Personlig identifiserbar informasjon (PII) er enhver informasjon som bekrefter en persons identitet.
En persons PII kan inkludere deres:
PII utgjør en sentral del av en organisasjons strategi for datastyring, og bærer en rekke unike regulatoriske, lovgivningsmessige og kontraktuelle risikoer.
Kontroll 5.34 omhandler PII på tre forskjellige måter:
Kontroll 5.34 er en forebyggende kontroll Det opprettholder risiko ved å lage retningslinjer og prosedyrer som oppfyller en organisasjons juridiske, lovpålagte, regulatoriske og kontraktsmessige krav knyttet til lagring, privatliv og beskyttelse av PII i alle dens former.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere #Beskytte | #Informasjonsbeskyttelse #Juridisk og overholdelse | #Beskyttelse |
Kontroll 5.34 nevner eksplisitt en organisasjons delegerte personvernansvarlig (eller tilsvarende organisasjon) som personen som skal føre tilsyn med overholdelse av PII.
Organisasjoner bør behandle PII som en emnespesifikk forretningsfunksjon, og utvikle retningslinjer som er unike for deres organisasjon, og kategoriene PII som er mest vanlige for deres daglige drift.
Først og fremst bør organisasjonen utarbeide, utvikle og implementere en rekke retningslinjer som ivaretar bevaring, personvern og beskyttelse av PII, og sikre at disse kommuniseres til og brukes av alle ansatte som behandler PII – ikke bare de som er forpliktet til å håndtere det som en del av jobbrollene deres.
PII må administreres på en strukturert, klar og kortfattet måte. For å oppnå dette spør Control 5.34 organisasjoner til å utarbeide retningslinjer som tar hensyn til individuelle roller, ansvar og datakontroller i hele organisasjonen.
Den enkleste og mest effektive måten å oppnå dette på er å ta i bruk en ovenfra-ned-tilnærming som inneholder en personvernansvarlig, hvis jobb det er å gi veiledning til ansatte og tredjepartsorganisasjoner om emnet PII, og gi råd til toppledelsen om hvordan man forblir i samsvar med organisasjonens forpliktelser.
Ved siden av regulatoriske, lovgivende og kontraktsmessige retningslinjer, en organisasjonen bør også gjennomføre tekniske og operasjonelle tiltak som omhandler praktisk håndtering av PII slik den lagres av og flyter gjennom virksomheten.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
PII-lovgivningen varierer fra land til land, selv innenfor territorier som inneholder decentraliserte administrasjoner eller ikke-føderale myndigheter.
Organisasjoner bør revidere deres PII-behandlingskrav og vurdere eventuelle grenseoverskridende implikasjoner som kommer fra innsamling, behandling eller distribusjon av PII innenfor separate jurisdiksjoner.
Mens ISO 27002: 2022 tilbyr ingen ytterligere veiledning om hvordan du oppnår dette, en rekke ISO-dokumenter går mer i detalj om saken, inkludert:
27002:2022-5.34 erstatter 27002:2013-18.1.4 (Personvern og beskyttelse av personlig identifiserbar informasjon).
27002:2022-5.34 er nesten en karbonkopi av forgjengeren fra 2013, med to bemerkelsesverdige unntak.
Vår skybaserte plattform gir deg et robust rammeverk av informasjonssikkerhetskontroller slik at du kan sjekkliste ISMS-prosessen din mens du går for å sikre at den oppfyller kravene til ISO 27k. Brukt riktig, ISMS. online kan hjelpe deg med å oppnå sertifisering med et minimum av tid og ressurser.
Ta kontakt i dag for å bestill en demo.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
