ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Oppnå samsvar med ISO 27701 klausul 6.15: En komplett oversikt
Overholdelse er en viktig del av enhver personvernoperasjon – organisasjoner må kunne demonstrere at de oppfyller sine forpliktelser overfor PII, og systemene som brukes til å lagre og behandle personvernrelatert materiale.
Hva dekkes av ISO 27701 klausul 6.15
ISO 27701 6.15 omhandler overholdelse på to hovedområder – overholdelse av juridiske og kontraktsmessige kravog gjennomganger av informasjonssikkerhet (sistnevnte er hovedredskapet for å avdekke tilfeller av manglende overholdelse, og løse eventuelle personvernrelaterte problemer).
- ISO 27701 6.15.1.1 – Identifikasjon av gjeldende lovgivning og kontraktskrav (ISO 27002 Kontroll 5.31)
- ISO 27701 6.15.1.2 – Immaterielle rettigheter (ISO 27002 kontroll 5.32)
- ISO 27701 6.15.1.3 – Beskyttelse av poster (ISO 27002 kontroll 5.33)
- ISO 27701 6.15.1.4 – Personvern og beskyttelse av personlig identifiserbar informasjon (ISO 27002 Control 5.34)
- ISO 27701 6.15.1.5 – Regulering av kryptografiske kontroller (ISO 27002 kontroll 5.31)
- ISO 27701 6.15.2.2 – Samsvar med sikkerhetspolicyer og standarder (ISO 27002 Control 5.36)
- ISO 27701 6.15.2.3 – Teknisk samsvarsgjennomgang (ISO 27002 kontroll 5.36)
Fire underklausuler inneholder informasjon som er relevant for Storbritannia GDPR lovgivning – vi har gitt artikkelreferansene under hver underklausul for enkelhets skyld:
- ISO 27701
- ISO 27701
- ISO 27701
- ISO 27701
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.15.1.1 – Identifikasjon av gjeldende lovgivning og kontraktskrav
Referanser ISO 27002 Kontroll 5.31
Organisasjoner bør overholde juridiske, lovpålagte, regulatoriske og kontraktsmessige krav når:
- Utforming og/eller endring av sikkerhetsprosedyrer for personverninformasjon.
- Kategorisering av informasjon.
- Ta fatt på risikovurderinger knyttet til aktiviteter for personverninformasjonssikkerhet.
- Å bygge leverandørforhold, inkludert eventuelle kontraktsmessige forpliktelser gjennom hele forsyningskjeden.
Lovgivende og regulatoriske faktorer
Organisasjoner bør følge prosedyrer som tillater dem identifisere, analysere og forstå lov- og reguleringsforpliktelser – spesielt de som er opptatt av personvern og PII – uansett hvor de opererer.
Organisasjoner bør kontinuerlig være oppmerksomme på sine personvernforpliktelser når de inngår nye avtaler med tredjeparter, leverandører og kontraktører.
Kryptografi
Når organisasjoner implementerer krypteringsmetoder for å styrke personvernet og beskytte PII, bør organisasjoner:
- Overhold alle lover som regulerer import og eksport av maskinvare eller programvare som har potensial til å oppfylle en kryptografisk funksjon.
- Gi tilgang til kryptert informasjon i henhold til lovene i jurisdiksjonen de opererer innenfor.
- Bruk tre nøkkelelementer for kryptering:
- Digitale signaturer.
- Sel.
- Digitale sertifikater.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
- Artikkel 28 – (1), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) (f), ( 3)(g), (3)(h)
- Artikkel 30 – (2)(d)
- Artikkel 32 – (1)(b)
Relevante ISO 27002 kontroller
- ISO 27002
ISO 27701 klausul 6.15.1.2 – Immaterielle rettigheter
Referanser ISO 27002 Kontroll 5.32
For å beskytte data, programvare eller eiendeler som kan anses som intellektuell eiendom (IP), bør organisasjoner:
- Følg en "emnespesifikk" policy som omhandler IP-rettigheter, som tar hensyn til IP fra sak til sak.
- Følg prosedyrer som definerer hvordan IP-integritet kan opprettholdes mens du bruker organisatorisk programvare og produkter.
- Bruk kun anerkjente kilder for å anskaffe programvare når du kjøper, leier eller leaser programvare og programvareabonnement.
- Ta vare på dokumentasjon på eierskap (elektronisk eller fysisk).
- Overhold grensene for programvarebruk.
- Gjennomgå periodiske programvaregjennomganger for å unngå å bruke uautoriserte eller potensielt skadelige applikasjoner.
- Sørg for at programvarelisenser er gyldige og oppdaterte, og at retningslinjer for rettferdig bruk blir fulgt.
- Utkast til prosedyrer som sikrer sikker og forskriftsmessig avhending av programvareressurser.
- (Når det er snakk om kommersielle opptak), sørg for at ingen del av opptaket trekkes ut, kopieres eller konverteres på noen uautorisert måte.
- Sørg for at tekstdata blir vurdert sammen med digitale medier.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.15.1.3 – Beskyttelse av poster
Referanser ISO 27002 Kontroll 5.33
Organisasjoner bør vurdere postadministrasjon på tvers av 4 nøkkelområder:
- Autentisitet
- Pålitelighet
- Integritet
- Brukbarhet
For å opprettholde et funksjonelt journalsystem som ivaretar PII og personvernrelatert informasjon, bør organisasjoner:
- Publiser retningslinjer som omhandler:
- Oppbevaring.
- Håndtering (chain of custody).
- Avhending.
- Forhindrer manipulasjon.
- Angi hvor lenge hver posttype skal beholdes.
- Følg alle lover som omhandler journalføring.
- Overhold kundenes forventninger i hvordan organisasjoner skal håndtere sine poster.
- Ødelegg poster når de ikke lenger er nødvendige.
- Klassifiser poster basert på deres sikkerhetsrisiko, for eksempel:
- Regnskap.
- Forretningstransaksjoner.
- Personaljournaler.
- Lovlig
- Sørg for at de er i stand til å hente journaler innen et akseptabelt tidsrom, hvis de blir bedt om det av en tredjepart eller rettshåndhevelsesbyrå.
- Følg alltid produsentens retningslinjer når du lagrer eller håndterer poster på elektroniske mediekilder.
Gjeldende GDPR-artikler
- Artikkel 5 – (2)
- Artikkel 24 – (2)
ISO 27701 klausul 6.15.1.4 – Personvern og beskyttelse av personlig identifiserbar informasjon
Referanser ISO 27002 Kontroll 5.34
Organisasjoner bør behandle PII som en emnespesifikk konsept som må behandles innenfor rekkevidden av en rekke distinkte forretningsfunksjoner.
Først og fremst bør organisasjoner implementere retningslinjer som imøtekommer tre hovedaspekter ved PII-behandling og lagring:
- Bevaring
- Privatliv
- beskyttelse
Organisasjoner bør sikre at alle ansatte er klar over sine forpliktelser til å håndtere PII, ikke bare de som møter det daglig som en del av jobben deres.
Personvernansvarlige
Organisasjoner bør utnevne en personvernansvarlig, hvis jobb det er å gi veiledning til ansatte og tredjepartsorganisasjoner om emnet PII, i tillegg til å gi råd til toppledelsen om hvordan man opprettholder integriteten og tilgjengeligheten til personverninformasjon.
ISO 27701 klausul 6.15.1.5 – Regulering av kryptografiske kontroller
Referanser ISO 27002 Kontroll 5.31
Se ISO 27701 klausul 6.15.1.1
ISO 27701 klausul 6.15.2.1 – Uavhengig gjennomgang av informasjonssikkerhet
Referanser ISO 27002 Kontroll 5.35
Organisasjoner bør utvikle prosesser som tar hensyn til uavhengige gjennomganger av deres personverninformasjonssikkerhetspraksis, inkludert både emnespesifikke retningslinjer og generelle retningslinjer.
Vurderinger bør utføres av:
- Internrevisorer.
- Selvstendige avdelingsledere.
- Spesialiserte tredjepartsorganisasjoner.
Vurderinger bør være uavhengige og utføres av personer med tilstrekkelig kunnskap om retningslinjer for personvern og organisasjonens egne prosedyrer.
Anmeldere bør fastslå om praksis for personverninformasjon er i samsvar med organisasjonens "dokumenterte mål og krav".
I tillegg til strukturerte periodiske gjennomganger, kan organisasjoner komme over behovet for å gjennomføre ad hoc-gjennomganger som utløses av visse hendelser, inkludert:
- Etter endringer i interne retningslinjer, lover, retningslinjer og forskrifter som påvirker personvernet.
- Etter store hendelser som har påvirket personvernet.
- Hver gang en ny virksomhet opprettes, eller det vedtas store endringer i den nåværende virksomheten.
- Etter innføringen av et nytt produkt eller en tjeneste som omhandler personvern på noen måte.
Gjeldende GDPR-artikler
- Artikkel 32 – (1)(d), (2)
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.15.2.2 – Samsvar med sikkerhetspolicyer og standarder
Referanser ISO 27002 Kontroll 5.36
Organisasjoner må sikre at personell er i stand til å gjennomgå personvernregler på tvers av hele spekteret av forretningsdrift.
Ledelsen bør utvikle tekniske metoder for rapportering om overholdelse av personvern (inkludert automatisering og skreddersydde verktøy). Rapporter bør registreres, lagres og analyseres for ytterligere å forbedre innsatsen for PII-sikkerhet og personvern.
Når samsvarsproblemer oppdages, bør organisasjoner:
- Fastslå årsaken.
- Bestem deg for en metode for korrigerende tiltak for å tette og samsvarshull.
- Gå tilbake til problemet etter en passende periode for å sikre at problemet er løst.
Det er svært viktig å iverksette korrigerende tiltak så raskt som mulig. Hvis problemene ikke er fullstendig løst ved neste gjennomgang, bør det som et minimum fremlegges bevis som viser at det gjøres fremskritt.
ISO 27701 klausul 6.15.2.3 – Teknisk samsvarsgjennomgang
Referanser ISO 27002 Kontroll 5.36
Se ISO 27701 klausul 6.15.2.2
Gjeldende GDPR-artikler
- Artikkel 32 – (1)(d), (2)
Støttekontroller fra ISO 27002 og GDPR
Hvordan ISMS.online hjelper
ISO 27701 er ikke bare et rammeverk for organisasjoner å ta i bruk; det betyr å tilpasse måten folk forstår, kommuniserer med og samhandler med data.
Hos ISMS.online har vi designet systemet vårt slik at du og dine ansatte kan dra nytte av vårt brukervennlige grensesnitt for å dokumentere din ISO-reise.
Vi tilbyr også videoressurser og tilgang til informasjonssikkerhetseksperter for å hjelpe deg med å integrere standarder i bedriften din.
Finn ut mer av bestille en praktisk demo.
