GDPR Artikkel 5 inneholder mest mulig informasjon som må vurderes fra et ISO-perspektiv.
Artikkel 5 kan i stor grad sees på som et sett med underliggende prinsipper som strømmer gjennom hele lovgivningen i både Storbritannia og EU, og omfatter en rekke ulike områder for samsvar, inkludert:
Organisasjoner må være fullt fortrolige med artikkel 5, for bedre å forstå de subtile nyansene som GDPR presenterer på tvers av andre områder av lovgivningen.
Prinsipper knyttet til behandling av personopplysninger
- Personopplysninger skal være:
- (a) behandles lovlig, rettferdig og på en gjennomsiktig måte i forhold til den registrerte («lovlighet, rettferdighet og åpenhet»);
- (b) samles inn for spesifiserte, eksplisitte og legitime formål og ikke viderebehandles på en måte som er uforenlig med disse formålene; videre behandling for arkivformål i allmenn interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål skal, i samsvar med artikkel 89 nr. 1, ikke anses å være uforenlig med de opprinnelige formålene («formålsbegrensning»);
- (c) tilstrekkelig, relevant og begrenset til det som er nødvendig i forhold til formålene de behandles for («dataminimering»);
- (d) nøyaktig og, om nødvendig, holdt oppdatert; alle rimelige skritt må tas for å sikre at personopplysninger som er unøyaktige, med tanke på formålene de behandles for, blir slettet eller rettet uten forsinkelse ("nøyaktighet");
- (e) oppbevares i en form som tillater identifikasjon av registrerte ikke lenger enn det som er nødvendig for formålene som personopplysningene behandles for; personopplysninger kan lagres i lengre perioder i den grad personopplysningene vil bli behandlet utelukkende for arkiveringsformål i allmenn interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål i samsvar med artikkel 89(1) med forbehold om implementering av passende tekniske og organisatoriske tiltak som kreves av denne forordningen for å ivareta rettighetene og frihetene til den registrerte («lagringsbegrensning»);
- (f) behandles på en måte som sikrer hensiktsmessig sikkerhet for personopplysningene, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade, ved bruk av passende tekniske eller organisatoriske tiltak («integritet og konfidensialitet»);
- Den behandlingsansvarlige skal være ansvarlig for, og være i stand til å demonstrere overholdelse av, paragraf 1 ("ansvarlighet").
Fra et teknisk perspektiv gir artikkel 5 i stor grad det juridiske rammeverket som organisasjoner bør operere innenfor, for å forbli kompatible, på tvers av seks veiledende prinsipper:
Selv om det er utrolig vagt, er "rettferdighet" et overordnet krav i GDPR, og fungerer som et fortolkningsverktøy for situasjoner som kanskje ikke er i strid med lovens bokstav, men tydeligvis ikke "rettferdig" fra et individs og deres perspektiv. rettigheter.
«Åpenhet» krever at den registrerte er fullstendig klar over behandlingen av deres data. GDPR krever at informasjon som gis til den registrerte skal leveres innenfor en rimelig tidsramme, lett tilgjengelig og fri for feil.
GDPR Artikkel 5 sier at alle personopplysninger som samles inn bør begrenses til svært spesifikke og legitime formål, og bør ikke tilegnes til andre formål enn det som opprinnelig var ment.
Dataminimering under GDPR artikkel 5 er definert under to begreper – «behandling» og «formål». I hovedsak må organisasjoner sikre at de kun behandler data til minimumsnivået for å oppfylle det opprinnelige formålet.
Data bør holdes nøyaktig og oppdatert til enhver tid. Hvis data viser seg å være unøyaktige, sier artikkel 5 at organisasjoner bør ta "rimelige skritt" for å rette opp eventuelle feil som har blitt gjort. Alt i alt må enkeltpersoner være riktig representert av dataene som er lagret på dem, slik at eventuelle beslutninger som tas ikke blir tatt på et falskt inntrykk av hvem de er.
Organisasjoner må være oppmerksomme på at behandlingsoperasjoner ikke skal fortsette for alltid. Når et første sett med mål er oppfylt, bør databehandlingen stoppe. For å oppnå dette bør organisasjoner definere lagringstider før de behandler data.
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Informasjonsoverføringsoperasjoner bør:
Når organisasjoner bruker elektroniske overføringsfasiliteter, bør:
Ved overføring av fysiske medier (inkludert papirdokumenter) mellom lokaler eller eksterne lokasjoner, bør organisasjoner:
Verbal formidling av sensitiv informasjon utgjør en unik sikkerhetsrisiko, spesielt når det gjelder PII og personvern.
Organisasjoner bør minne ansatte om å:
Organisasjoner bør bruke taushetserklæringer (NDAer) og konfidensialitetsavtaler for å beskytte forsettlig eller utilsiktet avsløring av sensitiv informasjon til uautorisert personell.
Når organisasjoner utarbeider, implementerer og vedlikeholder slike avtaler, bør:
Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
Programsikkerhetsprosedyrer bør utvikles sammen med bredere retningslinjer for personvern, vanligvis via en strukturert risikovurdering som tar hensyn til flere variabler.
Applikasjonssikkerhetskrav bør inkludere:
Transaksjonstjenester som letter flyten av personverndata mellom organisasjonen og en tredjepartsorganisasjon, eller partnerorganisasjon, bør:
For alle søknader som involverer elektronisk bestilling og/eller betaling, bør organisasjoner:
Jeg vil absolutt anbefale ISMS.online, det gjør oppsett og administrasjon av ISMS så enkelt som det kan bli.
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
Organisasjoner bør velge testdata nøye for å sikre at testaktiviteten er både pålitelig og sikker. Organisasjoner bør være ekstra oppmerksomme på å sikre at PII ikke kopieres inn i utviklings- og testmiljøene.
For å beskytte driftsdata gjennom testaktiviteter, bør organisasjoner:
Når de adresserer sikkerhet i leverandørforhold, bør organisasjoner sikre at begge parter er klar over sine forpliktelser overfor personverninformasjonssikkerhet, og hverandre.
Ved å gjøre dette bør organisasjoner:
Organisasjoner bør også opprettholde en register over avtaler, som viser alle avtaler med andre organisasjoner.
For å skape en sammenhengende, velfungerende hendelseshåndteringspolicy som sikrer tilgjengeligheten og integriteten til personverninformasjon under kritiske hendelser, bør organisasjoner:
Personale involvert i hendelser med personverninformasjon bør forstå:
Når de håndterer personverninformasjonssikkerhetshendelser, bør personalet:
Rapporteringsaktiviteter bør være sentrert rundt 4 nøkkelområder:
Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.
Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:
Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.
Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.
Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:
Organisasjoner bør vurdere postadministrasjon på tvers av 4 nøkkelområder:
For å opprettholde et funksjonelt journalsystem som ivaretar PII og personvernrelatert informasjon, bør organisasjoner:
Organisasjoner bør implementere emnespesifikke retningslinjer som omhandler ulike kategorier av endepunktenheter og programvareversjoner for mobile enheter, og hvordan sikkerhetskontrollene bør skreddersys for å forbedre datasikkerheten.
En organisasjons retningslinjer for mobile enheter, prosedyrer og støttende sikkerhetstiltak bør ta hensyn til:
Alle i organisasjonen som bruker ekstern tilgang, må gjøres eksplisitt oppmerksomme på eventuelle retningslinjer og prosedyrer for mobile enheter som gjelder for dem innenfor rammen av sikker administrasjon av endepunktenheter.
Brukere bør instrueres om å:
Organisasjoner som tillater personell å bruke personlig eide enheter, bør også vurdere følgende sikkerhetskontroller:
Når organisasjoner utarbeider prosedyrer som omhandler trådløs tilkobling på endepunktenheter, bør organisasjoner:
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
I stedet for å sette all informasjon på lik linje, bør organisasjoner klassifisere informasjon på et emnespesifikk grunnlag.
Informasjonseiere bør vurdere fire nøkkelfaktorer, når de klassifiserer data (spesielt angående PII), som bør gjennomgås med jevne mellomrom, eller når slike faktorer endres:
For å gi et klart operasjonelt rammeverk, bør informasjonskategorier navngis i samsvar med det iboende risikonivået dersom det skulle inntreffe hendelser som kompromitterer noen av faktorene ovenfor.
For å sikre kompatibilitet på tvers av plattformer, bør organisasjoner gjøre informasjonskategoriene sine tilgjengelige for eksternt personell som de deler informasjon med, og sørge for at organisasjonens eget klassifiseringssystem er allment forstått av alle relevante parter.
Organisasjoner bør være på vakt mot enten underklassifisering eller omvendt overklassifisering av data. Førstnevnte kan føre til feil ved gruppering av PII med mindre sensitive datatyper, mens førstnevnte ofte fører til ekstra kostnader, større sjanse for menneskelige feil og behandlingsavvik.
Etiketter er en sentral del av å sikre at organisasjonens retningslinjer for PII-klassifisering (se ovenfor) blir overholdt, og at data kan identifiseres tydelig i tråd med deres sensitivitet (f.eks. merkes PII som forskjellig fra mindre konfidensielle datatyper).
PII-merkingsprosedyrer bør definere:
ISO gir mange muligheter for organisasjoner til å velge sine egne merketeknikker, inkludert:
Når organisasjoner utvikler retningslinjer som styrer håndteringen av medieressurser involvert i lagring av PII, bør organisasjoner:
Ved ombruk, gjenbruk eller kassering av lagringsmedier, bør robuste prosedyrer settes på plass for å sikre at PII ikke påvirkes på noen måte, inkludert:
Hvis enheter som har blitt brukt til å lagre PII blir skadet, bør organisasjonen vurdere nøye om det er mer hensiktsmessig å ødelegge slike medier, eller sende det til reparasjon (feil på siden av førstnevnte).
Se ISO 27701 klausul 6.5.3.1
Hvis media skal avhendes tidligere holdt PII, bør organisasjoner implementere prosedyrer som dokumenterer ødeleggelsen av PII og personvernrelaterte data, inkludert kategoriske forsikringer om at de ikke lenger er tilgjengelige.
Når organisasjoner implementerer retningslinjer som omhandler flyttbare medier, bør:
Organisasjoner bør føre grundig oversikt over alle lagringsmedier som brukes til å behandle sensitiv informasjon, inkludert:
Gjennom hele prosessen med å gjenbruke, gjenbruke eller kassere lagringsmedier, bør organisasjoner:
Brukerregistrering styres av bruken av tildelte "identiteter". Identiteter gir organisasjoner et rammeverk for å styre brukertilgang til PII og personvernrelaterte eiendeler og materiale, innenfor rammen av et nettverk.
Organisasjonen må følge seks hovedveiledningspunkter for å sikre at identiteter administreres riktig, og PII er beskyttet uansett hvor den lagres, behandles eller åpnes:
Organisasjoner som jobber i partnerskap med eksterne organisasjoner (spesielt skybaserte plattformer) bør forstå de iboende risikoene forbundet med slik praksis, og ta skritt for å sikre at PII ikke påvirkes negativt i prosessen (se ISO 27002 kontroller 5.19 og 5.17).
Vår nylige suksess med å oppnå ISO 27001-, 27017- og 27018-sertifiseringer var i stor grad knyttet til ISMS.online.
«Tilgangsrettigheter» styrer hvordan tilgang til PII og personvernrelatert informasjon både gis og tilbakekalles, ved å bruke det samme settet med veiledende prinsipper.
Tilgangsprosedyrer bør omfatte:
Organisasjoner bør gjennomføre periodiske gjennomganger av tilgangsrettigheter på tvers av nettverket, inkludert:
Personell som enten forlater organisasjonen (enten med vilje eller som en oppsagt ansatt), og de som er gjenstand for en endringsforespørsel, bør få tilgangsrettighetene sine endret basert på robuste risikostyringsprosedyrer, inkludert:
Arbeidskontrakter og entreprenør-/tjenestekontrakter bør inneholde en forklaring på hva som skjer etter forsøk på uautorisert tilgang (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).
PII og personvernrelaterte eiendeler må lagres på et nettverk som har en rekke autentiseringskontroller, inkludert:
For å forhindre og minimere risikoen for uautorisert tilgang til PII, bør organisasjoner:
PII og personvernrelatert informasjon er spesielt utsatt når det oppstår behov for enten å avhende eller gjenbruke lagring og behandling av eiendeler – enten internt eller i samarbeid med en spesialisert tredjepartsleverandør.
Fremfor alt må organisasjoner sørge for at lagringsmedier som er merket for avhending, som har inneholdt PII, bør fysisk ødelagt, tørkes or overskrevet (se ISO 27002 kontroll 7.10 og 8.10).
For å forhindre at PII blir kompromittert på noen måte, ved avhending eller gjenbruk av eiendeler, bør organisasjoner:
PII og personvernrelatert informasjon er spesielt utsatt når uforsiktig personale og tredjepartsleverandører ikke overholder sikkerhetstiltakene på arbeidsplassen som beskytter mot utilsiktet eller bevisst visning av PII av uautorisert personell.
Organisasjoner bør utarbeide emnespesifikke retningslinjer for oversiktlig skrivebord og klare skjermer (på en arbeidsplass-for-arbeidsområde-basis om nødvendig) som inkluderer:
Når organisasjoner kollektivt forlater lokaler – for eksempel ved kontorflytting eller lignende flytting – bør jeg forsøke å sikre at ingen dokumentasjon blir etterlatt, verken i pulter og arkivsystemer, eller noe som kan ha falt på uklare steder.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Bruk 30 minutter på å se hvordan ISMS.online sparer deg for timer (og timer!)
Book et møteOrganisasjoner bør utarbeide temaspesifikke retningslinjer som direkte tar for seg hvordan organisasjonen sikkerhetskopierer de relevante områdene i nettverket for å sikre PII og forbedre motstandskraften mot personvernrelaterte hendelser.
BUDR-prosedyrer bør utarbeides for å oppnå hovedmålet om å sikre det alle forretningskritiske data, programvare og systemer kan gjenopprettes følgende Data Loss, inntrenging, forretningsavbrudd og kritiske feil.
Som en prioritet bør BUDR-planer:
Organisasjoner må utvikle separate prosedyrer som utelukkende omhandler PII (riktignok inneholdt i deres hoved-BUDR-plan).
Regionale avvik i PII BUDR-standarder (kontraktsmessige, juridiske og regulatoriske) bør tas i betraktning når en ny jobb opprettes, jobber endres eller nye PII-data legges til BUDR-rutinen.
Når det oppstår behov for å gjenopprette PII etter en BUDR-hendelse, bør organisasjoner være nøye med å returnere PII til sin opprinnelige tilstand, og gjennomgå gjenopprettingsaktiviteter for å løse eventuelle problemer med de nye dataene.
Organisasjoner bør føre en logg over gjenopprettingsaktivitet, inkludert alt personell som er involvert i gjenopprettingen, og en beskrivelse av PII som er gjenopprettet.
Organisasjoner bør sjekke med eventuelle lovgivende eller regulatoriske byråer og sikre at deres PII-gjenopprettingsprosedyrer er i samsvar med det som forventes av dem som PII-behandler og kontroller.
ISO definerer en "hendelse" som enhver handling utført av en digital eller fysisk tilstedeværelse/enhet på et datasystem.
Hendelseslogger bør inneholde:
ISO identifiserer 11 hendelser/komponenter som krever logging (og koblet til samme tidskilde – se ISO 27002 Control 8.17), for å opprettholde PII-sikkerhet og forbedre organisasjonens personvernbeskyttelse:
Logger bør beskyttes mot uautoriserte endringer eller driftsavvik, inkludert:
Organisasjoner bør bruke følgende teknikker for å forbedre loggbasert sikkerhet:
Når det oppstår behov for å gi logger til eksterne organisasjoner, bør det iverksettes strenge tiltak for å sikre PII og personvernrelatert informasjon, i samsvar med aksepterte datavernstandarder (se ISO 27002 Kontroll 5.34 og tilleggsveiledning nedenfor).
Logger vil måtte analyseres fra tid til annen, for å forbedre personvernet generelt, og for å både løse og forhindre sikkerhetsbrudd.
Når du utfører logganalyse, bør organisasjoner ta hensyn til:
Loggovervåking gir organisasjoner muligheten til å beskytte PII ved kilden og fremme en proaktiv tilnærming til personvern.
Organisasjoner bør:
ISO krever at organisasjoner overvåker logger knyttet til PII gjennom enkontinuerlig og automatisert overvåkings- og varslingsprosess'. Dette kan nødvendiggjøre et eget sett med prosedyrer som overvåker tilgang til PII.
Organisasjoner bør sørge for at – som en prioritet – logger gir en klar oversikt over tilgang til PII, inkludert:
Organisasjoner bør bestemmehvis, når og hvordan' PII-logginformasjon bør gjøres tilgjengelig for kundene, med alle kriterier som gjøres fritt tilgjengelig for oppdragsgiverne selv, og stor forsiktighet tas for å sikre at PII-oppdragsgivere bare har tilgang til informasjon som gjelder dem.
Se ISO 27701 klausul 6.9.4.1
Organisasjoner bør vie mye oppmerksomhet til å sikre at logger som inneholder PII er riktig kontrollert, og dra nytte av sikker overvåking.
Automatiserte prosedyrer bør settes på plass som enten sletter eller 'avidentifiserer' logger, i tråd med en publisert oppbevaringspolicy (se ISO 27002 kontroll 7.4.7).
PII-rektorer må være fullstendig kjent med alle de forskjellige årsakene til hvorfor deres PII blir behandlet.
Det er organisasjonens ansvar å formidle disse grunnene til PII-rektorer, sammen med en "klar erklæring" om hvorfor de trenger å behandle informasjonen sin.
All dokumentasjon må være klar, omfattende og lett å forstå av enhver PII-oppdragsgiver som leser den – inkludert alt som er relatert til samtykke, samt kopier av interne prosedyrer (se ISO 27701 klausuler 7.2.3, 7.3.2 og 7.2.8).
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISMS.online vil spare deg for tid og penger
Få ditt tilbudFor å danne et juridisk grunnlag for å behandle PII, bør organisasjoner:
For hvert punkt nevnt ovenfor bør organisasjoner kunne tilby dokumentert bekreftelse
Organisasjoner må også vurdere eventuelle "spesielle kategorier" av PII som er relatert til deres organisasjon i deres dataklassifiseringsskjema (se ISO 27701 klausul 7.2.8) (klassifiseringer kan variere fra region til region).
Hvis organisasjoner opplever endringer i deres underliggende årsaker til å behandle PII, bør dette umiddelbart gjenspeiles i deres dokumenterte juridiske grunnlag.
Organisasjoner må inngå skriftlige, bindende kontrakter med enhver ekstern PII-behandler som de bruker.
Eventuelle kontrakter må sikre at PII-behandleren implementerer all nødvendig informasjon i ISO 27701 vedlegg B, med spesiell oppmerksomhet til risikovurderingskontroller (ISO 27701 klausul 5.4.1.2) og det overordnede omfanget av behandlingsaktivitetene (se ISO 27701 klausul 6.12 ).
Organisasjoner må kunne rettferdiggjøre utelatelsen av kontroller i vedlegg B, i forhold til PII-behandleren (se ISO 27701 klausul 5.4.1.3).
Organisasjoner må opprettholde et grundig sett med poster som støtter deres handlinger og forpliktelser som PII-behandler.
Poster (ellers kjent som "beholdningslister") bør ha en delegert eier, og kan omfatte:
Organisasjoner bør utarbeide, dokumentere og implementere prosedyrer som tillater PII-prinsipper å få tilgang til, korrigere og/eller slette deres PII.
Prosedyrer bør inkludere mekanismer som PII-rektor kan utføre handlingen ovenfor, inkludert hvordan organisasjonen skal informere rektor hvis rettelser ikke er i stand til å gjøres.
Organisasjoner bør forplikte seg til en publisert responstid for alle forespørsler om tilgang, retting eller sletting.
Det er svært viktig å kommunisere slike forespørsler til tredjeparter som har blitt overført PII (se ISO 27701 klausul 7.3.7).
En PII-rektors evne til å be om rettelser eller slettinger er diktert av jurisdiksjonen som organisasjonen opererer i. Som sådan bør selskaper holde seg orientert om eventuelle juridiske eller regulatoriske endringer som styrer deres forpliktelser overfor PII.
Organisasjoner bør begrense innsamlingen av PII basert på tre faktorer:
Organisasjoner bør kun samle inn PII – enten direkte eller indirekte – i samsvar med de ovennevnte faktorene, og kun for formål som er relevante og nødvendige for deres uttalte formål.
Som et konsept bør 'personvern som standard' overholdes – dvs. eventuelle valgfrie funksjoner bør deaktiveres som standard.
Organisasjoner bør ta skritt for å sikre at PII er nøyaktig, fullstendig og oppdatert gjennom hele livssyklusen.
Organisatoriske retningslinjer for informasjonssikkerhet og tekniske konfigurasjoner bør inneholde trinn som søker å minimere feil gjennom PII-behandlingen, inkludert kontroller for hvordan man skal reagere på unøyaktigheter.
Organisasjoner må konstruere «dataminimering»-prosedyrer, inkludert mekanismer som avidentifikasjon.
Dataminimering bør brukes for å sikre at PII-innsamling og -behandling er begrenset til det 'identifiserte formålet' for hver funksjon (se ISO 27701 klausul 7.2.1).
En stor del av denne prosessen innebærer å dokumentere i hvilken grad en PII-oppdragsgivers informasjon skal kunne henføres direkte til dem, og hvordan minimering skal oppnås via en rekke tilgjengelige metoder.
Organisasjoner bør skissere de spesifikke teknikkene som brukes for å avidentifisere PII-prinsipper, for eksempel:
Organisasjoner må enten fullstendig ødelegge enhver PII som ikke lenger oppfyller et formål, eller endre den på en måte som forhindrer noen form for hovedidentifikasjon.
Så snart organisasjonen har fastslått at PII ikke trenger å behandles på noe tidspunkt i fremtiden, bør informasjonen slettet or avidentifisert, slik omstendighetene tilsier.
Midlertidige filer opprettes av en rekke tekniske årsaker, gjennom PII-behandlingen og innsamlingens livssyklus, på tvers av en rekke applikasjoner, systemer og sikkerhetsplattformer.
Organisasjoner må sørge for at disse filene blir ødelagt innen rimelig tid, i samsvar med offisielle retningslinjer for oppbevaring.
En enkel måte å identifisere eksistensen av slike filer på er å utføre periodiske kontroller av midlertidige filer på tvers av nettverket. Midlertidige filer inkluderer ofte:
Organisasjoner bør forholde seg til en såkalt prosedyre for søppelhenting som sletter midlertidige filer når de ikke lenger er nødvendige.
Organisasjoner må ha klare retningslinjer og prosedyrer som styrer hvordan PII avhendes.
Datadisponering er et omfattende emne som inneholder en rekke forskjellige variabler, basert på den nødvendige disponeringsteknikken og arten til dataene som blir kastet.
Organisasjoner må vurdere:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Enhver PII som er satt til å bli overført til en tredjepartsorganisasjon bør gjøres med den største forsiktighet for informasjonen som sendes, ved hjelp av sikre midler.
Organisasjoner må sikre at kun autorisert personell har tilgang til overføringssystemer, og gjør det på en måte som lett kan revideres med det eneste formålet å få informasjonen dit den trenger å gå uten hendelser.
Fra begynnelsen skal PII kun behandles i henhold til kundens instruksjoner.
Kontrakter bør inkludere SLAer knyttet til gjensidige mål, og eventuelle tilhørende tidsskalaer som de må fullføres innenfor.
Organisasjoner bør erkjenne sin rett til å velge de distinkte metodene som brukes til å behandle PII, som lovlig oppnår det kunden ser etter, men uten behov for å innhente detaljerte tillatelser om hvordan organisasjonen går frem på et teknisk nivå.
Organisasjoner må sikre at midlertidige filer blir ødelagt innen rimelig tid, i samsvar med offisielle retningslinjer for oppbevaring og klare slettingsprosedyrer.
En enkel måte å identifisere eksistensen av slike filer på er å utføre periodiske kontroller av midlertidige filer på tvers av nettverket.
Organisasjoner bør forholde seg til en såkalt prosedyre for søppelhenting som sletter midlertidige filer når de ikke lenger er nødvendige.
Når det oppstår behov for at PII skal overføres over et datanettverk (inkludert en dedikert lenke), må organisasjoner være opptatt av å sikre at PII når de riktige mottakerne, i tide.
Ved overføring av PII mellom datanettverk bør organisasjoner:
GDPR-artikkel | ISO 27701 klausul | ISO 27002 kontroller |
---|---|---|
EU GDPR artikkel 5(1)(f) | 6.10.2.1 | 5.13 8.7 8.24 |
EU GDPR artikkel 5(1) | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
EU GDPR artikkel 5(1)(f) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikkel 5(1)(f) | 6.11.3.1 | 8.10 8.11 |
EU GDPR artikkel 5(1)(f) | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU GDPR artikkel 5(1)(f) | 6.15.1.1 | 5.20 |
EU GDPR artikkel 5 (2) | 6.15.1.3 | none |
EU GDPR artikkel 5(1)(f) | 6.3.2.1 | 8.9 8.16 |
EU GDPR artikkel 5(1)(f) | 6.5.2.1 | none |
EU GDPR artikkel 5(1)(f) | 6.5.2.2 | none |
EU GDPR artikkel 5(1)(f) | 6.5.3.1 | 5.14 |
EU GDPR artikkel 5(1)(f) | 6.5.3.2 | 5.14 |
EU GDPR artikkel 5(1)(f) | 6.6.2.1 | 5.17 5.19 |
EU GDPR artikkel 5(1)(f) | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
EU GDPR artikkel 5(1)(f) | 6.6.4.2 | none |
EU GDPR artikkel 5(1)(f) | 6.8.2.7 | 7.10 8.10 |
EU GDPR artikkel 5(1)(f) | 6.8.2.9 | none |
EU GDPR artikkel 5(1)(f) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR artikkel 5(1)(f) | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
EU GDPR artikkel 5(1)(f) | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
EU GDPR artikkel 5 (1)(b) | 7.2.1 | none |
EU GDPR artikkel 5 (1)(a) | 7.2.2 | none |
EU GDPR artikkel 5 (2) | 7.2.8 | none |
EU GDPR artikkel 5 (1)(d) | 7.3.6 | none |
EU GDPR artikkel 5 (1)(b) | 7.4.1 | none |
EU GDPR artikkel 5 (1)(d) | 7.4.3 | none |
EU GDPR artikkel 5 (1)(c) | 7.4.4 | none |
EU GDPR artikkel 5 (1)(c), 5 (1)(e) | 7.4.5 | none |
EU GDPR artikkel 5 (1)(c) | 7.4.6 | none |
EU GDPR artikkel 5 (1)(f) | 7.4.8 | none |
EU GDPR artikkel 5 (1)(f) | 7.4.9 | none |
EU GDPR artikkel 5 (1)(a), 5 (1)(b) | 8.2.2 | none |
EU GDPR artikkel 5 (1)(c) | 8.4.1 | none |
EU GDPR artikkel 5 (1)(f) | 8.4.3 | none |
Din komplette GDPR-løsning.
Et forhåndsbygd miljø som passer sømløst inn i styringssystemet ditt lar deg beskrive og demonstrere din tilnærming til beskyttelse av europeiske og britiske kundedata.
Med ISMS.online kan du hoppe rett inn i GDPR-overholdelse og demonstrere beskyttelsesnivåer som går utover "rimelig", alt på ett sikkert sted som alltid er på.
I kombinasjon med vår «Adopter, Adapt, Add»-implementeringstilnærming, tilbyr ISMS.online-plattformen innebygd veiledning ved hvert trinn, noe som reduserer innsatsen som kreves for å demonstrere at du overholder GDPR. En rekke kraftige tidsbesparende funksjoner vil også være tilgjengelige for deg.
Finn ut mer av bestilling av en kort 30 minutters demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Oppdag den beste måten å oppnå ISMS-suksess
Få din gratis guide