ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 5.7: En veiledning til ytelsesevaluering
En del av det å operere med et vanntett sett med kontroller for personvern er å erkjenne behovet for å kontinuerlig overvåke, vurdere og forbedre organisatorisk etterlevelse med
PII-relaterte mål og juridiske/regulatoriske krav.
ISO 27701 Control 5.7 angir et klart sett med retningslinjer som informerer organisasjoner om hvordan de kan vurdere sin egen ytelse, og like viktig, hvordan de kan gjennomføre meningsfulle endringer slik at personvern forblir i forkant av deres bredere informasjonssikkerhetspolicy.
Hva dekkes av ISO 27701 klausul 5.7
ISO 27701 klausul 5.7 inneholder tre underklausuler som omhandler de tre hovedbestanddelene av personvernevaluering – overvåking, audition og gjennomgang.
Hver underklausul er knyttet til et medfølgende sett med retningslinjer for informasjonssikkerhet fra ISO 27001:
- ISO 27701 5.7.1 – Overvåking, måling, analyse og evaluering (Referanser ISO 27001 Kontroll 9.1)
- ISO 27701 5.7.2 – Internrevisjon (Referanser ISO 27001 Kontroll 9.2)
- ISO 27701 5.7.3 – Ledelsens gjennomgang (Referanser ISO 27001 Kontroll 9.3)
Klausul 5.7 mangler noen tilleggsveiledning om hvordan man bruker retningslinjer for ytelsesevaluering i sammenheng med en PIM, og inneholder heller ingen veiledning innenfor rammen av GDPR.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 5.7.1 – Overvåking, måling, analyse og evaluering
Referanser ISO 27001 Kontroll 9.1
Organisasjoner må hele tiden overvåke og evaluere hvordan de presterer fra et personvernsynspunkt, og hvor effektiv deres PIMS er innenfor rammen av deres uttalte mål.
For å gjøre dette må organisasjoner etablere:
- Nøyaktig hvilke områder av deres drift krever overvåking;
- Hvordan de skal utføre overvåkingen, og mekanismene de skal bruke for å analysere data som er innhentet;
- Når overvåkingsaktiviteter skal gjennomføres;
- Hvilke ansatte skal være involvert i overvåking av aktiviteter;
- Tidsperioden resultatene skal analyseres etter eventuelle overvåkingsaktiviteter.
Som med all annen personvern og PII-relaterte aktiviteter, må det føres en grundig oversikt over alle overvåkingsaktiviteter i form av offisiell dokumentasjon.
ISO 27701 klausul 5.7.2 – Internrevisjon
Referanser ISO 27001 Kontroll 9.2
Organisasjoner må være oppmerksomme på sitt ansvar for sine egne data og prosesser, ved å gjennomføre planlagte revisjoner med passende intervaller.
Revisjoner må fastslå:
- Hvorvidt PIMS er i samsvar med organisasjonens krav til personvern og relevante ISO-standarder;
- At PIMS har blitt implementert riktig, og at det vedlikeholdes tilstrekkelig.
For å nå disse målene bør organisasjoner:
- Planlegg, lag og vedlikehold et revisjonsprogram som tar hensyn til flere nøkkeldetaljer:
- Revisjonsfrekvens;
- Revisjonsmetode;
- Interne roller og ansvar;
- Forhåndsimplementering og planleggingskrav;
- Rapportering av revisjonsdata.
- Fastslå omfanget av hver enkelt revisjon.
- Styrke behovet for upartiskhet og en objektiv tilnærming til dataanalyse, med hvem som er valgt til å gjennomføre revisjonen, enten det er internt eller eksternt personale.
- Sørge for at revisjonsresultater når de riktige interne kanalene (ledelsen etc.), slik at meningsfulle tiltak kan iverksettes for å forbedre organisasjonens styringssystem for informasjonssikkerhet, dersom det skulle oppstå behov.
- Føre en grundig oversikt over alle revisjonsaktiviteter i form av dokumentert informasjon.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 5.7.3 – Ledergjennomgang
Referanser ISO 27001 Kontroll 9.3
Seniorledelsen spiller en nøkkelrolle i å sikre levedyktigheten og effektiviteten til enhver personvernpolicy eller implementering av PIMS.
Ved gjennomgang av organisatorisk overholdelse av PII-relaterte kontroller, retningslinjer og prosedyrer, bør ledelsen inkludere:
- Eventuelle handlinger som gjenstår fra forrige gjennomgang.
- Eventuelle endringer i organisasjonens drift som har potensial til å påvirke personvernet eller behandlingen og/eller lagringen av PII.
- Tilbakemelding fra alle relevante kilder om personvern, som inkluderer merkbare trender innen:
- Manglende overholdelse og korrigerende handlinger;
- Eventuelle data innhentet fra overvåkingsaktiviteter;
- Resultatene av nylige revisjoner;
- Hvordan organisasjonen oppfyller sine uttalte personvernmål.
- Tilbakemelding fra relevant personell (internt eller eksternt).
- Resultatene av eventuelle risikovurderinger for personvern, og hvordan de skal håndteres via en dedikert risikobehandlingsplan.
- Hvordan organisasjonen har til hensikt å utvikle og forbedre sin personverndrift, inkludert eventuelle endringer som må gjøres.
Alle vurderinger bør dokumenteres grundig for fremtidig analyse, og for å sikre kontinuitet fra en anmeldelse til den neste.
Støttekontroller fra ISO 27001 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27001-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 5.7.1 | Overvåking, måling, analyse og evaluering |
9.1 – Overvåking, måling, analyse og evaluering for ISO 27001 |
none |
| 5.7.2 | Internrevisjon |
9.2 – Internrevisjon for ISO 27001 |
none |
| 5.7.3 | Gjennomgang av ledelsen |
9.3 – Ledergjennomgang for ISO 27001 |
none |
Hvordan ISMS.online hjelper
ISMS.online-plattformen har innebygd veiledning i hvert trinn kombinert med vår 'Adopter, Adapt, Add' implementeringstilnærming, slik at innsatsen som kreves for å oppnå ISO 27701 er betydelig redusert.
Du vil også dra nytte av en rekke kraftige tidsbesparende funksjoner.
Utforsk fordelene med ISMS.online by bestille en demo.
