ett lyft.
Här för att hjälpa dig när du behöver det.
Ta reda på mer av boka en demo.
