ISO 27701 -standardin vaatimustenmukaisuuden saavuttaminen

ISO 27701 -pohjaisen PIMS:n luominen tietosuojasäännösten noudattamisen saavuttamiseksi

ISO 27701 -ratkaisumme on esikonfiguroitu PIMS. Se varmistaa, että tietosuojatyösi on yhdenmukainen standardin kunkin osan tarpeiden kanssa ja täyttää ne. Ja koska se on sääntelyagnostikko, voit yhdistää sen mihin tahansa sääntöön tai määräyksiin, joita tarvitset.

PIMS noudattaa ISO 27701 -standardia ja auttaa sinua saavuttamaan GDPR-yhteensopivuuden seuraavilla tavoilla:

Reagoi isoon kuvaan

Aloitat PIMS-kehitysprosessin ymmärtämällä kontekstin, jossa PIMS toimii määrittää, onko organisaatiosi henkilötietojen valvoja, PII-prosessori tai molemmat. Ja sinä tulet varmista, että olet tietoinen of:

• Oikeudelliset tekijät, kuten tietosuojalainsäädäntö, asetukset tai oikeuden päätökset
• Organisatoriset tekijät, kuten sen konteksti, hallinto, käytännöt ja menettelyt
• Käytännön tekijät, kuten kaikki hallinnolliset päätökset ja sopimusvaatimukset

Sitten varmistat ymmärtää ja ottaa huomioon kaikkien kiinnostuneiden tarpeet ja odotukset miten käsittelet henkilökohtaisia ​​tunnistetietoja. Se voi olla pitkä lista, joka sisältää kaikki asiakkaistasi ja toimittajistasi sääntelyviranomaisiin ja kauppaelimiin.

Kun olet työskennellyt kaiken tämän läpi, voit tarkastella PIMS:ääsi. Jos laajennat olemassa olevaa ISMS-järjestelmääsi vastaamaan myös PIMS-vaatimuksia, saatat tarvita harkitse ISMS:n laajuutta uudelleen liian. Ja jos otat molemmat käyttöön samanaikaisesti, varmistat, että ne toimivat yhdessä.

Ota johtajuutesi mukaan

Koko organisaatiosi on ymmärrettävä ja noudatettava PIMS-vaatimuksiasi. Tämän saavuttamiseksi sinun on oltava ylimmän johdon mukana. ISO 27701 ohjaa sinut takaisin ISO 27001:een ohjeiden saamiseksi. Jos olet jo luonut ISO 27001 ISMS:n, se on tuttu prosessi.

• Sinun on varmistettava, että ylin johto osoittaa johtajuutta ja sitoutumista PIMS-järjestelmääsi: Asettamalla selkeät tietosuojatavoitteet, varmistamalla, että PIMS-järjestelmäsi saavuttaa ne, kohdistamalla resursseja sen luomiseen ja ylläpitämiseen, integroimalla sen laajempiin organisaatioprosesseihin ja auttamalla sitä jatkuvasti. parantaa

He määrittävät myös laajemmat tietosuojakäytäntösi. Niiden pitäisi:

• Tue ja osallistu organisaatiosi laajempaan strategiaan ja tarkoitukseen, aseta selkeät tietosuojatavoitteet tai kuvaile niiden luomista ja sitoudu sekä vastaamaan sen tietosuojatarpeisiin että parantamaan jatkuvasti PIMS-järjestelmääsi.

Ja tietysti sinun on dokumentoitava ne ja varmistettava, että kuka tahansa, joka haluaa ymmärtää ne, voi käyttää niitä nopeasti ja helposti.

Lopuksi ylimpien johtajien on nimitettävä henkilöt, jotka ovat vastuussa PIMS:stäsi ja siitä vastaavat. He pitävät sen standardin mukaisena ja raportoivat sen tilasta, edistymisestä ja saavutuksista tarvittaessa.

Huolellisesti suunniteltu

Kun olet ymmärtänyt kontekstin, jossa työskentelet, ja ylin johto on täysin takanasi, voit aloittaa PIMS-suunnittelun. Myös tässä ISO 27701 lähettää sinut takaisin ISO 27001:een ohjeiden saamiseksi, mutta se lisää joitakin yksityisyyteen liittyviä omia tarkennuksiaan.

Sinun on:

• Arvioi riskit PII-kasvosi, esitä selkeät käytännöt ja hallintakeinot joidenkin tai kaikkien riskien käsittelemiseksi ja perustele, miksi olet päättänyt jättää yhden niistä huomioimatta.
• Dokumentoi politiikkasi, ohjaimet ja niitä koskevat päätökset helposti saatavilla, lue tavalla ja varmista, että päivitykset ovat tarkkoja ja oikea-aikaisia

Jälleen, jos olet jo luonut ISO 27001 -pohjainen ISMS se on hyvin tuttu prosessi. Ja jos olet kehittämässä PIMS:ää ja ISMS:ää yhdessä, pystyt todennäköisesti yhdistämään työvirtasi.

Saat kaiken tarvitsemansa tuen

Myös tässä ISO 27001 ja ISO 27701 liittyvät läheisesti toisiinsa. ISO 27701 pyytää sinua noudattamaan ISO 27001:n tukiohjeita.

• Sinun tulee varmistaa, että sinulla on kaikki tarvitsemasi resurssit PIMS-laitteiden määrittämiseen, käyttöönottoon, ylläpitoon ja jatkuvaan kehittämiseen, kun niitä tarvitset.
• PIMS:n parissa työskentelevillä ihmisillä pitäisi olla kaikki osaamista, jota heidän roolinsa vaativat – Jos he eivät, sinun tulee järjestää heille koulutusta
• Sinun on varmistettava, että kaikki, joihin PIMS vaikuttaa, ymmärtävät, miksi se on niin tärkeä, mitä se suojaa ja kuinka noudattaa sitä
• Sinun on dokumentoitava täysin PIMS-tietosi (mitä se tarkalleen tarkoittaa riippuu organisaatiosi koosta ja tyypistä) ja suunnitella, kuinka dokumentaatiosi päivitetään.

Säännöllisen arvioinnin alla

Tutkimaton PIMS ei ole sen arvoinen. Sinun on tehtävä selväksi, kuinka tarkkailet, mittaat, analysoit ja arvioit PIMS:ääsi varmistaaksesi, että se saavuttaa kaiken sen, mitä sen pitäisi. Standardissa viitataan ISO 27001 -standardiin saadaksesi ohjeita sen tekemiseen.

Siinä määrätään, että sinun tulee suorittaa säännöllisiä sisäisiä tarkastuksia ja johdon tarkastuksia. Molempien tulisi tapahtua suunnitelluin väliajoin ja noudattaa tarkasti dokumentoituja prosesseja. Tarvitset myös selkeän suunnitelman vastaamiseen poikkeamat ja korjaavat toimenpiteet.

Arvioit ISO 27701 -pohjaisen PIMS:n ja ISO 27001 -pohjaisen ISMS:n hyvin samalla tavalla. Kuten aina, jos sinulla on jo ISO 27001 ISMS, koko prosessi on hyvin tuttu.

Jatkuvasti kehittyvä ja kehittyvä

Noudatat ISO 27001 -pohjaisia ​​prosesseja kehittääksesi ja parantaaksesi PIMS-järjestelmääsi. Tämä tarkoittaa, että reagoit nopeasti ja tehokkaasti kaikkiin poikkeamiin. Ja dokumentoit sekä itse poikkeamat että toimenpiteet, jotka olet tehnyt niiden korjaamiseksi.

Pyrit myös jatkuvasti parantamaan PIMS:ääsi. Se on erittäin tärkeä asia muistaa. PIMS ei ole palo ja unohda asiakirjoja, jotka - kerran luotu - voidaan jättää muhimaan jonnekin kiintolevylle.

Se on dynaaminen suojajärjestelmä, joka kehittyy organisaatiossasi ja sen toimintaympäristössä tapahtuvien muutosten myötä. Sinun on siis varmistettava, että ryhdyt jatkuvasti parantamaan PIMS:si soveltuvuutta, riittävyyttä ja tehokkuutta.