ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.5: Styrking av personvernet gjennom kapitalforvaltning
Asset management er en sentral del av å opprettholde personvernet, på et fysisk og digitalt nivå.
Organisasjoner må opprettholde krystallklare registre over alle relevante eiendeler, for å få en ovenfra og ned oversikt over hvordan PII og personvernrelaterte data flyter gjennom organisasjonen.
Personell som bruker en eiendel innenfor en organisasjons IKT som har evnen til å lagre eller behandle PII, bør gjøres eksplisitt oppmerksom på hva som forventes av dem når det gjelder akseptabel bruk og hvordan slik informasjon administreres i en off-boarding-periode.
Hva dekkes av ISO 27701 klausul 6.5
ISO 27701 6.5 inneholder fire underklausuler som spesifikt omhandler personvern, innenfor rammen av kapitalforvaltning.
Hver underklausul er avhengig av veiledningen innenfor ulike underklausuler i ISO 27002, med to underklausuler som inneholder nøyaktig samme veiledningspunkter:
- ISO 27701 6.5.1.1 – Inventar av eiendeler (Referanser ISO 27002 Kontroll 5.9).
- ISO 27701 6.5.1.2 – Eierskap til eiendeler (Referanser ISO 27002 Kontroll 5.9).
- ISO 27701 6.5.1.3 – Akseptabel bruk av eiendeler (Referanser ISO 27002 Kontroll 5.10).
- ISO 27701 6.5.1.4 – Return of assets (References ISO 27002 Control 5.11).
ISO gir ingen tilleggsveiledning for PIMS-relaterte aktiviteter, innenfor omfanget av kapitalforvaltning, og det er heller ingen GDPR-konsekvenser å ta hensyn til.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.5.1.1 – Inventar av eiendeler
Referanser ISO 27002 Kontroll 5.9
Kategorisering av varelager
For å øke personvernet bør organisasjoner opprettholde en nøyaktig, oppdatert, dokumentert liste over informasjon og eiendeler, inkludert muligheten til å referere til varelager på tvers av organisasjonen.
Det er flere måter organisasjoner kan forbedre sin lagerdrift på, inkludert:
- Regelmessig gjennomgang av innholdet i en inventar, opp mot det som faktisk er i organisasjonen.
- Når en eiendel endres, introduseres eller fjernes av organisasjonen, implementere prosedyrer som automatisk oppdaterer beholdningen som en del av endringsprosessen.
- Sikre at varelager inneholder et "sted"-felt, for enkelt å identifisere hvor hver eiendel befinner seg.
Varelager trenger ikke å være én stor liste over alle fysiske og digitale eiendeler. I stedet oppfordrer ISO organisasjoner til å skille ut varelager på en kategori-for-kategori basis, inkludert separate varelager for:
- Informasjonsressurser.
- Hardware og software.
- Virtuelle maskiner (VM).
- Fasiliteter utstyr.
- Personaljournaler.
Det er viktig å merke seg at – når det gjelder visse eiendeler – ikke all informasjon kan vedlikeholdes regelmessig, og det er ikke behov for å inkludere hver siste eiendel på tvers av hele organisasjonens fysiske og digitale beholdning – f.eks. kortlivede VM-er som utføre et enkelt formål i kort tid, før det fjernes.
Eierskap
Alle kategoriserte eiendeler bør gis en offisiell 'eier' – det være seg en enkeltperson eller en gruppe (se ISO 27002 5.12 og 5.13) – som bør endres når jobbroller begynner, opphører eller endres.
Eiendelseiere bør sikre at:
- Alle eiendeler er korrekt registrert og klassifisert i en inventar.
- Klassifikasjoner er gjenstand for periodisk vurdering.
- Alle teknologikomponenter er oppført tilsvarende, og separat fra fysiske eiendeler (f.eks. DB-komponenter).
- Organisasjonen følger en policy for akseptabel bruk (se ISO 27002 kontroll 5.10).
- Det legges begrensninger på visse aktivaavklaringer, og gjennomgås på passende tidspunkt.
- Når organisasjonen trenger å slette eller fjerne data fra beholdningen, blir slike data kastet på en sikker måte.
- Risikostyring er front og sentrum for alle aktivahåndteringsaktiviteter.
- De tilbyr tilstrekkelig støtte til alt personell som er involvert i personvern og informasjonshåndtering.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.5.1.2 – Eierskap til eiendeler
Referanser ISO 27002 Kontroll 5.9
Se ISO 27701 klausul 6.5.1.1
ISO 27701 klausul 6.5.1.3 – Akseptabel bruk av eiendeler
Referanser ISO 27002 Kontroll 5.10
Alt personell i organisasjonen som håndterer informasjon eller fysiske og digitale eiendeler bør gjøres eksplisitt oppmerksomme på sitt ansvar overfor personvern, inkludert eventuelle generelle eller emnespesifikke sikkerhetskrav.
Retningslinjer for akseptabel bruk bør tydelig skissere:
- Hvordan organisasjonen klassifiserer akseptabel og uakseptabel atferd, innenfor rammen av personvern.
- Hvordan informasjon (spesielt PII) tillates brukt på tvers av nettverket.
- Hvordan organisasjonen har til hensikt å overvåke bruken av eiendeler.
Det bør implementeres prosedyrer som tar hensyn til hele livssyklusen til PII, inkludert:
- Tilgangsbegrensninger som er relevante for PII.
- En klar og oppdatert oversikt over hvem som har tilgang til PII-data og relaterte eiendeler, og under hvilke omstendigheter.
- Tilstrekkelige nivåer av sikkerhet og lagring for PII-data – inkludert midlertidige kopier.
- Ta hensyn til produsentens anbefalinger ved lagring av eiendeler knyttet til personvern (se ISO 27002 7.8).
- Merk alle lagringsmedier tydelig med detaljene til den autoriserte brukeren/mottakeren (se ISO 27002 7.10).
- Hvordan PII-data og tilhørende eiendeler fjernes fra nettverket og/eller slettes og kastes.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.5.1.4 – Return of Assets
Referanser ISO 27002 Kontroll 5.11
Asset management-prosedyrer må også inkludere eksplisitte retningslinjer for hvordan organisasjonen administrerer returen av eiendeler som har vært involvert i behandlingen eller lagringen av PII, og annen personvernrelatert informasjon.
Enten personell har brukt sine egne enheter, eller har blitt tildelt et organisasjonsmiddel, må det settes på plass prosesser som ivaretar PII ved å fjerne data fra den aktuelle ressursen og overføre informasjon tilbake til organisasjonen.
Hvis personell er underlagt en oppsigelsesfrist, bør organisasjoner ta skritt for å sikre at PII ikke blir kompromittert på noen måte av den off-boarding-ansatte – inkludert uautorisert deling, overføring eller sletting.
Organisasjoner bør utvikle arbeidsflyter som dekker retur av alle eiendeler involvert i behandling eller lagring av PII, inkludert (men ikke begrenset til):
- Enheter (bærbare datamaskiner, mobiler, nettbrett osv.).
- USB-stasjoner.
- Autentiseringsverktøy og maskinvare (VPN-valideringsressurser og tokens, utstyr for inngangsdør/lokale.
- Papirkopier av PII.
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.5.1.1 | Inventar av eiendeler |
5.9 – Inventar over informasjon og andre tilknyttede eiendeler for ISO 27002 |
none |
| 6.5.1.2 | Eierskap av eiendeler |
5.9 – Inventar over informasjon og andre tilknyttede eiendeler for ISO 27002 |
none |
| 6.5.1.3 | Akseptabel bruk av eiendeler |
5.10 – Akseptabel bruk av informasjon og andre tilknyttede eiendeler for ISO 27002 |
none |
| 6.5.1.4 | Retur av eiendeler |
5.11 – Return of Assets for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Hvordan hjelper vi?
Ved å legge til en PIMS til ISMS-en din på ISMS.online-plattformen, forblir sikkerhetsstillingen din alt-på-ett-sted, og du vil unngå duplisering der standardene overlapper hverandre.
Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27002 og ISO 27701 ved å trykke på en knapp.
Finn ut hvor mye tid og penger du vil spare på reisen din til en kombinert ISO 27002- og 27701-sertifisering ved å bruke ISMS.online.
Finn ut mer av bestille en praktisk demo.
