Tietoturvan huomioiminen tietosuojan rinnalla saattaa tuntua itsestään selvältä, mutta mitä uusi, tuleva, yleinen tietosuoja-asetus (GDPR) tarkalleen ottaen määrää?
Itse asiassa GDPR ei sisällä erityisiä turvallisuusvaatimuksia. 32 artiklan, jonka otsikko on "Turvallisuus”, vain 135 sanaa kuvaa niitä:
"Ottaen huomioon tekniikan tason, toteutuskustannukset ja käsittelyn luonteen, laajuuden, kontekstin ja tarkoitukset sekä vaihtelevan todennäköisyyden ja vakavuuden riskin luonnollisten henkilöiden oikeuksiin ja vapauksiin, rekisterinpitäjän ja käsittelijän on toteuttaa asianmukaisesti tekniset ja organisatoriset toimenpiteet asianmukaisen turvallisuustason varmistamiseksi riskiin, mukaan lukien muun muassa tarvittaessa:
a) henkilötietojen pseudonymisointi ja salaus;
b) kyky varmistaa käsittelyjärjestelmien ja -palvelujen jatkuva luottamuksellisuus, eheys, saatavuus ja joustavuus;
c) kyky palauttaa niiden saatavuus ja pääsy henkilökohtaiset tiedot ajoissa fyysisen tai teknisen vaaratilanteen sattuessa;
d) prosessi säännöllisesti testaamiseksi, arvioimiseksi ja arvioida teknisten ja organisatoristen toimenpiteiden tehokkuutta turvallisuuden varmistamiseksi käsittelystä."
Sana "asianmukainen" mainitaan täällä 3 kertaa. Vaikka tämä antaa jonkin verran joustavuutta organisaation asettamiseen turvavalvonta, se sisältää myös riskin, että sääntelyviranomaisen näkemys voi poiketa sinun näkemyksestäsi käyttämistäsi turvatoimista.
Tämä tarkoittaa, että sinun on oltava valmis esitellä ja puolustaa lähestymistapaasi ja käytössä olevien turvatarkastusten toiminnallinen tehokkuus.
Chris Zoladz*, Navigate LLC:n tieto- ja tietosuojaneuvojien perustaja ja International Association of Privacy Professionals (IAPP) entinen puheenjohtaja tarjoaa…
ISMS.online säästää aikaa ja rahaa ISO 27001 -sertifikaatin saamiseksi ja tekee sen ylläpidosta helppoa.
Tietoturvapäällikkö, Honeysuckle Health
Aloimme käyttää laskentataulukoita ja se oli painajainen. ISMS.online-ratkaisulla kaikki kova työ tehtiin helpoksi.
1. Käytä tunnustettua turvallisuuskehys — Jos organisaatiosi ei vielä käytä suojauskehystä, kuten ISO 27001/2 Ohjataksesi suojausohjelmaasi valitse kehys tai tunnettujen kehysten yhdistelmä, joka antaa tietoa yleisen suojausohjelman osista.
2. Hallitse turvallisuuttariski — Kaikki turvallisuusriskit eivät ole samanarvoisia, eikä kaikkia riskejä voida tai pidä poistaa. Se ei yksinkertaisesti ole realistista, kustannustehokasta tai tarpeellista. Onneksi, GDPR tunnistaa tämän todellisuuden. Tarvitset kuitenkin edelleen arvioida turvallisuusriskejä ja ryhtyä kohtuullisiin toimenpiteisiin merkittävien riskien vähentämiseksi, toteuttaa kompensoivia valvontatoimia tai perustella, miksi lieventämätön riski hyväksytään. Jokaisen organisaation tulee käyttää riskikehystä ja prosessi riskien arvioimiseksi ja hallitsemiseksi. Jos organisaatiollasi ei tällä hetkellä ole virallista tunnistamisprosessia, dokumentoi ja hallita turvallisuutta riskit, hyödynnä ISO 27001, NIST tai jokin muu viitekehys parannuksien tekemiseksi. Tämä ei tarkoita, että sinun organisaation tarpeisiin toteuttaa kaikki elementit missä tahansa tietyssä viitekehyksessä, mutta sen sijaan se toimii lähtökohtana tai viitteenä, joka auttaa varmistamaan, että riskienhallinnan välttämättömät osat otetaan huomioon.
3. Dokumentaatio on ystäväsi — Kun on olemassa ongelma, joka johtaa tutkimukseen tai auditointiin, organisaation puolustuksen onnistuminen riippuu suoraan sääntelijälle tai tarkastajalle esitettävän "näytä ja kerro" vahvuuteen. Dokumentaatio on "näytös" puolustuksessa, jota voidaan käyttää osoittamaan, että turvatarkastukset ovat käytössä (esim. luettelo kaikista turvallisuuskoulutuksen suorittaneista työntekijöistä) ja toimivat tehokkaasti (esim. kulunvalvonta lokit osoittavat, että henkilötietoja sisältävän järjestelmän luvaton käyttöyritys tunnistettiin ja tutkittiin). Ylläpidä kohtuullisella tasolla dokumentaatiota, joka osoittaa ja puolustaa käytössä olevat turvatarkastukset.
4. Jatkuvasti "lue ja reagoi" — Teknologia, liiketoimintavaatimukset ja lakivaatimukset muuttuvat jatkuvasti ajan myötä. Seurauksena on uusia riskejä ja uusia tai erilaisia turvatoimia tarvitaan. Tämä tulee olemaan loputon sykli ja edellyttää, että organisaatio mukautuu ja jalostaa jatkuvasti turva-asento, joka vastaa uusiin riskeihin. Tietoturva, kuten yksityisyys, on jatkuva prosessi, ei kertaluonteinen projekti.
Räätälöity käytännön istunto tarpeidesi ja tavoitteidesi mukaan
Standardit, kuten ISO 27001:2013, kannustavat jatkuvaan parannus. Ulkoisesti tilintarkastus, riippumattoman sertifikaatin avulla annat asiakkaillesi luottamuksen, jota he tarvitsevat nähdäkseen, että ylläpidät ISMS:ää ja täytät säännöllisten tarkistusten ja jatkuvan hallinnan vaatimuksen.
Koska asiakkailla on myös todennäköisesti erilaisia näkemyksiä siitä, mitkä turvatarkastukset ovat tarkoituksenmukaisia, yhden hyvin tunnistetun standardin käyttöönotto auttaa välttämään eri suuntiin vetäytymistä.
ISMS.online tekee tietojesi yksityisyyden kuvaamisesta, esittelystä ja puolustamisesta helppoa ja tietoturvakäytännöt ja hallintalaitteet.
Käytä valmiiksi rakennettuamme GDPR- ja ISO 27001 -kehykset, ISO 27001 -käytännöt ja -säädöt Sekä riskienhallintatyökaluja ja työkalut muiden työprosessien hallintaan GDPR:n edellyttämä.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa