Det er viktig at organisasjoner, før de implementerer et PIMS, får et klart bilde av hva deres spesifikke personvern/PII-mål er, på alle nivåer av informasjonssikkerhetsdriften.
Risikovurdering bør være et nøkkelelement i alle organisasjonsdekkende personvernprotokoller, inkludert en forståelse av hvordan man vurderer og analyserer risikoer, og "risikobehandling" – prosessen med å modifisere risiko gjennom en rekke tekniske tiltak.
ISO 27701 5.4 omhandler trinnene organisasjoner må ta når de planlegger en PIMS eller retningslinjer for personvern.
ISO 27701 5.4 bygger på veiledning fra ISO 27001 6.1 (Handlinger for å adressere risikoer og muligheter), og inneholder ytterligere veiledning på tvers av fire hovedunderklausuler:
To underklausuler (5.4.1.2 og 5.4.1.3) inneholder begge veiledning som er direkte knyttet til artikkel 32 i GDPR, mer spesifikt, avsnitt (1)(b), (2).
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Generelt sett må organisasjoner ta i bruk en risikospesifikk tilnærming for å planlegge en PIMS som:
Når organisasjoner utarbeider en plan, må følgende:
Veiledningen i ISO 27701 5.4.1.1 er nært knyttet til en organisasjons evne til å forstå sine krav, og forventningene til internt og eksternt personale og PII-emner hvis data organisasjonen har.
Organisasjoner bør kartlegge og implementere en personvernrisikovurderingsprosess som:
Organisasjoner bør fokusere risikovurderingsaktiviteter som ikke bare tar for seg informasjonssikkerhet, men komplementerer implementeringen av et PIMS, og til behandling og lagring av PII.
Organisasjoner bør huske på konsekvensene, ikke bare for selskapet selv, men for eventuelle PII-oppdragsgivere, bør og problemer oppstå.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Organisasjoner bør utarbeide og implementere en "risikobehandlingsprosess" for personvern/PII som:
Organisatoriske personvernmål bør:
Gjennom planleggingsprosessen må organisasjoner etablere følgende:
ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27001-krav | Tilknyttede GDPR-artikler |
---|---|---|---|
5.4.1.1 | general | 6.1.1 – Generelle aspekter ved planlegging rundt risiko for ISO 27001 | none |
5.4.1.2 | Informasjonssikkerhetsrisikovurdering | 6.1.2 – Informasjonssikkerhetsrisikovurdering for ISO 27001 | Artikkel (32) |
5.4.1.3 | Informasjonssikkerhetsrisikobehandling | 6.1.3 – Informasjonssikkerhetsrisikobehandling for ISO 27001 | Artikkel (32) |
5.4.2 | Informasjonssikkerhetsmål og planlegging for å nå dem | 6.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem for ISO 27001 | none |
Du må opprette et Privacy Information Management System (PIMS) for å oppfylle ISO 27701. Med vårt forhåndsbygde Privacy Information Management System (PIMS) kan du raskt og effektivt organisere og håndtere kunde-, leverandør- og ansattinformasjon for å tilfredsstille ISO 27701-kravene.
Personvernvurderinger kan enkelt settes opp og kjøres, alt fra databeskyttelseskonsekvensvurderinger til regulatoriske eller overholdelsesberedskap.
Se hele vårt utvalg av funksjoner ved å bestille en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din