Hvordan demonstrere samsvar med GDPR artikkel 5

Informasjonsoverføring

ISO 27701 klausul 6.10.2.1 (Retningslinjer og prosedyrer for informasjonsoverføring) og EU GDPR artikkel 5 (1)(f)

Informasjonsoverføringsoperasjoner bør:

• Fokuser på kontroller som forhindrer avlytting, uautorisert tilgang, kopiering, modifisering, feilruting, ødeleggelse og nektelse av tjeneste av PII og personvernrelatert informasjon (se ISO 27002 Kontroll 8.24).
• Sørg for at informasjonen er sporbar.
• Kategoriser en liste over kontakter – dvs. eiere, risikoeiere osv.
• Skissere ansvar i tilfelle en sikkerhetshendelse.
• Inkluder klare og konsise merkesystemer (se ISO 27002 kontroll 5.13).
• Sikre en pålitelig overføringsmulighet, inkludert emnespesifikke retningslinjer for overføring av data (se ISO 27002 kontroll 5.10).
• Skisser retningslinjer for oppbevaring og avhending, inkludert eventuelle region- eller sektorspesifikke lover og retningslinjer.

Elektronisk overføring

Når organisasjoner bruker elektroniske overføringsfasiliteter, bør:

1. Forsøk å oppdage og beskytte mot skadelige programmer (se ISO 27002 kontroll 8.7).
2. Fokuser på å beskytte vedlegg.
3. Vær nøye med å sende informasjon til riktig adresse.
4. Mandat for en godkjenningsprosess, før ansatte kan overføre informasjon via 'eksterne offentlige tjenester' (f.eks. direktemeldinger), og utøve større kontroll over slike metoder.
5. Unngå å bruke SMS-tjenester og faksmaskiner, der det er mulig.

Fysiske overføringer (inkludert lagringsmedier)

Ved overføring av fysiske medier (inkludert papirdokumenter) mellom lokaler eller eksterne lokasjoner, bør organisasjoner:

• Skisser tydelig ansvar for forsendelse og mottak.
• Vær nøye med å legge inn riktig adresseinformasjon.
• Bruk emballasje som gir beskyttelse mot fysisk skade eller tukling.
• Operer med en liste over autoriserte kurerer og tredjepartssender, inkludert robuste identifikasjonsstandarder.
• Hold grundige logger over alle fysiske overføringer, inkludert mottakerdetaljer, datoer og klokkeslett for overføringer og eventuelle fysiske beskyttelsestiltak.

Verbal overføringer

Verbal formidling av sensitiv informasjon utgjør en unik sikkerhetsrisiko, spesielt når det gjelder PII og personvern.

Organisasjoner bør minne ansatte om å:

1. Unngå å ha slike samtaler på et offentlig sted, eller usikret internt sted.
2. Unngå å legge igjen talepostmeldinger som inneholder sensitiv eller begrenset informasjon.
3. Sørg for at personen de snakker med er på et passende nivå for å motta nevnte informasjon, og informer dem om hva som kommer til å bli sagt før du avslører informasjon.
4. Vær oppmerksom på omgivelsene og sørg for at romkontrollene overholdes.

Ytterligere UK GDPR-hensyn

• Artikkel 5 – (1)(f)

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.10.2.4 (konfidensialitet eller taushetserklæring) og EU GDPR artikkel 5 (1)

Organisasjoner bør bruke taushetserklæringer (NDAer) og konfidensialitetsavtaler for å beskytte forsettlig eller utilsiktet avsløring av sensitiv informasjon til uautorisert personell.

Når organisasjoner utarbeider, implementerer og vedlikeholder slike avtaler, bør:

• Gi en definisjon av informasjonen som skal beskyttes.
• Angi tydelig forventet varighet av avtalen.
• Angi tydelig eventuelle nødvendige handlinger når en avtale er avsluttet.
• Eventuelle forpliktelser som er avtalt av bekreftede underskrivere.
• Eierskap til informasjon (inkludert IP og forretningshemmeligheter).
• Hvordan underskrivere har lov til å bruke informasjonen.
• Beskriv tydelig organisasjonens rett til å overvåke konfidensiell informasjon.
• Eventuelle konsekvenser som vil oppstå av manglende overholdelse.
• Gjennomgå regelmessig deres behov for konfidensialitet, og justere eventuelle fremtidige avtaler deretter.

Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

Systemanskaffelsesutvikling og vedlikehold

ISO 27701 klausul 6.11.1.2 (Sikring av applikasjonstjenester på offentlige nettverk) og EU GDPR artikkel 5 (1)(f)

Programsikkerhetsprosedyrer bør utvikles sammen med bredere retningslinjer for personvern, vanligvis via en strukturert risikovurdering som tar hensyn til flere variabler.

Applikasjonssikkerhetskrav bør inkludere:

1. Nivåene av tillit som er iboende i alle nettverksenheter (se ISO 27002 kontroller 5.17, 8.2 og 8.5).
2. Klassifiseringen av data som applikasjonen er konfigurert til å behandle (inkludert PII).
3. Eventuelle segregeringskrav.
4. Beskyttelse mot interne og eksterne angrep og/eller ondsinnet bruk.
5. Eventuelle gjeldende juridiske, kontraktsmessige eller regulatoriske krav.
6. Robust beskyttelse av konfidensiell informasjon.
7. Data som skal beskyttes under transport.
8. Eventuelle kryptografiske krav.
9. Sikre inn- og utgangskontroller.
10. Minimal bruk av ubegrensede inndatafelter – spesielt de som har potensial til å lagre personopplysninger.
11. Håndtering av feilmeldinger, inkludert tydelig kommunikasjon av feilkoder.

Transaksjonstjenester

Transaksjonstjenester som letter flyten av personverndata mellom organisasjonen og en tredjepartsorganisasjon, eller partnerorganisasjon, bør:

• Etablere et passende nivå av tillit mellom organisasjonsidentiteter.
• Inkluder mekanismer som sjekker tillit mellom etablerte identiteter (f.eks. hashing og digitale signaturer).
• Skisser robuste prosedyrer som styrer hva ansatte er i stand til å administrere sentrale transaksjonsdokumenter.
• Inneholder dokument- og transaksjonsadministrasjonsprosedyrer som dekker konfidensialitet, integritet, bevis på utsendelse og mottak av nøkkeldokumenter og transaksjoner.
• Inkluder spesifikk veiledning om hvordan du holder transaksjoner konfidensielle.

Elektroniske bestillings- og betalingsapplikasjoner

For alle søknader som involverer elektronisk bestilling og/eller betaling, bør organisasjoner:

• Skisser strenge krav til beskyttelse av betalings- og bestillingsdata.
• Bekreft betalingsinformasjon før en bestilling legges inn.
• Lagre transaksjons- og personvernrelaterte data på en sikker måte på en måte som er utilgjengelig for allmennheten.
• Bruk pålitelige myndigheter når du implementerer digitale signaturer, med personvern i tankene til enhver tid.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.11.3.1 (Beskyttelse av testdata) og EU GDPR artikkel 5 (1)(f)

Organisasjoner bør velge testdata nøye for å sikre at testaktiviteten er både pålitelig og sikker. Organisasjoner bør være ekstra oppmerksomme på å sikre at PII ikke kopieres inn i utviklings- og testmiljøene.

For å beskytte driftsdata gjennom testaktiviteter, bør organisasjoner:

1. Bruk et homogent sett med tilgangskontrollprosedyrer på tvers av test- og driftsmiljøer.
2. Sørg for at autorisasjon kreves hver gang driftsdata kopieres til et testmiljø.
3. Logg kopiering og bruk av driftsdata.
4. Beskytt personverninformasjon gjennom teknikker som maskering (se ISO 27002 Kontroll 8.11).
5. Fjerning av driftsdata fra et testmiljø når det ikke lenger er nødvendig (se ISO 27002 kontroll 8.10).
6. Lagre testdata på en sikker måte, og sørg for at ansatte er klar over at de kun skal brukes til testformål.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002

Leverandørforhold

ISO 27701 klausul 6.12.1.2 (Adressering av sikkerhet innenfor leverandøravtaler) og EU GDPR artikkel 5 (1)(f)

Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.

Ved å gjøre dette bør organisasjoner:

• Tilby en tydelig beskrivelse som beskriver personverninformasjonen som må åpnes, og hvordan denne informasjonen skal få tilgang.
• Klassifiser personverninformasjonen som skal åpnes i henhold til et akseptert klassifiseringsskjema (se ISO 27002 kontroller 5.10, 5.12 og 5.13).
• Ta tilstrekkelig hensyn til leverandørens eget klassifiseringssystem.
• Kategoriser rettigheter i fire hovedområder – juridisk, lovfestet, regulatorisk og kontraktsmessig – med en detaljert beskrivelse av forpliktelser per område.
• Sikre at hver part er forpliktet til å vedta en rekke kontroller som overvåker, vurderer og administrerer personverninformasjonssikkerhetsrisikonivåer.
• Skisser behovet for leverandørpersonell for å overholde en organisasjons informasjonssikkerhetsstandarder (se ISO 27002 Kontroll 5.20).
• Tilrettelegge for en klar forståelse av hva som utgjør både akseptabel og uakseptabel bruk av personverninformasjon og fysiske og virtuelle eiendeler fra begge parter.
• Vedta autorisasjonskontroller som kreves for at personell på leverandørsiden skal få tilgang til eller se en organisasjons personverninformasjon.
• Ta hensyn til hva som skjer ved kontraktsbrudd eller manglende overholdelse av individuelle bestemmelser.
• Skissere en hendelseshåndteringsprosedyre, inkludert hvordan større hendelser kommuniseres.
• Sørge for at personell får opplæring i sikkerhetsbevissthet.
• (Hvis leverandøren har tillatelse til å bruke underleverandører) legg til krav for å sikre at underleverandører er på linje med det samme sett med standarder for personverninformasjonssikkerhet som leverandøren.
• Vurder hvordan leverandørpersonell blir screenet før de samhandler med personverninformasjon.
• Fastsetter behovet for tredjepartsattester som adresserer leverandørens evne til å oppfylle organisatoriske krav til personverninformasjonssikkerhet.
• Har avtalefestet rett til å revidere en leverandørs prosedyrer.
• Krev at leverandører leverer rapporter som beskriver effektiviteten til deres egne prosesser og prosedyrer.
• Fokuser på å ta skritt for å påvirke rettidig og grundig løsning av eventuelle mangler eller konflikter.
• Sikre at leverandører opererer med en adekvat BUDR-policy for å beskytte integriteten og tilgjengeligheten til PII og personvernrelaterte eiendeler.
• Krev en policy for endringsstyring på leverandørsiden som informerer organisasjonen om eventuelle endringer som har potensial til å påvirke personvernet.
• Implementer fysiske sikkerhetskontroller som er proporsjonale med sensitiviteten til dataene som lagres og behandles.
• (Hvor data skal overføres) be leverandører om å sikre at data og eiendeler er beskyttet mot tap, skade eller korrupsjon.
• Skissere en liste over handlinger som skal iverksettes av begge parter i tilfelle oppsigelse.
• Be leverandøren om å skissere hvordan de har til hensikt å ødelegge personverninformasjon etter oppsigelse, eller at dataene ikke lenger er nødvendige.
• Ta skritt for å sikre minimalt med forretningsavbrudd i løpet av en overleveringsperiode.

Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

Informasjonssikkerhet hendelseshåndtering og overholdelse

ISO 27701 klausul 6.13.1.1 (Ansvar og prosedyrer) og EU GDPR artikkel 5 (1)(f)

Roller og ansvar

For å skape en sammenhengende, velfungerende hendelseshåndteringspolicy som sikrer tilgjengeligheten og integriteten til personverninformasjon under kritiske hendelser, bør organisasjoner:

• Overhold en metode for rapportering av personverninformasjonssikkerhetshendelser.
• Etabler en rekke prosesser som håndterer personverninformasjonssikkerhetsrelaterte hendelser på tvers av virksomheten, inkludert:
• Administrasjon.
• Dokumentasjon.
• Gjenkjenning.
• Prioritering.
• Prioritering.
• Analyse.
• Kommunikasjon.
• Lag et utkast til en hendelsesprosedyre som gjør organisasjonen i stand til å vurdere, reagere på og lære av hendelser.
• Sikre at hendelser håndteres av opplært og kompetent personell som drar nytte av pågående opplæring og sertifiseringsprogrammer på arbeidsplassen.

Hendelsesstyring

Personale involvert i hendelser med personverninformasjon bør forstå:

1. Tiden det bør ta å løse en hendelse.
2. Eventuelle konsekvenser.
3. Alvorlighetsgraden av hendelsen.

Når de håndterer personverninformasjonssikkerhetshendelser, bør personalet:

• Vurder hendelser i henhold til strenge kriterier som validerer dem som godkjente hendelser.
• Kategoriser personverninformasjonssikkerhetshendelser i 5 underemner:
• Overvåking (se ISO 27002 kontroller 8.15 og 8.16).
• Deteksjon (se ISO 27002 Kontroll 8.16).
• Klassifisering (se ISO 27002 Kontroll 5.25).
• Analyse.
• Rapportering (se ISO 27002 Kontroll 6.8).
• Når organisasjoner løser hendelser med sikkerhet for personverninformasjon, bør:
• Respons og eskalere problemer (se ISO 27002 Kontroll 5.26) i henhold til type hendelse.
• Aktiver krisehåndtering og forretningskontinuitetsplaner.
• Påvirke en administrert utvinning fra en hendelse som reduserer operasjonell og/eller økonomisk skade.
• Sikre grundig kommunikasjon av hendelsesrelaterte hendelser til alt relevant personell.
• Delta i samarbeid (se ISO 27002 kontroller 5.5 og 5.6).
• Logg alle hendelsesadministrerte aktiviteter.
• Være ansvarlig for håndtering av hendelsesrelatert bevis (se ISO 27002 Kontroll 5.28).
• Foreta en grundig grunnårsaksanalyse for å minimere risikoen for at hendelsen skjer igjen, inkludert foreslåtte endringer i eventuelle prosesser.

Rapporteringsaktiviteter bør være sentrert rundt 4 nøkkelområder:

1. Handlinger som må iverksettes når en informasjonssikkerhetshendelse inntreffer.
2. Hendelsesskjemaer som registrerer informasjon gjennom en hendelse.
3. End-to-end tilbakemeldingsprosesser til alt relevant personell.
4. Hendelsesrapporter som beskriver hva som har skjedd når en hendelse er løst.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.15.1.1 (identifikasjon av gjeldende lovgivning og kontraktskrav) og EU GDPR artikkel 5 (1)(f)

Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:

• Utforming og/eller endring av sikkerhetsprosedyrer for personverninformasjon.
• Kategorisering av informasjon.
• Ta fatt på risikovurderinger knyttet til aktiviteter for personverninformasjonssikkerhet.
• Å bygge leverandørforhold, inkludert eventuelle kontraktsmessige forpliktelser gjennom hele forsyningskjeden.

Lovgivende og regulatoriske faktorer

Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.

Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.

Kryptografi

Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:

1. Overhold alle lover som regulerer import og eksport av maskinvare eller programvare som har potensial til å oppfylle en kryptografisk funksjon.
2. Gi tilgang til kryptert informasjon i henhold til lovene i jurisdiksjonen de opererer innenfor.
3. Bruk tre nøkkelelementer for kryptering:
• Digitale signaturer.
• Sel.
• Digitale sertifikater.

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 6.15.1.3 (Beskyttelse av poster) og EU GDPR artikkel 5 (2)

Organisasjoner bør vurdere postadministrasjon på tvers av 4 nøkkelområder:

1. Autentisitet.
2. Pålitelighet.
3. Integritet.
4. Brukervennlighet.

For å opprettholde et funksjonelt journalsystem som ivaretar PII og personvernrelatert informasjon, bør organisasjoner:

• Publiser retningslinjer som omhandler:
• Oppbevaring.
• Håndtering (chain of custody).
• Avhending.
• Forhindrer manipulasjon.
• Angi hvor lenge hver posttype skal beholdes.
• Følg alle lover som omhandler journalføring.
• Overhold kundenes forventninger i hvordan organisasjoner skal håndtere sine poster.
• Ødelegg poster når de ikke lenger er nødvendige.
• Klassifiser poster basert på deres sikkerhetsrisiko, for eksempel:
• Regnskap.
• Forretningstransaksjoner.
• Personaljournaler.
• Lovlig.
• Sørg for at de er i stand til å hente journaler innen et akseptabelt tidsrom, hvis de blir bedt om det av en tredjepart eller rettshåndhevelsesbyrå.
• Følg alltid produsentens retningslinjer når du lagrer eller håndterer poster på elektroniske mediekilder.

Mobile enheter og fjernarbeid

ISO 27701 klausul 6.3.2.1 (retningslinjer for mobilenheter) og EU GDPR artikkel 5 (1)(f)

Organisasjoner bør implementere emnespesifikke retningslinjer som omhandler ulike kategorier av endepunktenheter og programvareversjoner for mobile enheter, og hvordan sikkerhetskontrollene bør skreddersys for å forbedre datasikkerheten.

En organisasjons retningslinjer for mobile enheter, prosedyrer og støttende sikkerhetstiltak bør ta hensyn til:

• De ulike kategoriene av data som enheten både kan behandle og lagre.
• Hvordan enheter registreres og identifiseres på nettverket.
• Hvordan enheter skal beskyttes fysisk.
• Eventuelle begrensninger på applikasjoner og programvareinstallasjoner.
• Fjernadministrasjon, inkludert oppdateringer og patcher.
• Brukertilgangskontroller, inkludert RBAC om nødvendig.
• Kryptering.
• Antimalware mottiltak (administrert eller uadministrert).
• BUDR.
• Nettleserestriksjoner.
• Brukeranalyse (se ISO 27002 Kontroll 8.16).
• Installasjon, bruk og fjernadministrasjon av flyttbare lagringsenheter eller flyttbare eksterne enheter.
• Hvordan skille data på enheten, slik at PII er partisjonert fra standard enhetsdata (inkludert brukerens personlige data). Dette inkluderer å vurdere om det er hensiktsmessig å lagre noen form for organisasjonsdata på den fysiske enheten, i stedet for å bruke enheten til å gi den online tilgang til den.
• Hva skjer når en enhet mistes eller blir stjålet – dvs. å ta opp eventuelle juridiske, regulatoriske eller kontraktsmessige krav, og forholde seg til organisasjonens forsikringsselskaper.

Individuelt brukeransvar

Alle i organisasjonen som bruker ekstern tilgang, må gjøres eksplisitt oppmerksomme på eventuelle retningslinjer og prosedyrer for mobile enheter som gjelder for dem innenfor rammen av sikker administrasjon av endepunktenheter.

Brukere bør instrueres om å:

• Lukk alle aktive arbeidsøkter når de ikke lenger er i bruk.
• Implementer fysiske og digitale beskyttelseskontroller, slik retningslinjene krever.
• Vær oppmerksom på deres fysiske omgivelser – og de iboende sikkerhetsrisikoene de inneholder – når du får tilgang til sikre data ved hjelp av enheten.

Ta med din egen enhet (BYOD)

Organisasjoner som tillater personell å bruke personlig eide enheter, bør også vurdere følgende sikkerhetskontroller:

• Installere programvare på enheten (inkludert mobiltelefoner) som hjelper til med separering av forretnings- og personopplysninger.
• Håndheve en BYOD-policy som inkluderer:
• Erkjennelse av organisatorisk eierskap til PII.
• Fysiske og digitale beskyttelsestiltak (se ovenfor).
• Fjernsletting av data.
• Eventuelle tiltak som sikrer samsvar med PII-lovgivningen og regulatorisk veiledning.
• IP-rettigheter, angående selskapets eierskap til alt som er produsert på en personlig enhet.
• Organisatorisk tilgang til enheten – enten for personvernformål, eller for å overholde en intern eller ekstern etterforskning.
• EULAer og programvarelisenser som kan bli påvirket av bruk av kommersiell programvare på en privateid enhet.

Trådløse konfigurasjoner

Når organisasjoner utarbeider prosedyrer som omhandler trådløs tilkobling på endepunktenheter, bør organisasjoner:

• Vurder nøye hvordan slike enheter bør tillates å koble til trådløse nettverk for Internett-tilgang, for å sikre PII.
• Sørg for at trådløse tilkoblinger har tilstrekkelig kapasitet til å forenkle sikkerhetskopiering eller andre emnespesifikke funksjoner.

Støtter ISO 27002 kontroller

• ISO 27002 8.9 – Configuration Management
• ISO 27002 8.16 – Overvåkingsaktiviteter

Asset Management

ISO 27701 klausul 6.5.2.1 (klassifisering av informasjon) og EU GDPR artikkel 5 (1)(f)

I stedet for å sette all informasjon på lik linje, bør organisasjoner klassifisere informasjon på et emnespesifikk grunnlag.

Informasjonseiere bør vurdere fire nøkkelfaktorer, når de klassifiserer data (spesielt angående PII), som bør gjennomgås med jevne mellomrom, eller når slike faktorer endres:

1. De konfidensialitet av dataene.
2. De integritet av dataene.
3. Data tilgjengelighet nivåer.
4. Organisasjonens juridiske forpliktelser mot PII.

For å gi et klart operasjonelt rammeverk, bør informasjonskategorier navngis i samsvar med det iboende risikonivået dersom det skulle inntreffe hendelser som kompromitterer noen av faktorene ovenfor.

For å sikre kompatibilitet på tvers av plattformer, bør organisasjoner gjøre informasjonskategoriene sine tilgjengelige for eksternt personell som de deler informasjon med, og sørge for at organisasjonens eget klassifiseringssystem er allment forstått av alle relevante parter.

Organisasjoner bør være på vakt mot enten underklassifisering eller omvendt overklassifisering av data. Førstnevnte kan føre til feil ved gruppering av PII med mindre sensitive datatyper, mens førstnevnte ofte fører til ekstra kostnader, større sjanse for menneskelige feil og behandlingsavvik.

ISO 27701 klausul 6.5.2.2 (merking av informasjon) og EU GDPR artikkel 5 (1)(f)

Etiketter er en sentral del av å sikre at organisasjonens retningslinjer for PII-klassifisering (se ovenfor) blir overholdt, og at data kan identifiseres tydelig i tråd med deres sensitivitet (f.eks. merkes PII som forskjellig fra mindre konfidensielle datatyper).

PII-merkingsprosedyrer bør definere:

• Ethvert scenario der merking ikke er nødvendig (offentlig tilgjengelige data).
• Instruksjoner om hvordan personell skal merke både digitale og fysiske eiendeler og lagringssteder.
• Beredskapsplaner for ethvert scenario der merking ikke er fysisk mulig.

ISO gir mange muligheter for organisasjoner til å velge sine egne merketeknikker, inkludert:

• Fysisk merking.
• elektronisk etiketter i topp- og bunntekst.
• Tilføyelse eller endring av metadata, inkludert søkbare termer og interaktiv funksjonalitet med andre informasjonsadministrasjonsplattformer (f.eks. organisasjonens PIMS).
• vannmerking som gir en klar indikasjon på dataklassifiseringen på dokument-for-dokument-basis.
• Frimerke merker på fysiske kopier av informasjon.

ISO 27701 klausul 6.5.3.1 (Administrasjon av flyttbare medier) og EU GDPR artikkel 5 (1)(f)

Flyttbare lagringsmedier

Når organisasjoner utvikler retningslinjer som styrer håndteringen av medieressurser involvert i lagring av PII, bør organisasjoner:

• Utvikle unike emnespesifikke retningslinjer basert på avdelings- eller jobbbaserte krav.
• Sørg for at riktig autorisasjon søkes og gis før personell kan fjerne lagringsmedier fra nettverket (inkludert å holde en nøyaktig og oppdatert oversikt over slike aktiviteter).
• Oppbevar media i henhold til produsentens spesifikasjoner, fri for miljøskader.
• Vurder å bruke kryptering som en forutsetning for å få tilgang, eller der dette ikke er mulig, implementere ytterligere fysiske sikkerhetstiltak.
• Minimer risikoen for at PII blir ødelagt ved å overføre informasjon mellom lagringsmedier etter behov.
• Introduser PII-redundans ved å lagre beskyttet informasjon på flere eiendeler samtidig.
• Tillat kun bruk av lagringsmedier på godkjente innganger (dvs. SD-kort og USB-porter), på en eiendel for eiendel.
• Overvåk nøye overføringen av PII til lagringsmedier, uansett formål.
• Ta i betraktning risikoene som ligger i fysisk overføring av lagringsmedier (og ved fullmakt, PII som finnes på det), når du flytter eiendeler mellom personell eller lokaler (se ISO 27002 kontroll 5.14).

Gjenbruk og avhending

Ved ombruk, gjenbruk eller kassering av lagringsmedier, bør robuste prosedyrer settes på plass for å sikre at PII ikke påvirkes på noen måte, inkludert:

1. Formatere lagringsmediet, og sikre at all PII fjernes før gjenbruk (se ISO 27002 Kontroll 8.10), inkludert vedlikehold av tilstrekkelig dokumentasjon av alle slike aktiviteter.
2. Sikker avhending av medier som organisasjonen ikke har videre bruk for, og som har blitt brukt til å lagre PII.
3. Hvis avhending krever involvering av en tredjepart, bør organisasjoner være nøye med å sikre at de er en egnet og riktig partner til å utføre slike oppgaver, i tråd med organisasjonens ansvar overfor PII og personvern.
4. Implementering av prosedyrer som identifiserer hvilke lagringsmedier som er tilgjengelige for gjenbruk, eller som kan kasseres tilsvarende.

Hvis enheter som har blitt brukt til å lagre PII blir skadet, bør organisasjonen vurdere nøye om det er mer hensiktsmessig å ødelegge slike medier, eller sende det til reparasjon (feil på siden av førstnevnte).

Støtter ISO 27002 kontroller

• ISO 27002

ISO 27701 klausul 6.5.3.2 (avhending av media) og EU GDPR artikkel 5 (1)(f)

Se ISO 27701 klausul 6.5.3.1

Ytterligere PII-relatert veiledning

Hvis media skal avhendes tidligere holdt PII, bør organisasjoner implementere prosedyrer som dokumenterer ødeleggelsen av PII og personvernrelaterte data, inkludert kategoriske forsikringer om at de ikke lenger er tilgjengelige.

ISO 27701 klausul 6.5.3.3 og EU GDPR 5 (1)(f)

Flyttbare lagringsmedier

Når organisasjoner implementerer retningslinjer som omhandler flyttbare medier, bør:

• Utvikle prosedyrer som adresserer avdelings- eller jobbbaserte krav.
• Sørg for at riktig autorisasjon er innhentet før noen medier fjernes fra bedriftsnettverket.
• Sørg for at produsentens retningslinjer følges strengt når du bruker noen form for lagringsenhet.
• Vurder bruken av kryptografisk lagringsteknologi.
• Ta skritt for å sikre at data ikke blir ødelagt under noen overføringsprosess.
• Øk redundansen ved å lagre informasjon om flere eiendeler samtidig.
• Godkjenn bruk av lagringsmedier (dvs. SD-kort og USB-porter), på en aktiva-for-aktiva-basis.
• Forstå og redusere risikoen som ligger i å flytte medier og eiendeler mellom personell og lokasjoner (se ISO 27002 Kontroll 5.14).

Organisasjoner bør føre grundig oversikt over alle lagringsmedier som brukes til å behandle sensitiv informasjon, inkludert:

• Medietypen som skal sendes (HDD, USB, SD-kort osv.).
• Alle autoriserte avsendere og internt personell som har tillatelse til å motta media.
• Dato og tidspunkt for overføring.
• Hvor mye media skal overføres.

Gjenbruk og avhending

Gjennom hele prosessen med å gjenbruke, gjenbruke eller kassere lagringsmedier, bør organisasjoner:

• Sørg for at alle medier er riktig formatert, og at alle slike aktiviteter er grundig dokumentert (se ISO 27002 kontroll 8.10).
• Sørg for at når lagringsmidler ikke lenger er nødvendig, blir de avhendet på en trygg og sikker måte – inkludert grundig gransking av eventuelle tredjeparter som er involvert i avhendingsaktiviteter, for å sikre at organisasjonen oppfyller sine plikter i forhold til håndtering av PII.
• Identifiser hvilke medier som er egnet for gjenbruk, eller som må kastes, spesielt der enheter har blitt skadet eller fysisk kompromittert på noen måte.

Access Control

ISO 27701 klausul 6.6.2.1 (brukerregistrering og avregistrering) og EU GDPR 5 (1)(f)

Brukerregistrering styres av bruken av tildelte "identiteter". Identiteter gir organisasjoner et rammeverk for å styre brukertilgang til PII og personvernrelaterte eiendeler og materiale, innenfor rammen av et nettverk.

Organisasjonen må følge seks hovedveiledningspunkter for å sikre at identiteter administreres riktig, og PII er beskyttet uansett hvor den lagres, behandles eller åpnes:

1. Der identiteter tildeles et menneske, er det bare den personen som har lov til å autentisere seg med og/eller bruke denne identiteten når han får tilgang til PII.
2. Delte identiteter – flere individer registrert på samme identitet – bør bare distribueres for å tilfredsstille et unikt sett med operasjonelle krav.
3. Ikke-menneskelige enheter bør vurderes og administreres annerledes enn brukerbaserte identiteter som har tilgang til PII og personvernrelatert materiale.
4. Identiteter bør fjernes når de ikke lenger er nødvendige – spesielt de med tilgang til PII eller personvernbaserte roller.
5. Organisasjoner bør holde seg til en «én enhet, én identitet»-regel når de distribuerer identiteter over nettverket.
6. Registreringer skal logges og registreres gjennom tydelig dokumentasjon, inkludert tidsstempler, tilgangsnivåer og identitetsinformasjon.

Organisasjoner som jobber i partnerskap med eksterne organisasjoner (spesielt skybaserte plattformer) bør forstå de iboende risikoene forbundet med slik praksis, og ta skritt for å sikre at PII ikke påvirkes negativt i prosessen (se ISO 27002 kontroller 5.19 og 5.17).

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002

ISO 27701 klausul 6.6.2.2 (User Access Provisioning) og EU GDPR 5 (1)(f)

«Tilgangsrettigheter» styrer hvordan tilgang til PII og personvernrelatert informasjon både gis og tilbakekalles, ved å bruke det samme settet med veiledende prinsipper.

Tildeling og tilbakekall av tilgangsrettigheter

Tilgangsprosedyrer bør omfatte:

• Tillatelse og autorisasjon fra eieren (eller ledelsen) av informasjonen eller eiendelen (se ISO 27002 Kontroll 5.9).
• Alle gjeldende kommersielle, juridiske eller operasjonelle krav.
• En erkjennelse av behovet for å skille oppgaver, for å forbedre PII-sikkerheten og bygge en mer robust personvernoperasjon.
• Kontroller for å tilbakekalle tilgangsrettigheter, når tilgang ikke lenger er nødvendig (overlater osv.).
• Tidstilgangstiltak for vikarer eller entreprenører.
• En sentralisert oversikt over tilgangsrettigheter gitt til både menneskelige og ikke-menneskelige enheter.
• Tiltak for å endre tilgangsrettighetene til personell eller tredjepartskontraktører som har endret jobbrolle.

Gjennomgang av tilgangsrettigheter

Organisasjoner bør gjennomføre periodiske gjennomganger av tilgangsrettigheter på tvers av nettverket, inkludert:

• Bygge tilbakekalling av tilgangsrettigheter inn i HR off-boarding-prosedyrer (se ISO 27002 kontroller 6.1 og 6.5) og arbeidsflyter for rolleendring.
• Forespørsler om 'privilegerte' tilgangsrettigheter.

Endringsledelse og forlater

Personell som enten forlater organisasjonen (enten med vilje eller som en oppsagt ansatt), og de som er gjenstand for en endringsforespørsel, bør få tilgangsrettighetene sine endret basert på robuste risikostyringsprosedyrer, inkludert:

• Kilden til endringen/oppsigelsen, inkludert den underliggende årsaken.
• Brukerens nåværende jobbrolle og tilhørende ansvar.
• Informasjonen og eiendelene som for øyeblikket er tilgjengelige – inkludert deres risikonivåer og verdi for organisasjonen.

Supplerende veiledning

Arbeidskontrakter og entreprenør-/tjenestekontrakter bør inneholde en forklaring på hva som skjer etter forsøk på uautorisert tilgang (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.6.4.2 (sikker påloggingsprosedyre) og EU GDPR 5 (1)(f)

PII og personvernrelaterte eiendeler må lagres på et nettverk som har en rekke autentiseringskontroller, inkludert:

• Multi-faktor autentisering (MFA).
• Digitale sertifikater.
• Smartkort/fob.
• Biometrisk verifisering.
• Sikre tokens.

For å forhindre og minimere risikoen for uautorisert tilgang til PII, bør organisasjoner:

1. Forhindre visning av PII på en skjerm eller endepunktsenhet før en bruker har autentisert seg.
2. Gi potensielle brukere en klar advarsel – før noen pålogging forsøkes – som skisserer den sensitive naturen til dataene de er i ferd med å få tilgang til.
3. Vær forsiktig med å gi for mye hjelp gjennom hele autentiseringsprosessen (dvs. å forklare hvilken del av et mislykket påloggingsforsøk som er ugyldig).
4. Implementer beste praksis sikkerhetstiltak, inkludert:
• CAPTCHA-teknologi.
• Tvinge tilbakestilling av passord og/eller midlertidig hindre pålogging etter flere mislykkede forsøk.
5. Logg mislykkede påloggingsforsøk for videre analyse og/eller formidling til rettshåndhevende organer.
6. Start en sikkerhetshendelse når det oppdages et større påloggingsavvik, eller organisasjonen oppdager en autentiseringsavvik som har potensial til å påvirke PII.
7. Videresend autentiseringslogger – som inneholder siste påloggingsforsøk og mislykket påloggingsinformasjon – til en egen datakilde.
8. Send bare passorddata som abstrakte symboler), med mindre brukeren har problemer med tilgjengelighet/syn.
9. Forhindre deling av alle autentiseringsdata.
10. Drep sovende påloggingsøkter, spesielt der PII brukes i eksterne arbeidsmiljøer, eller på BYOD-ressurser.
11. Sett en tidsbegrensning på autentiserte økter, spesielt de som har aktivt tilgang til PII.

Fysisk og miljømessig sikkerhet

ISO 27701 klausul 6.8.2.7 (Sikker avhending eller gjenbruk av utstyr) og EU GDPR 5 (1)(f)

PII og personvernrelatert informasjon er spesielt utsatt når det oppstår behov for enten å avhende eller gjenbruke lagring og behandling av eiendeler – enten internt eller i samarbeid med en spesialisert tredjepartsleverandør.

Fremfor alt må organisasjoner sørge for at lagringsmedier som er merket for avhending, som har inneholdt PII, bør fysisk ødelagt, tørkes or overskrevet (se ISO 27002 kontroll 7.10 og 8.10).

For å forhindre at PII blir kompromittert på noen måte, ved avhending eller gjenbruk av eiendeler, bør organisasjoner:

• Sørg for at alle etiketter enten fjernes eller endres etter behov – spesielt de som indikerer tilstedeværelsen av PII.
• Fjern alle fysiske og logiske sikkerhetskontroller ved avvikling av anlegg eller flytting av lokaler, med sikte på å gjenbruke dem på et nytt sted.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002

ISO 27701 klausul 6.8.2.9 (Retningslinjer for klar skrivebord og klar skjerm) og EU GDPR 5 (1)(f)

PII og personvernrelatert informasjon er spesielt utsatt når uforsiktig personale og tredjepartsleverandører ikke overholder sikkerhetstiltakene på arbeidsplassen som beskytter mot utilsiktet eller bevisst visning av PII av uautorisert personell.

Organisasjoner bør utarbeide emnespesifikke retningslinjer for oversiktlig skrivebord og klare skjermer (på en arbeidsplass-for-arbeidsområde-basis om nødvendig) som inkluderer:

• Skjuler fra tilfeldig visning, låser bort eller trygt lagrer PII og personvernrelatert informasjon, når slikt datamateriale ikke er nødvendig.
• Fysiske låsemekanismer på IKT-midler.
• Digitale tilgangskontroller – som tidsavbrudd for visning, passordbeskyttede skjermsparere og automatiske utloggingsfasiliteter.
• Sikker utskrift og umiddelbar dokumentinnsamling.
• Sikker, låst oppbevaring av sensitiv dokumentasjon, og forsvarlig avhending av slikt materiale når det ikke lenger er nødvendig (makulering, tredjeparts avhendingstjenester osv.).
• Vær oppmerksom på forhåndsvisninger av meldinger (e-post, SMS, kalenderpåminnelser) som kan gi tilgang til sensitive data; når en skjerm deles eller vises på et offentlig sted.
• Sletting av fysiske skjermer (f.eks. tavler og oppslagstavler) for sensitiv informasjon, når det ikke lenger er nødvendig.

Når organisasjoner kollektivt forlater lokaler – for eksempel ved kontorflytting eller lignende flytting – bør jeg forsøke å sikre at ingen dokumentasjon blir etterlatt, verken i pulter og arkivsystemer, eller noe som kan ha falt på uklare steder.

Operasjonssikkerhet

ISO 27701 klausul 6.9.3.1 (informasjonssikkerhetskopiering) og EU GDPR 5 (1)(f)

Organisasjoner bør utarbeide temaspesifikke retningslinjer som direkte tar for seg hvordan organisasjonen sikkerhetskopierer de relevante områdene i nettverket for å sikre PII og forbedre motstandskraften mot personvernrelaterte hendelser.

BUDR-prosedyrer bør utarbeides for å oppnå hovedmålet om å sikre det alle forretningskritiske data, programvare og systemer kan gjenopprettes følgende Data Loss, inntrenging, forretningsavbrudd og kritiske feil.

Som en prioritet bør BUDR-planer:

• Skisser gjenopprettingsprosedyrer som dekker alle kritiske systemer og tjenester.
• Kunne produsere brukbare kopier av alle systemer, data eller applikasjoner som inngår i en sikkerhetskopijobb.
• Tjener de kommersielle og operasjonelle kravene til organisasjonen (se ISO 27002 Kontroll 5.30).
• Lagre sikkerhetskopier på et miljøbeskyttet sted som er fysisk atskilt fra kildedataene (se ISO 27002 kontroll 8.1).
• Test og vurder sikkerhetskopieringsjobber regelmessig mot organisasjonens pålagte gjenopprettingstider, for å garantere datatilgjengelighet.
• Krypter alle PII-relaterte sikkerhetskopieringsdata.
• Dobbeltsjekk for tap av data før du utfører en sikkerhetskopijobb.
• Følg et rapporteringssystem som varsler personalet om statusen til backupjobber.
• Søk å inkorporere data fra skybaserte plattformer som ikke er direkte administrert av organisasjonen, i interne sikkerhetskopieringsjobber.
• Lagre sikkerhetskopier i samsvar med en passende PII-oppbevaringspolicy (se ISO 27002 Kontroll 8.10).

Ytterligere Pii-spesifikk veiledning

Organisasjoner må utvikle separate prosedyrer som utelukkende omhandler PII (riktignok inneholdt i deres hoved-BUDR-plan).

Regionale avvik i PII BUDR-standarder (kontraktsmessige, juridiske og regulatoriske) bør tas i betraktning når en ny jobb opprettes, jobber endres eller nye PII-data legges til BUDR-rutinen.

Når det oppstår behov for å gjenopprette PII etter en BUDR-hendelse, bør organisasjoner være nøye med å returnere PII til sin opprinnelige tilstand, og gjennomgå gjenopprettingsaktiviteter for å løse eventuelle problemer med de nye dataene.

Organisasjoner bør føre en logg over gjenopprettingsaktivitet, inkludert alt personell som er involvert i gjenopprettingen, og en beskrivelse av PII som er gjenopprettet.

Organisasjoner bør sjekke med eventuelle lovgivende eller regulatoriske byråer og sikre at deres PII-gjenopprettingsprosedyrer er i samsvar med det som forventes av dem som PII-behandler og kontroller.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.9.4.1 (Hendelseslogging) og EU GDPR 5 (1)(f)

ISO definerer en "hendelse" som enhver handling utført av en digital eller fysisk tilstedeværelse/enhet på et datasystem.

Hendelseslogger bør inneholde:

• En bruker-ID – Hvem eller hvilken konto utførte handlingene.
• En oversikt over systemaktivitet.
• Tidsstempler.
• Enhets- og systemidentifikatorer, og plasseringen av hendelsen.
• IP-adresseinformasjon.

Arrangementstyper

ISO identifiserer 11 hendelser/komponenter som krever logging (og koblet til samme tidskilde – se ISO 27002 Control 8.17), for å opprettholde PII-sikkerhet og forbedre organisasjonens personvernbeskyttelse:

1. Systemtilgangsforsøk.
2. Forsøk på datatilgang.
3. Forsøk på ressurstilgang.
4. OS-konfigurasjonen endres.
5. Forhøyede privilegier.
6. Hjelpeprogrammer og vedlikeholdsfasiliteter (se ISO 27002 Kontroll 8.18).
7. Filtilgangsforespørsler, og hva som skjedde (sletting, migrering osv.).
8. Kritiske avbryter.
9. Aktiviteter rundt systemer for sikkerhet/anti-malware.
10. Identitetsadministrasjonsarbeid (f.eks. brukertilføyelser og slettinger).
11. Utvalgte applikasjonsøktaktiviteter.

Loggbeskyttelse

Logger bør beskyttes mot uautoriserte endringer eller driftsavvik, inkludert:

• Endringer av meldingstype.
• Sletting eller redigering.
• Overskriving på grunn av lagringsproblemer.

Organisasjoner bør bruke følgende teknikker for å forbedre loggbasert sikkerhet:

• Kryptografisk hashing.
• Bare vedlegg opptak.
• Skrivebeskyttet opptak.
• Bruk av offentlige åpenhetsfiler.

Når det oppstår behov for å gi logger til eksterne organisasjoner, bør det iverksettes strenge tiltak for å sikre PII og personvernrelatert informasjon, i samsvar med aksepterte datavernstandarder (se ISO 27002 Kontroll 5.34 og tilleggsveiledning nedenfor).

Logganalyse

Logger vil måtte analyseres fra tid til annen, for å forbedre personvernet generelt, og for å både løse og forhindre sikkerhetsbrudd.

Når du utfører logganalyse, bør organisasjoner ta hensyn til:

• Kompetansen til personellet som utfører analysen.
• De typen, kategori og attributt av hver hendelsestype.
• Eventuelle unntak som brukes via nettverksregler som kommer fra maskinvare og plattformer for sikkerhetsprogramvare.
• Unormal nettverkstrafikk.
• Spesialisert dataanalyse.
• Tilgjengelig trusselinformasjon (enten internt eller fra en pålitelig tredjepartskilde).

Logg overvåking

Loggovervåking gir organisasjoner muligheten til å beskytte PII ved kilden og fremme en proaktiv tilnærming til personvern.

Organisasjoner bør:

1. Gjennomgå interne og eksterne forsøk på å få tilgang til sikre ressurser.
2. Analyser DNS-logger (og databruksrapporter) for å identifisere trafikk til og fra skadelige kilder.
3. Samle inn logger fra fysiske tilgangspunkter og fysiske perimetersikkerhetsenheter (inngangssystemer osv.).

Ytterligere PII-relatert veiledning

ISO krever at organisasjoner overvåker logger knyttet til PII gjennom enkontinuerlig og automatisert overvåkings- og varslingsprosess'. Dette kan nødvendiggjøre et eget sett med prosedyrer som overvåker tilgang til PII.

Organisasjoner bør sørge for at – som en prioritet – logger gir en klar oversikt over tilgang til PII, inkludert:

• Hvem som har tilgang til dataene.
• Når dataene ble åpnet.
• Hvilken rektors PII ble åpnet.
• Eventuelle endringer som ble gjort.

Organisasjoner bør bestemmehvis, når og hvordan' PII-logginformasjon bør gjøres tilgjengelig for kundene, med alle kriterier som gjøres fritt tilgjengelig for oppdragsgiverne selv, og stor forsiktighet tas for å sikre at PII-oppdragsgivere bare har tilgang til informasjon som gjelder dem.

Støtter ISO 27002 kontroller

• ISO 27002
• ISO 27002
• ISO 27002
• ISO 27002

ISO 27701 klausul 6.9.4.2 (Beskyttelse av logginformasjon) og EU GDPR 5 (1)(f)

Se ISO 27701 klausul 6.9.4.1

Ytterligere PII-relatert veiledning

Organisasjoner bør vie mye oppmerksomhet til å sikre at logger som inneholder PII er riktig kontrollert, og dra nytte av sikker overvåking.

Automatiserte prosedyrer bør settes på plass som enten sletter eller 'avidentifiserer' logger, i tråd med en publisert oppbevaringspolicy (se ISO 27002 kontroll 7.4.7).

Veiledning for PII-kontrollere

ISO 27701 klausul 7.2.1 (Identifiser og dokumentformål) og EU GDPR 5 (1)(b)

PII-rektorer må være fullstendig kjent med alle de forskjellige årsakene til hvorfor deres PII blir behandlet.

Det er organisasjonens ansvar å formidle disse grunnene til PII-rektorer, sammen med en "klar erklæring" om hvorfor de trenger å behandle informasjonen sin.

All dokumentasjon må være klar, omfattende og lett å forstå av enhver PII-oppdragsgiver som leser den – inkludert alt som er relatert til samtykke, samt kopier av interne prosedyrer (se ISO 27701 klausuler 7.2.3, 7.3.2 og 7.2.8).

Støtter ISO 27701 klausuler

• ISO 27701
• ISO 27701
• ISO 27701

ISO 27701 klausul 7.2.2 (Identifiser lovlig grunnlag) og EU GDPR 5 (1)(a)

For å danne et juridisk grunnlag for å behandle PII, bør organisasjoner:

• Søk samtykke fra PII-rektorer.
• Lag en kontrakt.
• Overhold diverse andre juridiske forpliktelser.
• Beskytt de "vitale interessene" til de forskjellige PII-oppdragsgiverne.
• Sikre at oppgavene som utføres er i allmennhetens interesse.
• Bekreft at PII-behandling er en legitim interesse.

For hvert punkt nevnt ovenfor bør organisasjoner kunne tilby dokumentert bekreftelse

Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).

Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.

Støtter ISO 27701 klausuler

• ISO 27701

ISO 27701 klausul 7.2.6 (kontrakter med PII-behandlere) og EU GDPR 5 (2)

Organisasjoner må inngå skriftlige, bindende kontrakter med enhver ekstern PII-behandler som de bruker.

Eventuelle kontrakter må sikre at PII-behandleren implementerer all nødvendig informasjon i ISO 27701 vedlegg B, med spesiell oppmerksomhet til risikovurderingskontroller (ISO 27701 klausul 5.4.1.2) og det overordnede omfanget av behandlingsaktivitetene (se ISO 27701 klausul 6.12 ).

Organisasjoner må kunne rettferdiggjøre utelatelsen av kontroller i vedlegg B, i forhold til PII-behandleren (se ISO 27701 klausul 5.4.1.3).

ISO 27701 klausul 7.2.8 (Oppføringer knyttet til behandling av PII) og EU GDPR 5 (2)

Organisasjoner må opprettholde et grundig sett med poster som støtter deres handlinger og forpliktelser som PII-behandler.

Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:

• Operativ – den spesifikke typen PII-behandling som blir utført.
• Begrunnelser – hvorfor PII blir behandlet.
• Kategorisk – lister over PII-mottakere, inkludert internasjonale organisasjoner.
• Sikkerhet – en oversikt over hvordan PII blir beskyttet.
• Personvern – dvs. en konsekvensvurderingsrapport for personvern.

ISO 27701 klausul 7.3.6 (tilgang, korrigering og/eller sletting) og EU GDPR 5 (1)(d)

Organisasjoner bør utarbeide, dokumentere og implementere prosedyrer som tillater PII-prinsipper å få tilgang til, korrigere og/eller slette deres PII.

Prosedyrer bør inkludere mekanismer som PII-rektor kan utføre handlingen ovenfor, inkludert hvordan organisasjonen skal informere rektor hvis rettelser ikke er i stand til å gjøres.

Organisasjoner bør forplikte seg til en publisert responstid for alle forespørsler om tilgang, retting eller sletting.

Det er svært viktig å kommunisere slike forespørsler til tredjeparter som har blitt overført PII (se ISO 27701 klausul 7.3.7).

En PII-rektors evne til å be om rettelser eller slettinger er diktert av jurisdiksjonen som organisasjonen opererer i. Som sådan bør selskaper holde seg orientert om eventuelle juridiske eller regulatoriske endringer som styrer deres forpliktelser overfor PII.

Støtter ISO 27701 klausuler

• ISO 27701

Personvern etter design og Personvern som standard

ISO 27701 klausul 7.4.1 (Limit Collection) og EU GDPR 5 (1)(b) og (1)(c)

Organisasjoner bør begrense innsamlingen av PII basert på tre faktorer:

1. Relevans.
2. Proporsjonalitet.
3. Nødvendighet.

Organisasjoner bør kun samle inn PII – enten direkte eller indirekte – i samsvar med de ovennevnte faktorene, og kun for formål som er relevante og nødvendige for deres uttalte formål.

Som et konsept bør 'personvern som standard' overholdes – dvs. eventuelle valgfrie funksjoner bør deaktiveres som standard.

ISO 27701 klausul 7.4.3 (nøyaktighet og kvalitet) og EU GDPR 5 (1)(d)

Organisasjoner bør ta skritt for å sikre at PII er nøyaktig, fullstendig og oppdatert gjennom hele livssyklusen.

Organisatoriske retningslinjer for informasjonssikkerhet og tekniske konfigurasjoner bør inneholde trinn som søker å minimere feil gjennom PII-behandlingen, inkludert kontroller for hvordan man skal reagere på unøyaktigheter.

ISO 27701 klausul 7.4.4 (PII-minimeringsmål) og EU GDPR 5 (1)(c) og (1)(e)

Organisasjoner må konstruere «dataminimering»-prosedyrer, inkludert mekanismer som avidentifikasjon.

Dataminimering bør brukes for å sikre at PII-innsamling og -behandling er begrenset til det 'identifiserte formålet' for hver funksjon (se ISO 27701 klausul 7.2.1).

En stor del av denne prosessen innebærer å dokumentere i hvilken grad en PII-oppdragsgivers informasjon skal kunne henføres direkte til dem, og hvordan minimering skal oppnås via en rekke tilgjengelige metoder.

Organisasjoner bør skissere de spesifikke teknikkene som brukes for å avidentifisere PII-prinsipper, for eksempel:

1. Randomisering.
2. Støytillegg.
3. Generalisering.
4. Fjerning av attributter.

Støtter ISO 27701 klausuler

• ISO 27701

ISO 27701 klausul 7.4.5 (PII-avidentifikasjon og sletting ved slutten av behandlingen) og EU GDPR 5 (1)(c) og (1)(e)

Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.

Så snart organisasjonen har fastslått at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.

ISO 27701 klausul 7.4.6 (midlertidige filer) og EU GDPR 5 (1)(c)

Midlertidige filer opprettes av en rekke tekniske årsaker, gjennom PII-behandlingen og innsamlingens livssyklus, på tvers av en rekke applikasjoner, systemer og sikkerhetsplattformer.

Organisasjoner må sørge for at disse filene blir ødelagt innen rimelig tid, i samsvar med offisielle retningslinjer for oppbevaring.

En enkel måte å identifisere eksistensen av slike filer på er å utføre periodiske kontroller av midlertidige filer på tvers av nettverket. Midlertidige filer inkluderer ofte:

• Databaseoppdateringsfiler.
• Bufret informasjon.
• Filer laget av applikasjoner og skreddersydde programvarepakker.

Organisasjoner bør forholde seg til en såkalt prosedyre for søppelhenting som sletter midlertidige filer når de ikke lenger er nødvendige.

ISO 27701 klausul 7.4.8 (avhending) og EU GDPR 5 (1)(f)

Organisasjoner må ha klare retningslinjer og prosedyrer som styrer hvordan PII avhendes.

Datadisponering er et omfattende emne som inneholder en rekke forskjellige variabler, basert på den nødvendige disponeringsteknikken og arten til dataene som blir kastet.

Organisasjoner må vurdere:

• Hva PII inkluderer.
• Eventuelle gjenværende metadata som må slettes sammen med hoveddataene.
• Typen lagringsmedier PII holdes på.

ISO 27701 klausul 7.4.9 (PII-overføringskontroller) og EU GDPR 5 (1)(f)

Enhver PII som er satt til å bli overført til en tredjepartsorganisasjon bør gjøres med den største forsiktighet for informasjonen som sendes, ved hjelp av sikre midler.

Organisasjoner må sikre at kun autorisert personell har tilgang til overføringssystemer, og gjør det på en måte som lett kan revideres med det eneste formålet å få informasjonen dit den trenger å gå uten hendelser.

Veiledning for PII-prosessorer

ISO 27701 klausul 8.2.2 (Organisasjonsformål) og EU GDPR 5 (1)(a) og (1)(b)

Fra begynnelsen skal PII kun behandles i henhold til kundens instruksjoner.

Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.

Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.

ISO 27701 klausul 8.4.1 (midlertidige filer) og EU GDPR 5 (1)(c)

Organisasjoner må sikre at midlertidige filer blir ødelagt innen rimelig tid, i samsvar med offisielle retningslinjer for oppbevaring og klare slettingsprosedyrer.

En enkel måte å identifisere eksistensen av slike filer på er å utføre periodiske kontroller av midlertidige filer på tvers av nettverket.

Organisasjoner bør forholde seg til en såkalt prosedyre for søppelhenting som sletter midlertidige filer når de ikke lenger er nødvendige.

ISO 27701 klausul 8.4.3 (PII-kontroller) og EU GDPR 5 (1)(f)

Når det oppstår behov for at PII skal overføres over et datanettverk (inkludert en dedikert lenke), må organisasjoner være opptatt av å sikre at PII når de riktige mottakerne, i tide.

Ved overføring av PII mellom datanettverk bør organisasjoner:

• Sørg for at kun autoriserte personer kan utføre overføringen.
• Hold deg til publiserte prosedyrer som styrer overføringen av PII fra organisasjonen til en tredjepart.
• Ta vare på alle revisjonsdata.
• Inkluder overføringskrav i kundens kontrakt.
• Rådfør deg med kunden før enhver overføring foretas, hvis det ikke finnes noen skriftlige eller kontraktsmessige bestemmelser.

Støtter ISO 27701-klausuler og ISO 27002-kontroller

Hvordan ISMS.online Hjelp

Din komplette GDPR-løsning.

Et forhåndsbygd miljø som passer sømløst inn i styringssystemet ditt lar deg beskrive og demonstrere din tilnærming til beskyttelse av europeiske og britiske kundedata.

Med ISMS.online kan du hoppe rett inn i GDPR-overholdelse og demonstrere beskyttelsesnivåer som går utover "rimelig", alt på ett sikkert sted som alltid er på.

I kombinasjon med vår «Adopter, Adapt, Add»-implementeringstilnærming, tilbyr ISMS.online-plattformen innebygd veiledning ved hvert trinn, noe som reduserer innsatsen som kreves for å demonstrere at du overholder GDPR. En rekke kraftige tidsbesparende funksjoner vil også være tilgjengelige for deg.

Finn ut mer av bestilling av en kort 30 minutters demo.