ISO 27701 Klausul 6.9.7: Förstärkning av informationssystemrevisioner
Revision innebär vanligtvis att samla in stora mängder information om ett givet system – inklusive användaråtgärder, kunddata och kritiska händelser.
Själva revisionsprocessen kan utgöra en risk för PII och integritetsskydd, med tanke på att sådana aktiviteter har potential att påverka datatillgängligheten och ibland kräver specialiserade metoder för att förhöra känsliga datauppsättningar.
Vad som omfattas av ISO 27701 klausul 6.9.7
ISO 27701 6.9.7 innehåller en underklausul relaterad till ICT-revision och tillhörande integritetsrisker – ISO 6.9.7.1 – som inkluderar vägledning från ISO 27002 Kontroll 8.34.
ISO tillhandahåller inga ytterligare PIMS- eller PII-relaterade vägledningspunkter, och det finns inte heller några Storbritannien GDPR överväganden att tänka på.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.9.7.1 – Revisionskontroller för informationssystem
Referenser ISO 27002 Kontroll 8.34
När du utför periodisk revision (och andra nätverkssäkringsaktiviteter) bör planer utarbetas för att säkerställa att integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar alltid är skyddade.
För att uppnå detta bör organisationer:
- Se till att åtkomst till system hanteras på lämpligt sätt, för revisionsändamål.
- Beskriv tydligt omfattningen av revisionsverksamheten innan de genomförs.
- Om möjligt, begränsa åtkomsten till känsliga data till skrivskyddade rättigheter. Om förhöjda behörigheter krävs bör organisationer överväga att delegera revisionsuppgifter till en "erfaren administratör".
- Granska säkerhetskonfigurationen för enheterna som används för att utföra revisionen.
- Arbeta med en överenskommen procedur för att begära specialiserade revisionsverktyg.
- Om möjligt, utför alla revisionsaktiviteter utanför kontorstid, där sådana aktiviteter har potential att påverka systemets tillgänglighet.
- Upprätthåll en noggrann logg över alla revisionsaktiviteter (inklusive förfrågningar), för efterlevnadsändamål.
- Tänk på integritetskonsekvenserna av revision av test- och utvecklingsanläggningar och miljöer.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.9.7.1 | Revisionskontroller för informationssystem | 8.34 – Skydd av informationssystem under revisionstestning för ISO 27002 | Ingen |
Hur ISMS.online hjälper
Vår PIMS följer den internationella standarden ISO 27001, men den kan också ta emot ett växande antal nationella, regionala och sektorspecifika integritetsstandarder, ramverk och förordningar.
- GDPR
- POPIA
- BS 10012
- Australiensiska integritetsprinciper
- NIST Privacy Framework
- OECD:s riktlinjer för sekretess
- APEC Privacy Framework
- Och mer
Med vår intuitiva plattform kan du kartlägga ditt arbete över flera ramverk, vilket eliminerar dubbelarbete och upprepning.
Ta reda på mer av boka en demo.
