ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 Klausul 5.6 Forklart: Viktige operasjonelle krav
ISO 27701 klausul 5.6 omhandler praksisen med å kontrollere prosessene, kontrollene og prosedyrene som er nødvendige for å operere med en robust personvernplan og personverninformasjonsstyringssystem.
Operativ planlegging dekker et bredt spekter av emner – fra strukturerte endringshåndteringsaktiviteter til personvernrisikovurderinger og risikobehandlingsplaner som forbedre sikkerheten til PII innenfor grensene til organisasjonens nettverk.
Hva dekkes av ISO 27701 klausul 5.6
ISO 27701 klausul 5.6 inneholder tre underklausuler som stole på medfølgende veiledning innenfor ISO 27001:
- ISO 27701 5.6.1 – Driftsplanlegging og kontroll (Referanser ISO 27001 Kontroll 8.1)
- ISO 27701 5.6.2 – Informasjonssikkerhetsrisikovurdering (Referanser ISO 27001 Kontroll 8.2)
- ISO 27701 5.6.3 – Behandling av informasjonssikkerhetsrisiko (Referanser ISO 27001 Kontroll 8.3)
ISO 27701 5.6 inneholder ingen andre veiledningspunkter som spesifikt omhandler implementeringen av et PIMS – i stedet fokuserer oppmerksomheten bredere på organisatorisk personvern – og har heller ikke noen tilstøtende GDPR artikler.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 5.6.1 – Operativ planlegging og kontroll
Referanser ISO 27001 Kontroll 8.1
ISO 27701 Control 5.6.1 skisserer ISOs bredere tilnærming til planlegging av personvern. Organisasjoner bør "planlegge, implementere og kontrollere" og interne prosedyrer eller prosesser som er relevante for personvern og lagring og behandling av PII (se ISO 27001 6.1 og 6.2).
ISO ber også organisasjoner om å beholde dokumentert informasjon som beviser overholdelse og endring på tvers av organisatoriske personvernkontroller, inkludert alle utkontrakterte aktiviteter.
Planlegging omfatter også endringsledelse. ISO krever at organisasjoner administrerer alle interne endringer for å minimere risikoen for PII og evaluere eventuelle utilsiktede konsekvenser som oppstår fra hensiktsmessige eller utilsiktede endringer.
Relevante ISO 27001 kontroller
- 6.1 – Handlinger for å håndtere risikoer og muligheter
- 6.1.2 – Risikovurdering for informasjonssikkerhet
- 6.2 – Informasjonssikkerhetsmål og planlegging for å nå dem
ISO 27701 klausul 5.6.2 – Informasjonssikkerhetsrisikovurdering
Referanser ISO 27001 Kontroll 8.2
Organisasjoner må utføre periodiske vurderinger av personvernrisiko på viktige stadier av operasjonen – for eksempel en større endring, eller umiddelbart etter en sikkerhetshendelse.
Som med alle PII-relaterte aktiviteter, bør organisasjoner grundig dokumentere enhver risikovurdering for å forbedre den generelle informasjonssikkerhetsdriften, og for å kunne gi tilstrekkelig bevis til juridiske og regulatoriske myndigheter dersom behovet skulle oppstå.
Relevante ISO 27001 kontroller
- 6.1.2 – Risikovurdering for informasjonssikkerhet
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 5.6.3 – Informasjonssikkerhetsrisikobehandling
Referanser ISO 27001 Kontroll 8.3
I tillegg til periodiske risikovurderinger, bør organisasjoner også vedta en "risikobehandlingsplan" for personvern, som bør inneholde anbefalinger som reduserer sannsynligheten og/eller virkningen av eventuelle risikoer knyttet til lagring og behandling av PII.
Støttekontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27001-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.6.1 | Operativ planlegging og kontroll |
8.1 – Operativ planlegging og kontroll for ISO 27001 |
none |
| 5.6.2 | Informasjonssikkerhetsrisikovurdering |
8.2 – Informasjonssikkerhetsrisikovurdering for ISO 27001 |
none |
| 5.6.3 | Informasjonssikkerhetsrisikobehandling |
8.3 – Informasjonssikkerhetsrisikobehandling for ISO 27001 |
none |
Hvordan ISMS.online hjelper
Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27001 og ISO 27701 ved å trykke på en knapp.
Finn ut hvor mye tid og penger du vil spare på reisen din til en kombinert ISO 27001- og 27701-sertifisering ved å bruke ISMS.online.
Se den live med ISMS.online av bestille en demo.
