Det kan virke opplagt å vurdere informasjonssikkerhet ved siden av personvern, men hva bestemmer den nye, kommende, generelle databeskyttelsesforordningen (GDPR)?
GDPR inneholder faktisk ikke spesifikke sikkerhetskrav. I henhold til artikkel 32, med tittelen "Sikkerhet", bare 135 ord beskriver dem:
«Tatt i betraktning teknikkens stand, kostnadene ved implementering og arten, omfanget, konteksten og formålene med behandlingen samt risikoen for varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige og databehandleren implementere hensiktsmessig tekniske og organisatoriske tiltak for å sikre et passende sikkerhetsnivå til risikoen, inkludert blant annet etter behov:
(a) pseudonymisering og kryptering av personopplysninger;
(b) evnen til å sikre kontinuerlig konfidensialitet, integritet, tilgjengelighet og motstandskraft til behandlingssystemer og tjenester;
(c) muligheten til å gjenopprette tilgjengeligheten og tilgangen til personlig informasjon i tide i tilfelle en fysisk eller teknisk hendelse;
(d) en prosess for regelmessig testing, vurdering og evaluere effektiviteten av tekniske og organisatoriske tiltak for å sikre sikkerheten til behandlingen."
Ordet "passende" er nevnt 3 ganger her. Mens dette gir en viss grad av fleksibilitet i innstillingen av organisasjonens sikkerhetskontroller, innebærer det også en risiko for at en regulators syn kan avvike fra ditt når det gjelder sikkerhetstiltakene du har iverksatt.
Dette betyr at du må være klar til demonstrere og forsvare din tilnærming og den operative effektiviteten til sikkerhetskontrollene på plass.
Chris Zoladz*, grunnlegger av informasjons- og personvernrådgivere, Navigate LLC, og tidligere styreleder i International Association of Privacy Professionals (IAPP) tilbyr...
ISMS.online vil spare deg for tid og penger mot ISO 27001-sertifisering og gjøre det enkelt å vedlikeholde.
Informasjonssikkerhetssjef, Honeysuckle Health
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
1. Bruk en anerkjent sikkerhetsrammeverket — Hvis organisasjonen din ikke allerede bruker et sikkerhetsrammeverk som ISO 27001/2 for å veilede sikkerhetsprogrammet ditt, velg et rammeverk eller en kombinasjon av kjente rammeverk som vil informere komponentene i det overordnede sikkerhetsprogrammet.
2. Administrer sikkerhetrisiko — Ikke all sikkerhetsrisiko er lik, og ikke all risiko kan eller bør elimineres. Det er rett og slett ikke realistisk, kostnadseffektivt eller nødvendig. Heldigvis, den GDPR anerkjenner den virkeligheten. Du må imidlertid fortsatt vurdere sikkerhetsrisikoer og ta rimelige skritt for å redusere betydelige risikoer, implementere kompenserende kontroller eller rettferdiggjøre hvorfor en ikke-redusert risiko vil bli akseptert. Hver organisasjon bør bruke et risikorammeverk og ha en prosess for å evaluere og styre risiko. Hvis organisasjonen din for øyeblikket ikke har en formell prosess for å identifisere, dokumentere og administrere sikkerhet risikoer, utnytte ISO 27001, NIST eller et annet rammeverk for å gjøre forbedringer. Dette betyr ikke at din organisasjonens behov å implementere hvert element i et bestemt rammeverk, men i stedet vil det tjene som et utgangspunkt eller referanse for å sikre at de nødvendige elementene i risikostyring blir adressert.
3. Dokumentasjon er din venn — Når det er et problem som resulterer i en undersøkelse eller revisjon, vil suksessen til organisasjonens forsvar være direkte relatert til styrken til «vis og fortell» som presenteres for regulatoren eller revisor. Dokumentasjon er "show"-delen av forsvaret som kan brukes til å demonstrere at sikkerhetskontrollene er på plass (f.eks. en liste over alle ansatte som fullfører sikkerhetsopplæringen) og fungerer effektivt (f.eks. adgangskontroll logger viser at en uautorisert tilgangsforsøk på et system med personopplysninger ble identifisert og undersøkt). Oppretthold et rimelig nivå av dokumentasjon for å demonstrere og forsvare sikkerhetskontrollene på plass.
4. Kontinuerlig "les og reagere" — Teknologi, forretningskrav og lovkrav vil kontinuerlig endre seg over tid. Som et resultat vil nye risikoer dukke opp, og nye eller andre sikkerhetskontroller vil være nødvendig. Dette vil være en endeløs syklus og krever at organisasjonen kontinuerlig tilpasser og foredler sin sikkerhetsstilling for å være lydhør overfor nye risikoer. Sikkerhet, som personvern, er en pågående prosess, ikke et engangsprosjekt.
En skreddersydd praktisk økt basert på dine behov og mål
Standarder som ISO 27001:2013 oppfordrer til kontinuerlig forbedring. Av eksterne revisjon, med uavhengig sertifisering vil du gi kundene den tilliten de trenger for å se at du opprettholder ISMS og tilfredsstiller kravet til regelmessige gjennomganger og løpende administrasjon.
Med kunder som sannsynligvis også har ulike syn på hvilke sikkerhetskontroller som er passende, vil implementering av én godt anerkjent standard bidra til å unngå å bli trukket i forskjellige retninger.
ISMS.online gjør det enkelt å beskrive, demonstrere og forsvare personvernet ditt og informasjonssikkerhetspraksis og kontroller.
Bruk vår forhåndsbygde GDPR og ISO 27001 rammeverk, ISO 27001 retningslinjer og kontroller Sammen med verktøy for risikostyring og verktøy for styring av andre arbeidsprosesser kreves av GDPR.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang