Miten lähestyimme ISO 27701 -auditointiamme ja onnistuimme ensimmäistä kertaa

Vuoden 2022 lopussa kävimme läpi samanaikaisen sertifiointiprosessin ISO 27701, tietosuojastandardi ja uudelleensertifiointi ISO 27001, tietoturvastandardi. Jälkimmäistä sertifikaattia olemme pitäneet menestyksekkäästi yli kymmenen vuoden ajan. Ja nyt meillä on ilo kertoa, että saavutimme onnistuneesti molemmat sertifikaatit ilman poikkeamia. 

Miksi halusimme toimittaa ja saavuttaa kaksi haastavinta standardia samaan aikaan? Kuulemme sinun kysyvän! Päätimme sijoittaa rahamme sinne, missä suumme on ja käyttää uutta alustatarjontaamme, SPOT:ia. Suunnittelimme SPOT:n helpottamaan ISO 27001:n ja ISO 27701:n käyttöönottoa yhdistämällä saumaton tietoturvan hallintajärjestelmä (ISMS) ja yksityisyyden tietohallintajärjestelmä (PIMS) "yhdeksi totuuden paikaksi" tai lyhennettynä Spotiksi. Löydät lisää SPOT:sta sivuiltamme aikaisempi blogi. 

Projektin toimituksen ja auditoinnin aikana tiimimme piti päiväkirjaa kokemuksistaan ​​ja ajatuksistaan ​​PIMS:n perustamisesta ja ISMS:n uudelleensertifioinnista, joten päätimme jakaa nämä kokemukset kanssasi. Toivomme, että se on hyödyllinen ja oivaltava, ja jos sinulla on kysyttävää, ota yhteyttä. rakastamme keskustella kaikista vaatimustenmukaisuudesta. 

Mikä on ISO 27701 

Ennen kuin pääsemme kokemaan ISMS:n ja PIMS:n rakentamisen, valmistelun ja auditoinnin kokemuksia, on parasta luoda tilanne ja eritellä tarkalleen, mitä ISO 27701 on. 

ISO 27701 on yksityisyyden laajennus ISO 27001 -standardiin, joka on kansainvälisesti tunnustettu tietoturvan hallinnan viitekehys. ISO 27701 -standardi tarjoaa ohjeita ja vaatimuksia tietosuojatietojen hallintajärjestelmän (PIMS) käyttöönotolle ja ylläpitämiselle olemassa olevan tietoturvallisuuden hallintajärjestelmän (ISMS) puitteissa.

Miksi organisaatioiden tulisi ottaa käyttöön ISO 27701? 

Vaikka se on suhteellisen uusi alalla – se otettiin käyttöön elokuussa 2019 – sen suosio on kasvanut nopeasti maailmanlaajuisesti, ja monet organisaatiot ovat päättäneet ottaa standardin käyttöön maantieteellisten alueellisten määräysten, kuten esim. GDPR ja POPIA, joka voidaan suurelta osin mukauttaa ISO 27701 -säätimiin.  

Yksinkertaisemmin sanottuna digitaalisen muutoksen kasvuvauhti on johtanut arkaluontoisemman tiedon tallentamiseen ja jakamiseen verkossa kuin koskaan ennen. Tietomäärän kasvaessa siitä tulee sekä tuottoisa kohde kyberrikollisille että keskeinen huolenaihe kuluttajille ja yrityksille sen turvallisuuden varmistamisessa. Samaan hengenvetoon globaalien säädösten, kuten GDPR, CCPA ja HIPAA, tarkoittaa, että organisaatioilla on myös laillinen vastuu asiakkaidensa yksityisten tietojen suojaamisesta. Kokonaisuutena on havaittavissa selvä liike kohti vaatimustenmukaisuutta, jossa tietoturvaa ei enää voi olla ilman tietosuojaa.

ISO 27701:n käyttöönoton edut ulottuvat muuhunkin kuin organisaatioiden auttamiseen säädösten ja vaatimustenmukaisuuden vaatimusten täyttämisessä. Näitä ovat vastuullisuuden ja avoimuuden osoittaminen sidosryhmille, asiakkaiden luottamuksen ja uskollisuuden parantaminen, yksityisyyden loukkausten riskin ja niihin liittyvien kustannusten vähentäminen sekä kilpailukyvyn lisääminen globaaleilla markkinoilla. 

Kuinka valmistauduimme tehokkaasti ISO 27701 -auditointiimme 

Valmistautuminen, kuten kaikissa projekteissa, on kriittistä. Suurin osa siitä, mitä teet organisaationa tässä vaiheessa, vaikuttaa lopullisen sertifiointiauditointisi onnistumiseen. Tietosuojavastaavamme Sam Peters tiesi tämän, sillä hän oli valmistautunut ja suorittanut auditointeja ISO 27001 -standardin osalta yli kymmenen vuotta. Uuden standardin, ISO 27701, ja ISO 27001 -standardin uudelleensertifioinnin samanaikainen hankkiminen oli kuitenkin uusi pohja hänelle ja organisaatiolle. , tilintarkastaja ja sertifiointielin. Sam myöntää avoimesti, "tämä oli hermoja raastava". 

• Jokainen matka alkaa ensimmäisestä askeleesta

Ensimmäinen askel Samille oli sopia projektin aikataulusta ja budjetista. Meille se oli kuuden kuukauden aikajana ja tiukka käänne, mutta tämä varmisti myös sen, että johtoryhmämme, joka käynnisti projektin, oli täysin mukana alusta alkaen ja sisälsi tietosuojan noudattamisen tärkeyden heti liiketoiminnan huipulla. . Se katsoi myös, että organisaation oli edelleen toimittava tavanomaisesti hankkeen aikana. ISMS:n ja PIMS:n perustamisen ei tarvitse olla kokopäivätyötä, varsinkaan kun oikea teknologia-alusta tukee ihmisiä ja prosesseja matkallasi. 

• Löytövaihe

Seuraava askel oli tuoda uudet ISO 27701 -säätimet olemassa olevaan ISMS:ään. Emme aloittaneet tyhjästä, koska käytimme tuotettamme kaiken sen hyllyltä saatavan sisällön kanssa. Oli yksinkertaista räätälöidä tämä sisältö organisaatiomme tarpeisiin. Yksi ISMS.online-alustan kanssa työskentelyn merkittävistä eduista on, että sen sisältämät työkalut vievät sinut pelin kärkeen heti laatikosta otettuna. 

Tämän jälkeen aloitimme yksityiskohtaiset keskustelut kaikkien liiketoimintamme asiaankuuluvien tiimien kanssa HR:stä, rahoituksesta ja markkinoinnista myyntiin ja menestykseen, jotta ymmärrämme hallussamme olevat tiedot, kuinka se liikkui yrityksen läpi ja käytetyt järjestelmät. Koska meillä oli jo ISMS, meillä oli omaisuusluettelo, joka oli erittäin hyödyllinen työkalu keskustelujen aloittamiseen kunkin tiimin kanssa. Olimme myös jo valmiiksi GDPR-yhteensopivia, joten olimme suorittaneet toimenpiteen luodaksemme ROPA-rekisterin, joka auttoi meitä jälleen puhuessamme kaikkien alan tiimien kanssa ja selvensi meille, että ISO 27701 -standardin mukaisesti ROPAmme tarvitsemme enemmän yksityiskohtia kuin meillä tällä hetkellä oli, mikä antaa meille selkeän työvirran, johon voimme keskittyä välittömästi. 

Sisäiset keskustelut auttoivat meitä tunnistamaan lähes välittömästi alueet, joilla voisimme tehdä parannuksia sekä virtaviivaistaa ja yksinkertaistaa prosesseja, kuten tietojen tallennuspaikat ja järjestelmät, joita käytimme tietojen saamiseksi ja käyttämiseksi. Tämä toi meille myös ISO 27701:n kaltaisten viitekehysten käytön lisäedut, sillä prosessi johti työnkulkujen virtaviivaistamiseen, mikä paransi toimintamme tehokkuutta entisestään. 

• Lyhenne Bit

Tästä työstä päivitetty ROPA antoi meille mahdollisuuden siirtyä tietosuojavaikutusten arviointiin (DPIA), jossa säätimme ne käyttöönottamiemme prosessien mukaisesti. Tämä johti hyödyllisiin oppimiseen siitä, miten teimme nämä organisaationa, koska ihmiset eivät usein tee näitä. Ymmärsimme mallipohjaisen lähestymistavan näihin asioihin, jotta kaikki tarvittavat voisivat poimia mallin ja toimittaa toimivan ja arvokkaan DPIA:n rajallisella kokemuksella, mikä oli menestyksen kannalta välttämätöntä. Tämä myös demokratisoisi, kuka ne voisi toteuttaa, ja vähentäisi laajemman infosec-tiimimme jäsenten työtaakkaa. 

Samille tämä prosessi osoitti myös sen, kuinka tärkeää on miettiä yksityisyyttä työssä tai projektissa mahdollisimman aikaisessa vaiheessa. On paljon helpompaa suunnitella yksityisyyttä ajatellen kuin palata jälkeenpäin ja yrittää muuttaa tai korjata jotain, kun tiedot saattavat olla jo yhdessä järjestelmässä tai olet ehkä allekirjoittanut sopimuksen toimittajan kanssa. 

Ajatus sisäänrakennetusta yksityisyydestä on olennainen jokaiselle organisaatiolle, joka haluaa sisällyttää yksityisyyden kulttuurin ja noudattaa kasvavaa määrää tietosuojalainsäädäntöä. Se on nyt osa ISO 27001- ja 27701-säätimiä.

• Valta ihmisille

Tähän asti tehty työ johti meidät luonnollisesti henkilöstön koulutukseen. ISO 27701 -kehys, kuten ISO 27001 -kehys, on enemmän kuin vain teknisten suojausten varmistaminen. Sen tavoitteena on juurruttaa yksityisyyden ja turvallisuuden kulttuuri organisaatioon. Ja todellakin, jos aiot tehdä työtä PIMS:n luomiseksi, puuttuisi huomattava temppu, jotta työntekijäsi eivät ymmärtäisi rooliaan tehokkaan tietosuojan tarjoamisessa. Voit myös epäonnistua auditoinnissa, jos tarkastaja kutsuu työntekijän osallistumaan, eikä hän voi vastata varmuudella kysymyksiin, jotka koskevat PIMS:n kanssa käyttöönottamasi prosesseja. 

Samille oli olennaista menestymisen kannalta tietosuojan tekeminen henkilökunnalle ja heidän tehtäviinsä. Oli tärkeää antaa henkilöstölle mahdollisuus nähdä, kuinka tietosuoja he ovat vastuussa ja miten tietosuoja vaikuttaa. Organisaation tietosuojatietojen hallintaa koskevien käytäntöjen ja menettelyjen kontekstualisoiminen sekä luottamuksellisuuden ja yksityisyyden säilyttäminen tietyissä rooleissa oli työ, joka vei aikaa, mutta paransi ymmärrystä ja toteutusta koko liiketoiminnassa. Tämä toiminta laajeni sitten ulkoiseen koulutukseen, tietosuojakäytäntömme päivittämiseen ja erityisten tietosuojakäytäntöjen luomiseen henkilöstölle ja mahdollisille hakijoille rekrytoinnin aikana. 

• Kerro meille, mitä todella ajattelet

Toiseksi viimeinen vaihe, jonka teimme ennakkotarkastuksessa, oli suorittaa tarkastus sisäinen tarkastus meidän PIMS. Tämä prosessi oli olennainen sen varmistamiseksi, että PIMS toimi suunnitellusti, täytti ISO 27701 -standardin vaatimukset ja tunnisti lisäparannuksia ennen sertifiointiauditointia. Tietosuojavastaavamme Sam pyysi, että sisäinen tarkastaja olisi meille erityisen ankara, ja niin hän varmasti teki. Tämä oli korvaamaton tilaisuus ratkaista kaikki ongelmat, jotta pystyimme luottavaisesti lähestymään sertifiointiauditointia tietäen, että PIMS-järjestelmämme täytti tiukat vaatimukset ja toimittaisi tarkastajan etsimän. 

Lopuksi tarkastusta valmistautuessamme pohdimme tarkasti, kuinka esittelemme PIMS:mme tarkastajalle ja kuinka tuomme muita ihmisiä yrityksen sisäpuolelta tarkastukseen tarpeen mukaan, varmistaen, että kriittiset jäsenet ovat saatavilla ja tiedotamme laajemmalle. mitä he voisivat odottaa saavansa tehdä, varmistaen, että he tunsivat olevansa tietoisia ja valmiita, jos heitä pyydetään.

Mitä odottaa ISO 27701 -auditoinnin aikana 

Tarkastuksen aikana tarkastaja haluaa käydä läpi joitakin PIMS:n avainalueita, kuten:

1. Organisaation käytännöt, menettelyt ja prosessit henkilötietojen hallintaa varten
2.  Arvioi tietosuojariskejäsi ja asianmukaisia ​​valvontatoimia arvioidaksesi, ovatko valvontasi tehokkaita havaittujen riskien vähentämisessä.
3. Arvioi yksityisyyttäsi vaaratilanteiden hallinta. Onko kykysi havaita, raportoida, tutkia ja reagoida tietosuojahäiriöihin riittävä
4. Tarkista kolmannen osapuolen tietosuojahallinta varmistaaksesi, että käytössäsi on riittävät hallintakeinot kolmannen osapuolen riskien hallitsemiseksi
5. Tarkista, että tietosuojakoulutusohjelmasi kouluttaa henkilöstöäsi riittävästi tietosuoja-asioissa
6. Tarkista organisaatiosi suorituskykymittarit varmistaaksesi, täyttävätkö ne tietosuojatavoitteet.

Näiden johdonmukaisten tarkastelualueiden lisäksi on muitakin huomioitavia seikkoja, kuten kuinka työskentelet tilintarkastajan kanssa. He ovat olemassa tunnistamaan vaatimustenmukaisuus, ja sinä näytät heille, kuinka täytät nämä vaatimukset. Siksi keskustelun johtaminen ja heidän ohjaaminen avainalueiden läpi on hyödyllistä tarkastajalle ja antaa hänelle mahdollisuuden tunnistaa lisäreitit ja toiminnot, joita he haluavat tarkastella. Sen pitäisi olla yhteistyöprosessi. 

Miksi ISO 27701:n ei pitäisi koskaan olla valintaruutuprosessi 

Osa ISMS.online eetos on, että yksinkertainen, kestävä tietoturva ja tietosuoja saavutetaan ihmisten, prosessien ja teknologian avulla. Pelkästään teknologiaan perustuva lähestymistapa ei koskaan onnistu. 

Pelkkä vaatimustenmukaisuus ei takaa tehokasta tietosuojan hallintaa. Pelkästään teknologiaan perustuva lähestymistapa keskittyy standardin vähimmäisvaatimusten täyttämiseen sen sijaan, että hallittaisiin tehokkaasti tietosuojariskejä pitkällä aikavälillä. Henkilökuntasi ja prosessisi vankan teknologian asennuksen ohella vievät sinut sarjan edellä ja parantavat merkittävästi tietosuojasi tehokkuutta verrattuna niihin, jotka luottavat tekniikkaan nopean mutta väliaikaisen ratkaisun saamiseksi. 

Se, mitä voitaisiin kutsua rastiruutuun, on usein seuraava:

• Sisällytä pintapuolinen riskiarviointi, joka voi jättää huomioimatta merkittäviä tietosuojariskejä
• Ohita keskeisten sidosryhmien yksityisyyttä koskevat huolenaiheet 
• Järjestä yleistä tietosuojakoulutusta, jota ei ole räätälöity organisaation erityistarpeisiin
• Suorita rajoitettua valvontaa ja yksityisyydensäätelyn tarkistusta, mikä voi johtaa havaitsemattomiin tietosuojahäiriöihin

Kaikki nämä avoimet organisaatiot mahdollisesti vahingollisiin rikkomuksiin, taloudellisiin seuraamuksiin ja mainevaurioihin asti. 

ISO 27701 Roadmap – Lataa nyt

Olemme luoneet käytännöllisen yksisivuisen tiekartan, joka on jaettu viiteen keskeiseen painopistealueeseen ISO 27701 -standardin saavuttamiseksi ja saavuttamiseksi yrityksessäsi. Lomaketta ei tarvitse täyttää. Lataa PDF-tiedosto jo tänään saadaksesi yksinkertaisen käynnistyksen matkallesi kohti tehokkaampaa tietosuojaa. 

Lataa nyt

Avaamme ISO 27701 -yhteensopivuusetumme ensimmäistä kertaa

ISO 27701 -sertifikaatin saaminen ja uudelleensertifiointi ISO 27001 -standardin mukaisesti ensimmäistä kertaa ilman poikkeamia oli merkittävä hetki meille täällä ISMS.onlinessa. Sen lisäksi, että olimme saavuttaneet toimialan ensin, olimme menestyneet käyttämällä upouutta alustatarjontaamme, SPOT:ia. 

Mutta kaikki ei koskenut meistä tässä prosessissa. Kyse oli meidän "miksistämme". Miksi teemme mitä teemme? Yksinkertaisen, turvallisen ja kestävän turvallisuuden pitäisi olla mahdollista kaikille. Siksi. Joten mikä olisikaan parempi tapa näyttää kenelle tahansa, joka haluaa saavuttaa tehokkaamman tietosuojan ja tietoturvan, että se on mahdollista kuin toimien? Olemme eläneet prosessia ja haluamme jakaa nämä kokemukset, oppimisemme ja työkalut muiden kanssa.

Voisimme tutkia monia tapoja, joilla SPOT tarjosi meille kaikki materiaalit ja työkalut, joita tarvitsimme menestyäksemme, alkaen sen 81 prosentin etumatkasta, "Assured Results Method" -menetelmästä, dokumentaatioluettelosta, jota voidaan ottaa käyttöön, mukauttaa tai lisätä. virtuaalinen valmentajamme on aina paikalla, mutta sen sijaan kutsumme sinut katsomaan itse ja ymmärtämään edut omakohtaisesti - pyydä puhelu joltakin asiantuntijoiltamme jo tänään.

Puhu asiantuntijalle