ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå klausul 6.3: Organisere informasjonssikkerhet effektivt
Personvern bør administreres som en konsept, samt en operativ realitet.
Organisasjoner bør vurdere personvern ikke bare når det gjelder systemene de bruker for å beskytte data, men også i måten de administrerer individene som får tilgang til PII, og hvordan personvernet behandles sammen med andre forretningsfunksjoner, for eksempel prosjektledelse.
ISO 27701 6.3 skisserer hvordan organisasjoner kan administrere personvern som en ende-til-ende-prosess, og omfatter faktorene ovenfor.
Hva dekkes av ISO 27701 klausul 6.3
ISO 27701 6.3 inneholder tre underklausuler som inkluderer personvernspesifikk veiledning, tilpasset fra tre støtteklausuler i ISO 27002:
- ISO 27701 6.3.1.1 – Informasjonssikkerhetsroller og -ansvar (referanser ISO 27002 kontroll 5.2)
- ISO 27701 6.3.1.2 – Oppdeling av oppgaver (Referanser ISO 27002 kontroll 5.3)
- ISO 27701 6.3.1.5 – Informasjonssikkerhet i prosjektledelse (Referanser ISO 27002 kontroll 5.8)
Ytterligere PIMS-spesifikke veiledninger knyttet til behandling av PII finnes i punkt 6.3.1.1, som også er knyttet til artikler i GDPR-lovgivningen.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.3.1.1 – Informasjonssikkerhetsroller og -ansvar
Referanser ISO 27002 Kontroll 5.2
Organisasjoner bør definere roller og ansvar som er spesifikke for individuelle funksjoner i deres retningslinjer for personvern - både deres generelle retningslinjer og emnespesifikke retningslinjer.
Personer med spesifikke ansvarsområder bør være dyktige nok til å utføre personvernrelaterte oppgaver, og bør tilbys kontinuerlig støtte som opprettholder et akseptabelt kompetansenivå.
Ansvarsområder bør omfatte:
- Beskyttelse av PII og eventuelle personvernrelaterte eiendeler.
- Utføre personvernprosedyrer.
- PII-relaterte risikostyringsaktiviteter, inkludert korrigerende tiltak.
- Alle som bruker organisasjonens informasjon og data, herunder bruk av IKT-midler.
- Personer med toppnivåansvar for personvern som delegerer oppgaver til andre.
ISO erkjenner at hver organisasjon er unik i måten de behandler informasjon på. De ovennevnte ansvarsområdene bør ledsages av sted- og anleggsspesifikke retningslinjer som tar hensyn til virkelige faktorer som påvirker en organisasjons PII-behandlingsoperasjon.
Alle de ovennevnte ansvarsområdene og sikkerhetsområdene bør være tydelig dokumentert og gjøres tilgjengelig for alle relevante ansatte.
Ytterligere PIMS-spesifikk veiledning
Organisasjoner bør nominere en person som kunder (og eksterne myndigheter) kan bruke som et dedikert kontaktpunkt for alle PII-relaterte saker (se ISO 27701 7.3.2).
I tillegg bør organisasjoner delegere ansvar til en eller flere enkeltpersoner for å bygge et organisatorisk program for personvernstyring som styrker overholdelse av lokaliserte og nasjonale PII-lover og -forskrifter.
Gjeldende GDPR-artikler
- Artikkel 27 – (1), (2) (a), (2) (b), (3), (4), (5)
- Artikkel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artikkel 38 – (1), (2), (3), (4), (5), (6)
- Artikkel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Støtteklausuler
- ISO 27701 klausul 7.3.2
ISO 27701 klausul 6.3.1.2 – Oppdeling av oppgaver
Referanser ISO 27002 Kontroll 5.3
I en organisasjon med mange ulike personvernrelaterte roller, kan ansvar og plikter ofte komme i konflikt med hverandre.
Enkeltpersoner kan ofte utføre roller som har potensial til å kompromittere PII, i kraft av at de enten er den eneste autoriteten eller mangler ledelsesovervåking.
Ansvar bør adskilles for å sikre en mer robust personvernoperasjon. Eksempler på roller som kan inneholde konflikter inkluderer:
- Be om, godkjenne eller implementere en endring i PIMS.
- Gjør endringer i tilgangsrettigheter, inkludert RBAC.
- Skrive eller endre kode, eller utføre noen form for applikasjonsutvikling.
- Bruke applikasjoner eller databaser som omhandler behandling og/eller lagring av PII.
- Utforming, godkjenning og/eller gjennomgang av personvernkontroller.
Segregeringskontroller bør utvikles med tanke på ulike faktorer:
- Forebygging av samarbeid.
- Identifisere konflikter.
- Overvåking av aktiviteter.
- Lage revisjonsspor.
- Automatisering av prosessen med å identifisere konflikter.
ISO erkjenner at mindre organisasjoner kan finne det vanskelig å skille roller, gitt deres begrensede ressurser, men hele konseptet med segregering bør likevel forfølges så langt det er kommersielt og operasjonelt mulig.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.3.1.5 – Informasjonssikkerhet i prosjektledelse
Referanser ISO 27002 Kontroll 5.8
I tillegg til den daglige gjentakende inntektsgenereringen, bør personvernet også omfatte prosjektimplementering og styringsaktiviteter.
Prosjekter inkluderer ofte migrering, opprettelse og endring av store mengder PII, og som sådan bør de vurderes tilstrekkelig for at organisasjoner skal opprettholde samsvar med lokaliserte og nasjonale personvernrelaterte lover og regulatoriske retningslinjer.
Et «prosjekt» kan være enhver aktivitet som endrer en standard måte å jobbe på, eller introduserer ny prosess og/eller utstyr og applikasjoner til en organisasjon.
Prosjektledelsesaktiviteter bør sikre at:
- Personvernrisikoer og -krav tas i betraktning tidlig i prosjektet, og opprettholdes gjennom hele prosjektets livssyklus (se ISO 27002, punkt 5.32 og 8.26).
- Personvern blir kontinuerlig overvåket og ivaretatt – ved formelle evalueringer av egnede personer eller styringsorganer, og strukturerte tester.
- Alle roller knyttet til prosjektspesifikk personvern er klart definert.
- Eventuelle produkter eller tjenester som skal leveres som en del av prosjektet bør opprettes i samsvar med organisasjonens publiserte personvernstandarder.
- Personvernet styrkes gjennom metoder som trusselmodellering, hendelsesvurderinger, sårbarhetsterskler og beredskapsplanlegging.
Personverntiltak bør ikke begrenses til IKT-prosjekter. Organisasjoner bør vurdere en rekke faktorer når de fastsetter spesifikke PII-relaterte krav, inkludert:
- De unike informasjonsvariablene, inkludert hva spesifikke data innebærer, dens sikkerhetsbehov og konsekvensene av et brudd eller misbruk.
- Trygghetene som må søkes når det gjelder konfidensialitet, integritet og tilgjengelighet.
- Tildeling av tilgangsrettigheter og autorisasjonsprotokoller for internt og eksternt personell (inkludert kunder).
- Sette klare forventninger som informerer brukerne om deres forpliktelser.
- Kravene til andre interne sikkerhetskontroller.
- Eventuelle systemrelaterte handlinger som kreves på grunn av operasjonelle aktiviteter (f.eks. transaksjonslogging).
- Opprettholde overholdelse av juridiske, regulatoriske og kontraktsmessige krav.
- Tredjeparts kontraktsforpliktelser som er på linje med organisasjonens egne personvernstandarder.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.3.1.1 | Informasjonssikkerhetsroller og ansvar |
5.2 – Informasjonssikkerhetsroller og ansvar for ISO 27002 |
Artikler (27), (37), (38), (39) |
| 6.3.1.2 | Ansvarsfordeling |
5.3 – Oppdeling av oppgaver for ISO 27002 |
none |
| 6.3.1.5 | Informasjonssikkerhet i prosjektledelse |
5.8 – Informasjonssikkerhet i prosjektledelse for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Våre ISMS.online-løsninger gjør det enkelt for organisasjoner å oppnå prosjekttilsyn, og sikrer at databehandleren og databehandlerens retningslinjer og prosedyrer er i tråd med ISO-standarden.
Vårt nettbaserte system sikrer også at systemimplementere har ett enkelt sted for referanse og samarbeid.
Vår Assured Results Method (ARM) gjør at du kan være trygg på at du krysser av for alle boksene du trenger for å overholde standarden.
Finn ut mer og få en praktisk demonstrasjon av bestille en demo.
