ISO 27701, klausul 5.4 – Planlegging

ISO 27701 kontroller og klausuler forklart

Bestill en demonstrasjon

silhuetter,av,mennesker,sittende,ved,bordet.,et,team,av

Det er viktig at organisasjoner, før de implementerer et PIMS, får et klart bilde av hva deres spesifikke personvern/PII-mål er, på alle nivåer av informasjonssikkerhetsdriften.

Risikovurdering bør være et nøkkelelement i alle organisasjonsdekkende personvernprotokoller, inkludert en forståelse av hvordan man vurderer og analyserer risikoer, og "risikobehandling" – prosessen med å modifisere risiko gjennom en rekke tekniske tiltak.

Hva dekkes av ISO 27701 klausul 5.4

ISO 27701 5.4 omhandler trinnene organisasjoner må ta når de planlegger en PIMS eller retningslinjer for personvern.

ISO 27701 5.4 bygger på veiledning fra ISO 27001 6.1 (Handlinger for å adressere risikoer og muligheter), og inneholder ytterligere veiledning på tvers av fire hovedunderklausuler:

  • ISO 27701 klausul 5.4.1.1 (referanser ISO 27001 kontroll 6.1.1)

  • ISO 27701 klausul 5.4.1.2 (referanser ISO 27001 kontroll 6.1.2)

  • ISO 27701 klausul 5.4.1.3 (referanser ISO 27001 kontroll 6.1.3)

  • ISO 27701 klausul 5.4.2 (referanser ISO 27001 kontroll 6.2)

To underklausuler (5.4.1.2 og 5.4.1.3) inneholder begge veiledning som er direkte knyttet til artikkel 32 i GDPR, mer spesifikt, avsnitt (1)(b), (2).

Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.

Gå til emnet
Oppnå ISO 27701-suksess

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISO 27701 klausul 5.4.1.1 – Generelt

Referanser ISO 27001 Kontroll 6.1.1

Generelt sett må organisasjoner ta i bruk en risikospesifikk tilnærming for å planlegge en PIMS som:

  1. Jobber for å bygge et PIMS som oppnår et sett med spesifikke personvernmål.

  2. Søker å enten fullstendig utrydde eller minimere eventuelle uønskede effekter.

  3. Arbeider for kontinuerlig utvikling og gradvis forbedring av PII og personvernrelaterte aktiviteter.

Når organisasjoner utarbeider en plan, må følgende:

  1. Vær oppmerksom på de spesifikke handlingene som trengs for å håndtere eventuelle risikoer, og implementer dem i et PIMS.

  2. Evaluer tilnærmingen deres hele tiden.

Relevante ISO 27001 kontroller

Veiledningen i ISO 27701 5.4.1.1 er nært knyttet til en organisasjons evne til å forstå sine krav, og forventningene til internt og eksternt personale og PII-emner hvis data organisasjonen har.

  • ISO 27001 4.1 – Forstå organisasjonen og dens kontekst.

  • ISO 27001 4.2 – Forstå behovene og forventningene til interesserte parter.

ISO 27701 klausul 5.4.1.2 – Informasjonssikkerhetsrisikovurdering

Referanser ISO 27001 Kontroll 6.1.2

Organisasjoner bør kartlegge og implementere en personvernrisikovurderingsprosess som:

  • Inkluderer risikoakseptkriterier for å utføre personvernvurderinger.

  • Gir et rammeverk for sammenlignbar analyse av alle personvernvurderinger.

  • Påpeker risikoer for personvern (og deres eiere).

  • Vurderer farene og risikoene som er forbundet med tap av "konfidensialitet, tilgjengelighet og integritet" til PII.

  • Analyserer personvernrisikoer sammen med tre faktorer:

    • Deres potensielle konsekvenser.

    • Sannsynligheten for at de inntreffer.

    • Deres alvorlighetsgrad.

  • Analyserer og prioriterer identifiserte risikoer i henhold til deres risikonivå.

Ytterligere PIMS- og PII-veiledning

Organisasjoner bør fokusere risikovurderingsaktiviteter som ikke bare tar for seg informasjonssikkerhet, men komplementerer implementeringen av et PIMS, og til behandling og lagring av PII.

Organisasjoner bør huske på konsekvensene, ikke bare for selskapet selv, men for eventuelle PII-oppdragsgivere, bør og problemer oppstå.

Gjeldende GDPR-artikler

  • Artikkel 32 – Behandlingssikkerhet

    • Gjeldende seksjoner – (1)(b), (2)

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Vi er kostnadseffektive og raske

Oppdag hvor enkelt ISO 27701 er med ISMS.online
Få ditt tilbud

ISO 27701 klausul 5.4.1.3 – Informasjonssikkerhetsrisikobehandling

Referanser ISO 27001 Kontroll 6.1.3

Organisasjoner bør utarbeide og implementere en "risikobehandlingsprosess" for personvern/PII som:

  1. implementere en "risikobehandlingsplan" for personvern.

  2. identifiserer hvordan en PIMS skal behandle individuelle risikonivåer, basert på et sett med vurderingsresultater.

  3. fremhever en rekke kontroller som kreves for å implementere behandling av personvernrisiko.

  4. kryssreferanser til alle kontroller identifisert med den omfattende listen levert av ISO i Vedlegg A til ISO 27001.

  5. dokumentere og begrunne bruken av eventuelle kontroller som brukes i en formell "erklæring om anvendelse".

  6. be om godkjenning fra eventuelle risikoeiere før du fullfører en behandlingsplan for personvernrisiko som inkluderer "rest" personvern og PII-risikoer.

Gjeldende GDPR-artikler

  • Artikkel 32 – Behandlingssikkerhet

    • Gjeldende seksjoner – (1)(b), (2)

ISO 27701 klausul 5.4.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem

Referanser ISO 27001 Kontroll 6.2

Organisatoriske personvernmål bør:

  • Vær på linje med andre retningslinjer for informasjonssikkerhet.

  • Være kvantifiserbare, for rapportering og vurderingsformål.

  • Innlemme data fra risikovurderinger og risikobehandlinger.

  • Gjøres tilgjengelig for alle relevante ansatte og registrerte.

  • Bli kontinuerlig forbedret og oppdatert i samsvar med operasjonelle resultater og hendelser i den virkelige verden.

  • Bli dokumentert.

Gjennom planleggingsprosessen må organisasjoner etablere følgende:

  1. Eventuelle ressurser som vil være nødvendige.

  2. Hvem vil få eierskap til målene, deres helt eller delvis.

  3. Når en organisasjons uttalte mål vil bli oppfylt.

  4. Hvordan eventuelle data skal analyseres.

Støttekontroller fra ISO 27001 og GDPR

ISO 27701 klausulidentifikatorISO 27701 KlausulnavnISO 27001-kravTilknyttede GDPR-artikler
5.4.1.1general6.1.1 – Generelle aspekter ved planlegging rundt risiko for ISO 27001none
5.4.1.2Informasjonssikkerhetsrisikovurdering6.1.2 – Informasjonssikkerhetsrisikovurdering for ISO 27001Artikkel (32)
5.4.1.3Informasjonssikkerhetsrisikobehandling6.1.3 – Informasjonssikkerhetsrisikobehandling for ISO 27001Artikkel (32)
5.4.2Informasjonssikkerhetsmål og planlegging for å nå dem6.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem for ISO 27001none

Hvordan ISMS.online hjelper

Du må opprette et Privacy Information Management System (PIMS) for å oppfylle ISO 27701. Med vårt forhåndsbygde Privacy Information Management System (PIMS) kan du raskt og effektivt organisere og håndtere kunde-, leverandør- og ansattinformasjon for å tilfredsstille ISO 27701-kravene.

Personvernvurderinger kan enkelt settes opp og kjøres, alt fra databeskyttelseskonsekvensvurderinger til regulatoriske eller overholdelsesberedskap.

Se hele vårt utvalg av funksjoner ved å bestille en demo.

Se vår plattform
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer