ISO 27701 Klausul 7.4.1 – Limit Collection
Syftet med klausul 7.4.1
Organisationer bör begränsa sin insamling av PII baserat på tre faktorer:
- Relevans.
- Proportionalitet.
- Nödvändighet.
Vägledning om klausul 7.4.1
Organisationer bör endast samla in PII – antingen direkt eller indirekt – i enlighet med ovanstående faktorer, och endast för ändamål som är relevanta och nödvändiga för deras angivna syfte.
Som ett begrepp bör "privacy by default" följas – dvs alla valfria funktioner bör inaktiveras som standard.
ISO 27701 Klausul 7.4.2 – Begränsa bearbetning
Syftet med klausul 7.4.2
Till ISO 27701 7.4.1 bör organisationer också endast behandla PII om det är relevant, proportionellt och nödvändigt för att uppfylla ett uttalat syfte.
Vägledning om klausul 7.4.2
PII-bearbetning inkluderar:
- Avslöjande.
- Lagring.
- Tillgänglighet.
Alla ovanstående funktioner bör utföras till de miniminivåer som krävs för att uppfylla ett mål.
Organisationer bör begränsa behandlingen av PII i samband med publicerade informationssäkerhetsprocesser, policyer och procedurer (se ISO 27701 klausul 6.2).
Relevanta ISO 27701-klausuler
- ISO 27701 6.2
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 7.4.3 – Noggrannhet och kvalitet
Syftet med klausul 7.4.3
Organisationer bör vidta åtgärder för att säkerställa att PII är det exakt, fullborda och TIDSENLIG, under hela dess livscykel.
Vägledning om klausul 7.4.3
Organisatoriska informationssäkerhetspolicyer och tekniska konfigurationer bör innehålla steg som strävar efter att minimera fel under hela dess PII-bearbetning, inklusive kontroller för hur man reagerar på felaktigheter.
ISO 27701 Klausul 7.4.4 – PII-minimeringsmål
Syftet med klausul 7.4.4
Organisationer måste konstruera förfaranden för "dataminimering", inklusive mekanismer som avidentifiering.
Vägledning om klausul 7.4.4
Dataminimering bör användas för att säkerställa att insamling och bearbetning av PII är begränsad till det "identifierade syftet" för varje funktion (se ISO 27701, avsnitt 7.2.1).
En stor del av denna process handlar om att dokumentera i vilken utsträckning en PII-principalinformation ska vara direkt hänförlig till dem, och hur minimering ska uppnås via en mängd olika tillgängliga metoder.
Organisationer bör beskriva de specifika tekniker som används för att avidentifiera PII-principer, till exempel:
- Randomisering.
- Bullertillägg.
- Generalisering.
- Attribut borttagning.
Relevanta ISO 27701-klausuler
- ISO 27701 7.2.1
ISO 27701 klausul 7.4.5 – PII-avidentifiering och radering vid slutet av bearbetningen
Syftet med klausul 7.4.5
Organisationer måste antingen fullständigt förstöra alla PII som inte längre uppfyller ett syfte, eller modifiera dem på ett sätt som förhindrar någon form av principiell identifiering.
Vägledning om klausul 7.4.5
Så snart organisationen konstaterat att PII inte behöver behandlas någon gång i framtiden, bör informationen raderade or de identifierade, som omständigheterna föreskriver.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 7.4.6 – Tillfälliga filer
Syftet med klausul 7.4.6
Tillfälliga filer skapas av ett antal tekniska skäl, under hela livscykeln för PII-bearbetning och insamling, över många applikationer, system och säkerhetsplattformar.
Organisationer måste se till att dessa filer förstörs inom rimlig tid, i enlighet med en officiell lagringspolicy.
Vägledning om klausul 7.4.6
Ett enkelt sätt att identifiera förekomsten av sådana filer är att utföra periodiska kontroller av temporära filer över nätverket. Tillfälliga filer inkluderar ofta:
- Databasuppdateringsfiler.
- Cachad information.
- Filer skapade av applikationer och skräddarsydda mjukvarupaket.
Organisationer bör följa en sk förfarande för sophämtning som tar bort temporära filer när de inte längre behövs.
ISO 27701 Klausul 7.4.7 – Retention
Syftet med klausul 7.4.7
Det är mycket viktigt att organisationer erkänner sina skyldigheter att ta bort och/eller göra sig av med PII som inte längre är nödvändiga för att uppnå ett uttalat syfte.
Vägledning om klausul 7.4.7
Organisationer bör utarbeta och följa kategoriska lagringsscheman som beskriver den exakta tidsperioden som PII-huvudmän kan förvänta sig att deras data ska lagras under.
Lagringsscheman bör skräddarsys för alla juridiska, lagstadgade eller kontraktuella krav som styr hur länge PII ska lagras på en given plattform.
ISO 27701 Klausul 7.4.8 – Avfallshantering
Syftet med klausul 7.4.8
Organisationer måste ha tydliga policyer och procedurer som styr hur PII kasseras.
Vägledning om klausul 7.4.8
Databortskaffande är ett vittomfattande ämne som innehåller en mängd olika variabler, baserat på den nödvändiga bortskaffningstekniken och typen av data som kasseras.
Organisationer måste överväga:
- Vad PII innehåller.
- Eventuell återstående metadata som behöver raderas tillsammans med huvuddata.
- Den typ av lagringsmedia som PII hålls på.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 7.4.9 – PII Transmission Controls
Syftet med klausul 7.4.9
Alla PII som är inställda på att överföras till en tredjepartsorganisation bör göras med största noggrannhet för informationen som skickas, med säkra medel.
Vägledning om klausul 7.4.9
Organisationer måste säkerställa att endast auktoriserad personal har tillgång till överföringssystem och gör det på ett sätt som lätt kan granskas med det enda syftet att få informationen dit den behöver gå utan incidenter.
Stödjer GDPR-artiklar
Olika delar av ISO 27701 klausul 7.4 är tillämpliga inom Storbritannien GDPR lagstiftning. Ta en titt på tabellen nedan för motsvarande referenser.
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | Tillhörande GDPR-artiklar |
|---|---|---|
| 7.4.1 | Begränsa samling | Artikeln Lagring |
| 7.4.2 | Begränsa bearbetning | Artikeln Lagring |
| 7.4.3 | Noggrannhet och kvalitet | Artikeln Lagring |
| 7.4.4 | PII-minimeringsmål | Artikeln Lagring |
| 7.4.5 | PII-avidentifiering och radering vid slutet av bearbetningen | Artiklar Lagring, Lagring, Lagring, Lagring |
| 7.4.6 | Tillfälliga filer | Artikeln Lagring |
| 7.4.7 | Retentionstid | Artiklar Lagring, Lagring |
| 7.4.8 | Förfogande | Artikeln Lagring |
| 7.4.9 | PII Transmissionskontroller | Artikeln Lagring |
Hur ISMS.online hjälper
ISMS.online-plattformen erbjuder integrerad assistans i varje steg, och vår 'Adoptera, anpassa, Lägg till' implementeringsmetod till ISO 27701, för att göra processen mycket enklare.
Du kommer också att dra nytta av en mängd tidsbesparande funktioner.
Om du av någon anledning upplever brist på självförtroende, förmåga eller drivkraft att vidta åtgärder under din resa till ISO 27701, kan vi göra vårt team av interna experter tillgängliga.
Ta reda på mer av boka en demo.
