ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Planlegging for samsvar med personvern: Forstå ISO 27701 klausul 5.4
Det er viktig at organisasjoner, før de implementerer et PIMS, får et klart bilde av hva deres spesifikke personvern/PII-mål er, på alle nivåer av informasjonssikkerhetsdriften.
Risikovurdering bør være et nøkkelelement i alle organisasjonsdekkende personvernprotokoller, inkludert en forståelse av hvordan man vurderer og analyserer risikoer, og "risikobehandling" – prosessen med å modifisere risiko gjennom en rekke tekniske tiltak.
Hva dekkes av ISO 27701 klausul 5.4
ISO 27701 5.4 omhandler trinnene organisasjoner må ta når de planlegger en PIMS eller retningslinjer for personvern.
ISO 27701 5.4 bygger på veiledning fra ISO 27001 6.1 (Handlinger for å adressere risikoer og muligheter), og inneholder ytterligere veiledning på tvers av fire hovedunderklausuler:
- ISO 27701 klausul 5.4.1.1 (referanser ISO 27001 kontroll 6.1.1)
- ISO 27701 klausul 5.4.1.2 (referanser ISO 27001 kontroll 6.1.2)
- ISO 27701 klausul 5.4.1.3 (referanser ISO 27001 kontroll 6.1.3)
- ISO 27701 klausul 5.4.2 (referanser ISO 27001 kontroll 6.2)
To underklausuler (5.4.1.2 og 5.4.1.3) inneholder begge veiledning som er direkte knyttet til artikkel 32 i GDPR, mer spesifikt, avsnitt (1)(b), (2).
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 5.4.1.1 – Generelt
Referanser ISO 27001 Kontroll 6.1.1
Generelt sett må organisasjoner ta i bruk en risikospesifikk tilnærming for å planlegge en PIMS som:
- Jobber for å bygge et PIMS som oppnår et sett med spesifikke personvernmål.
- Søker å enten fullstendig utrydde eller minimere eventuelle uønskede effekter.
- Arbeider for kontinuerlig utvikling og gradvis forbedring av PII og personvernrelaterte aktiviteter.
Når organisasjoner utarbeider en plan, må følgende:
- Vær oppmerksom på de spesifikke handlingene som trengs for å håndtere eventuelle risikoer, og implementer dem i et PIMS.
- Evaluer tilnærmingen deres hele tiden.
Relevante ISO 27001 kontroller
Veiledningen i ISO 27701 5.4.1.1 er nært knyttet til en organisasjons evne til å forstå sine krav, og forventningene til internt og eksternt personale og PII-emner hvis data organisasjonen har.
- ISO 27001 4.1 – Forstå organisasjonen og dens kontekst.
- ISO 27001 4.2 – Forstå behovene og forventningene til interesserte parter.
ISO 27701 klausul 5.4.1.2 – Informasjonssikkerhetsrisikovurdering
Referanser ISO 27001 Kontroll 6.1.2
Organisasjoner bør kartlegge og implementere en personvernrisikovurderingsprosess som:
- Inkluderer risikoakseptkriterier for å utføre personvernvurderinger.
- Gir et rammeverk for sammenlignbar analyse av alle personvernvurderinger.
- Påpeker risikoer for personvern (og deres eiere).
- Vurderer farene og risikoene som er forbundet med tap av "konfidensialitet, tilgjengelighet og integritet" til PII.
- Analyserer personvernrisikoer sammen med tre faktorer:
- Deres potensielle konsekvenser.
- Sannsynligheten for at de inntreffer.
- Deres alvorlighetsgrad.
- Analyserer og prioriterer identifiserte risikoer i henhold til deres risikonivå.
Ytterligere PIMS- og PII-veiledning
Organisasjoner bør fokusere risikovurderingsaktiviteter som ikke bare tar for seg informasjonssikkerhet, men komplementerer implementeringen av et PIMS, og til behandling og lagring av PII.
Organisasjoner bør huske på konsekvensene, ikke bare for selskapet selv, men for eventuelle PII-oppdragsgivere, bør og problemer oppstå.
Gjeldende GDPR-artikler
- Artikkel 32 – Behandlingssikkerhet
- Gjeldende seksjoner – (1)(b), (2)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 5.4.1.3 – Informasjonssikkerhetsrisikobehandling
Referanser ISO 27001 Kontroll 6.1.3
Organisasjoner bør utarbeide og implementere en "risikobehandlingsprosess" for personvern/PII som:
- implementere en "risikobehandlingsplan" for personvern.
- identifiserer hvordan en PIMS skal behandle individuelle risikonivåer, basert på et sett med vurderingsresultater.
- fremhever en rekke kontroller som kreves for å implementere behandling av personvernrisiko.
- kryssreferanser til alle kontroller identifisert med den omfattende listen levert av ISO i Vedlegg A til ISO 27001.
- dokumentere og begrunne bruken av eventuelle kontroller som brukes i en formell "erklæring om anvendelse".
- be om godkjenning fra eventuelle risikoeiere før du fullfører en behandlingsplan for personvernrisiko som inkluderer "rest" personvern og PII-risikoer.
Gjeldende GDPR-artikler
- Artikkel 32 – Behandlingssikkerhet
- Gjeldende seksjoner – (1)(b), (2)
ISO 27701 klausul 5.4.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem
Referanser ISO 27001 Kontroll 6.2
Organisatoriske personvernmål bør:
- Vær på linje med andre retningslinjer for informasjonssikkerhet.
- Være kvantifiserbare, for rapportering og vurderingsformål.
- Innlemme data fra risikovurderinger og risikobehandlinger.
- Gjøres tilgjengelig for alle relevante ansatte og registrerte.
- Bli kontinuerlig forbedret og oppdatert i samsvar med operasjonelle resultater og hendelser i den virkelige verden.
- Bli dokumentert.
Gjennom planleggingsprosessen må organisasjoner etablere følgende:
- Eventuelle ressurser som vil være nødvendige.
- Hvem vil få eierskap til målene, deres helt eller delvis.
- Når en organisasjons uttalte mål vil bli oppfylt.
- Hvordan eventuelle data skal analyseres.
Støttekontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27001-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.4.1.1 | Informasjon |
6.1.1 – Generelle aspekter ved planlegging rundt risiko for ISO 27001 |
none |
| 5.4.1.2 | Informasjonssikkerhetsrisikovurdering |
6.1.2 – Informasjonssikkerhetsrisikovurdering for ISO 27001 |
Artikkel (32) |
| 5.4.1.3 | Informasjonssikkerhetsrisikobehandling |
6.1.3 – Informasjonssikkerhetsrisikobehandling for ISO 27001 |
Artikkel (32) |
| 5.4.2 | Informasjonssikkerhetsmål og planlegging for å nå dem |
6.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem for ISO 27001 |
none |
Hvordan ISMS.online hjelper
Du må opprette et Privacy Information Management System (PIMS) for å oppfylle ISO 27701. Med vårt forhåndsbygde Privacy Information Management System (PIMS) kan du raskt og effektivt organisere og håndtere kunde-, leverandør- og ansattinformasjon for å tilfredsstille ISO 27701-kravene.
Personvernvurderinger kan enkelt settes opp og kjøres, alt fra databeskyttelseskonsekvensvurderinger til regulatoriske eller overholdelsesberedskap.
Se hele vårt utvalg av funksjoner ved å bestille en demo.
