Henkilökohtaisesti tunnistettavat tiedot (PII) on mikä tahansa tieto, joka vahvistaa henkilön henkilöllisyyden.
Henkilökohtaiset tunnistetiedot voivat sisältää:
PII on keskeinen osa organisaation tiedonhallintastrategiaa, ja siihen liittyy useita ainutlaatuisia sääntely-, lainsäädäntö- ja sopimusriskejä.
Control 5.34 käsittelee henkilökohtaisia tunnistetietoja kolmella eri tavalla:
Ohjaus 5.34 on a ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla ohjeita ja menettelytapoja, jotka täyttävät organisaation lakisääteiset, lakisääteiset, sääntely- ja sopimusvaatimukset, jotka liittyvät Levytila, yksityisyys ja suojaus PII kaikissa muodoissaan.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa #Suojella | #Tiedon suojaus #Laki ja vaatimustenmukaisuus | #Suojaus |
Olemme kustannustehokkaita ja nopeita
Ohjaus 5.34 nimeää nimenomaisesti organisaation valtuutetun tietosuojavastaavan (tai vastaavan organisaation) henkilöksi, jonka tulee valvoa henkilökohtaisten tunnistetietojen noudattamista.
Organisaatioiden tulee käsitellä henkilökohtaisia tunnistetietoja aihekohtaisena liiketoimintatehtävänä ja kehittää organisaatiolle ainutlaatuiset käytännöt sekä niiden päivittäisessä toiminnassa yleisimmät PII-luokat.
Ensinnäkin organisaation tulee laatia, kehittää ja toteuttaa joukko käytäntöjä, jotka huolehtivat henkilökohtaisten tunnistetietojen säilyttämisestä, yksityisyydestä ja suojelusta, ja varmistettava, että ne välitetään kaikille henkilökohtaisia tunnistetietoja käsitteleville työntekijöille ja niitä käyttävät – ei vain niille, jotka ovat velvollisia käsitellä sitä osana työtehtäviään.
Henkilökohtaisia tunnistetietoja on hallittava jäsennellysti, selkeästi ja ytimekkäästi. Tämän saavuttamiseksi Control 5.34 kysyy organisaatioiden laatimaan politiikkaa, jossa otetaan huomioon yksilölliset roolit ja vastuut ja tietojen valvontaa koko organisaatiossaan.
Helpoin ja tehokkain tapa saavuttaa tämä on ottaa käyttöön ylhäältä alas -lähestymistapa, jossa on tietosuojavastaava, jonka tehtävänä on neuvoa työntekijöitä ja kolmansien osapuolien organisaatioita henkilökohtaisia tunnistetietoja koskevissa asioissa sekä neuvoa ylimmälle johdolle. kuinka noudattaa organisaation velvoitteita.
Sääntely-, lainsäädäntö- ja sopimusohjeiden ohella organisaation tulee myös toteuttaa teknisiä ja toiminnallisia toimenpiteitä jotka käsittelevät henkilökohtaisten tunnistetietojen käytännön käsittelyä yrityksen tallentamien ja läpi kulkevien henkilötietojen käsittelyssä.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
PII-lainsäädäntö vaihtelee maittain, jopa alueilla, joilla on hajautettuja hallintoja tai ei-liittovaltion hallituksia.
Organisaatioiden tulee auditoida Henkilökohtaisten tunnistetietojen käsittelyvaatimukset ja harkitsevat mahdolliset rajat ylittävät vaikutukset, jotka johtuvat henkilötietojen keräämisestä, käsittelystä tai jakelusta erillisillä lainkäyttöalueilla.
Kun taas ISO 27002: 2022 ei tarjoa lisäohjeita tämän saavuttamiseksi, useat ISO-asiakirjat käsittelevät asiaa tarkemmin, mukaan lukien:
27002:2022-5.34 korvaa 27002:2013-18.1.4 (Yksityisyys ja henkilötietojen suoja).
27002:2022-5.34 on melkein jäljennös vuoden 2013 edeltäjästään kahta merkittävää poikkeusta lukuun ottamatta.
Pilvipohjainen alustamme tarjoaa sinulle vankan tietoturvavalvontakehyksen, jotta voit ISMS-prosessin tarkistusluettelo varmistaakseen, että se täyttää ISO 27k:n vaatimukset. Oikein käytettynä, ISMS. verkossa voi auttaa sinua saamaan sertifioinnin mahdollisimman vähän aikaa ja resursseja.
Ota yhteyttä jo tänään varaa esittely.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
