ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Nøkkelelementer i klausul 6.2: Policyrammeverk for PII-beskyttelse
Retningslinjer for personvern gir et operativt rammeverk for organisasjoner til å oppføre seg som en ansvarlig behandlingsansvarlig, og gir personalet opplæring i deres daglige forpliktelser når det gjelder PII.
Policydokumentasjon må godkjennes av toppledelsen og kommuniseres til personalet slik at alle i organisasjonen jobber mot det samme settet med PII-relaterte veiledende prinsipper.
Hva dekkes av ISO 27701 klausul 6.2
ISO 27701 6.2 inneholder to underklausuler som gir spesifikk veiledning for personvern:
- ISO 27701 6.2.1.1 – Retningslinjer for informasjonssikkerhet (Referanser ISO 27002 Kontroll 5.1)
- ISO 27701 6.2.1.2 – Gjennomgang av policyene for informasjonssikkerhet (Referanser ISO 27002 Control 5.1)
Som med andre klausuler i standarden, ISO 27701 klausul 6.2 refererer tilbake til ISO 27002 når de skisserer hvordan organisasjoner skal håndtere PII og PIMS-relatert informasjon.
Ordlyden i ISO 27701 6.2 inneholder referanser til ISO 27002:2013, men denne standarden er nå erstattet med en mer oppdatert versjon – ISO 27002:2022. Der det refereres til klausuler i ISO 27002:2013, har vi kryssreferanser til sitater med deres oppdaterte versjoner i ISO 27002:2022.
For dette formål er ISO 27701 6.2 knyttet til to standarder fra ISO 27002:2013 (5.1.1 og 5.1.2) som er slått sammen til én enkelt standard innenfor ISO 27002:2022 (5.1).
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.2.1.1 – Retningslinjer for informasjonssikkerhet
Referanser ISO 27002 Kontroll 5.1
ISO tar til orde for en tofronts-tilnærming til organisatorisk personvern som inkluderer:
- En generell personvernpolicy.
- Emnespesifikke retningslinjer for personvern.
Begge typer policyer kan enten kombineres til ett dokument, eller skilles ut etter organisasjonen.
Retningslinjer bør formidles til alle relevante ansatte (og eksternt personell, om nødvendig), for å sikre kontinuerlig overholdelse av interne og eksterne krav til personvern.
Alle som mottar en polise bør bes om å bekrefte, helst skriftlig, at de både forstår hva de blir bedt om, og er villige til å etterkomme.
Retningslinjer bør gjennomgås når det gjøres endringer i:
- Forretningsstrategi.
- Driftspraksis/tekniske miljøer.
- Eventuelle lover (inkludert GDPR), regulatoriske bestemmelser eller generelle PII-relaterte retningslinjer som organisasjonen har et ansvar for å følge.
- Personvernrisikonivåer og det rådende/projiserte trussellandskapet.
Emnespesifikke retningslinjer
En emnespesifikk tilnærming til personvern gir organisasjoner frihet til å håndtere individuelle elementer i deres databehandlings-/informasjonssikkerhetsoperasjoner på et emne-for-emne-basis, med en egen policy for hver.
Temaspesifikke områder kan omfatte IKT-funksjoner som tilgangskontroll, nettverkssikkerhet, BUDR-planlegging og krypteringsprosesser.
Hver temaspesifikk policy bør lages i tråd med organisasjonens overordnede personvernpolicy, og være utarbeidet av avdelingspersoner (ikke nødvendigvis toppledelsen) som har relevant ekspertise og kompetanse på området for vurdering.
Generelle retningslinjer for personvern
Seniorledelsen bør etablere en personvernpolicy på toppnivå som tydelig skisserer prosessene og de praktiske trinnene som vil bli tatt for å ivareta PII. Organisatoriske retningslinjer for personvern bør inneholde informasjon fra, og forbli relevant for:
- Den overordnede forretningsstrategien.
- Eventuelle gjeldende regulatoriske, juridiske eller kontraktsmessige krav.
- Eventuelle klare og tilstedeværende personvernrisikoer.
Retningslinjer for personvern bør definere organisasjonens:
- Operasjonell definisjon av personvern.
- Uttrykte personvernmål.
- Bredere sett med styrende prinsipper knyttet til beskyttelse av PII.
- Engasjement for å oppfylle deres PII-relaterte mål, og forbedre dem på en kontinuerlig basis.
- Tilnærming til å delegere ansvaret for hele eller deler av personvernpolicyen til de aktuelle rolletypene.
- Tilnærming til å håndtere unntak fra politikken.
- Planer for at toppledelsen skal gjennomgå og godkjenne endringer.
Ytterligere PII-spesifikk veiledning
Organisasjoner bør implementere retningslinjer og prosedyrer som spesifikt omhandler enhver gjeldende PII-relatert lovgivning, regulatoriske retningslinjer eller kontraktsmessige avtaler. Der tredjepartsorganisasjoner er involvert, bør retningslinjer tydelig skissere PII-ansvar på begge sider.
Gjeldende GDPR-artikler
- Artikkel 24 – (24)(2)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.2.1.2 – Gjennomgang av retningslinjer for informasjonssikkerhet
Referanser ISO 27002 Kontroll 5.1
ISO 27701 klausul 6.2.1.2 inneholder nøyaktig samme veiledning som ISO 27701 klausul 6.2.1.1, uten ytterligere PII-relaterte krav.
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.2.1.1 | Retningslinjer for informasjonssikkerhet |
5.1 – Retningslinjer for informasjonssikkerhet for ISO 27002 |
Artikkel (24) |
| 6.2.1.2 | Gjennomgang av retningslinjer for informasjonssikkerhet |
5.1 – Retningslinjer for informasjonssikkerhet for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Det kan være vanskelig å vite hvor du skal begynne med ISO 27701, spesielt hvis du aldri har vært nødt til å gjøre noe lignende før. Det er her ISMS.online kommer inn!
Våre ISO 27701-løsninger gir rammeverk som lar organisasjonen din demonstrere samsvar med ISO 27701.
Våre informasjonssikkerhetseksperter kan samarbeide med deg for å sikre at du utvikler en logisk implementeringsprosess som er på linje med det elektroniske dokumentasjonsrammeverket.
Finn ut mer og få en praktisk demonstrasjon av bestille en demo.
