ISO 27001:2022 Vedlegg A Kontroll 5.34

Personvern og beskyttelse av PII

Bestill en demonstrasjon

nærbilde,bilde,av,kvinne,hender,skriving,på,bærbar datamaskin

PII er alle data som kan brukes til å identifisere en person.

Eksempler på dette er:

  • Førerkort.

  • Finansiell informasjon, inkludert bankkontoer.

  • Medisinske journaler.

  • Adresse.

  • Folketrygdnummer eller personnummer.

PII er et grunnleggende element i en organisasjons dataovervåkingsplan og bringer med seg en rekke distinkte regulatoriske, lovgivningsmessige og kontraktsmessige farer.

ISO 27001:2022 vedlegg A 5.34 dekker beskyttelse av personlig identifiserbar informasjon (PII) på tre forskjellige områder:

  • Personvern.

  • Beskyttelse.

  • Bevaring.

Formål med ISO 27001:2022 vedlegg A 5.34

ISO 27001:2022 vedlegg A 5.34 er en Forebyggende tiltak som bidrar til å holde risiko i sjakk, gjennom produksjon av retningslinjer og prosedyrer som oppfyller de juridiske, lovbestemte, regulatoriske og kontraktsmessige forpliktelsene til en organisasjon med hensyn til lagring, personvern og beskyttelse av personlig identifiserbar informasjon (PII) i alle dens former.

Eierskap til vedlegg A 5.34

ISO 27001:2022 vedlegg A 5.34 tildeler organisasjonens utpekte Personvernansvarlig (eller relevant tilsvarende) som den personen som er ansvarlig for å føre tilsyn med overholdelse av PII.

Gå til emnet
Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 5.34

Organisasjoner bør vurdere PII-beskyttelse som en spesialisert forretningspraksis og produsere retningslinjer som er eksklusivt for deres organisasjon og de spesielle typene PII som oftest møter i deres daglige aktivitet.

Organisasjonen bør kompilere, formulere og utføre retningslinjer dedikert til bevaring, personvern og beskyttelse av PII, og sikre at alle ansatte som behandler PII er klar over og overholder dem – ikke bare de som håndterer det som en del av sine plikter.

Vedlegg A 5.34 krever at organisasjoner formulerer retningslinjer som tar hensyn til individuelle roller, ansvar og datakontroller på tvers av organisasjonen på en velordnet, kortfattet måte.

En ovenfra-og-ned-tilnærming er den mest effektive og effektive måten å gjøre dette på, der en Personvernansvarlig utnevnes. Denne personens rolle er å veilede ansatte og tredjepartsorganisasjoner med hensyn til PII og å gi råd til toppledelsen om å overholde organisasjonens forpliktelser.

Organisasjoner bør overholde regulatoriske, lovgivende og kontraktsmessige forskrifter, og innlemme tekniske og operasjonelle prosedyrer for effektivt å administrere PII mens den lagres i og flyter gjennom virksomheten.

Supplerende veiledning om vedlegg A 5.34

Lovgivning angående personlig identifiserbar informasjon (PII) er forskjellig fra ett land til et annet, selv i territorier som har delegert administrasjoner eller ikke-føderale myndigheter.

Organisasjoner bør gjennomgå sine behov for håndtering av personopplysninger og tenke på eventuelle internasjonale effekter som følge av innsamling, behandling eller deling av personlig informasjon på tvers av forskjellige land.

Mens ISO 27001:2022 ikke gir spesifikke råd om hvordan dette skal oppnås, gir en rekke ISO-dokumenter mer omfattende informasjon om emnet, inkludert:

  • ISO / IEC 29100 – gir veiledning om beskyttelse av personlig identifiserbar informasjon (PII) innenfor informasjons- og kommunikasjonsteknologi (IKT)-systemer. Den angir kravene for å beskytte PII og gir en oversikt over tiltakene som er nødvendige for å sikre sikker behandling av PII.

  • ISO/IEC 27701 – gir et rammeverk for organisasjoner for å administrere personverninformasjon. Det lar dem etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for personverninformasjon. Dette systemet gjør det mulig for organisasjoner å beskytte personvernet til enkeltpersoner, forhindre misbruk av personopplysninger og overholde gjeldende lover og forskrifter.

  • ISO / IEC 27018 – er en anbefaling for implementering av beskyttelse av personlig identifiserbar informasjon (PII) innenfor offentlig skyinfrastruktur. Den gir retningslinjer for å beskytte PII og dermed ivareta personvernet til enkeltpersoner. Koden gjelder organisasjoner som behandler PII innenfor offentlig skyinfrastruktur.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 5.34 erstatter ISO 27001:2013 Vedlegg A 18.1.4 (Personvern og beskyttelse av personlig identifiserbar informasjon) i den reviderte 2022-standarden.

ISO 27001:2022 vedlegg A 5.34 er nesten identisk med 2013-versjonen, med to viktige forskjeller:

  1. ISO 27001: 2022 Vedlegg A 5.34 anbefaler at organisasjoner vurderer en fagspesifikk policy når de utvikler og implementerer retningslinjer og prosedyrer for personlig informasjon.

  2. ISO 27001:2022 vedlegg A 5.34 legger mer vekt på ivaretakelse Personlig identifiserbar informasjon (som angitt i vedlegg A kontrolltittel) samt standard personvern- og beskyttelsesforskrifter.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår skyplattform gir et sterkt rammeverk av datasikkerhetskontroller slik at du kan sjekke av ISMS-prosessen mens du går, og sørge for at den oppfyller kriteriene for ISO 27001:2022. Når det brukes riktig, kan ISMS.online hjelpe deg med å få sertifisering med et minimum av tid og ressurser.

Kontakt oss nå for å reservere en demonstrasjon.

Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.

Emmie Cooney
Driftsleder, Amigo

Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer