Mitä kohta A.3.17 edellyttää?
Organisaation henkilöstön ja asiaankuuluvien sidosryhmien on saatava asianmukaista tietoturvatietoisuuskoulutusta ja -opastusta sekä säännöllisiä päivityksiä organisaation tietoturvapolitiikasta, aihekohtaisista käytännöistä ja menettelyistä heidän työtehtäviensä kannalta siltä osin kuin ne liittyvät henkilötietojen käsittelyyn.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja tunnustaa, että parhaatkin tekniset valvontamekanismit epäonnistuvat, jos niitä käyttävät ihmiset eivät ymmärrä vastuitaan. Koulutuksen on oltava räätälöityä kunkin henkilön roolin mukaan ja sitä on jatkettava säännöllisesti, eikä sitä saa antaa kertaluonteisena harjoituksena.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.17) annetaan seuraavat ohjeet:
- Tapahtumailmoitusten tietoisuus — Lisätä tietoisuutta siitä, miten mahdolliset henkilötietoja koskevat tapaukset tunnistetaan ja ilmoitetaan, varmistaen, että kaikki työntekijät ymmärtävät ilmoituskanavat ja oikea-aikaisen eskaloinnin tärkeyden
- Rikkomusten seuraukset — Varmista, että henkilöstö on tietoinen yksityisyyden suojaa ja turvallisuutta koskevien sääntöjen rikkomisen seurauksista, ottaen huomioon kolme ulottuvuutta:
- Organisaatiolle — Oikeudelliset seuraamukset, liiketoiminnan menetys, mainevahinko
- Henkilökunnan jäsenelle — Kurinpitotoimet, mukaan lukien mahdollinen irtisanominen
- PII-pääasialliselle — Yksilöille mahdollisesti aiheutuva fyysinen, aineellinen ja henkinen vahinko
- Katso myös A.3.19: Tyhjä työpöytä ja selkeä näyttö asiaankuuluvia vaatimuksia varten
- Henkilötietojen käyttöoikeutta koskeva säännöllinen koulutus — Sisällytä asianmukaista säännöllistä koulutusta erityisesti henkilöille, joilla on pääsy henkilötietoihin, yleistä turvallisuustietoisuutta laajemmalle
Ohjeistus korostaa, että pelkkä tietoisuus ei riitä. Henkilöstön on ymmärrettävä henkilötietojen väärinkäytön todelliset seuraukset – ei pelkästään abstrakteja poliittisia lausuntoja, vaan konkreettiset vaikutukset yksilöihin, joiden tiedot vaarantuvat.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.17 kohdennus GDPR 39 artiklan 1 kohdan b alakohta (aiheeseen liittyvä säännös, jota ei ole virallisesti esitetty liitteessä D), jossa tietosuojavastaavalle annetaan tehtäväksi valvoa säännösten noudattamista, mukaan lukien vastuiden jakaminen, tietoisuuden lisääminen ja käsittelytoimiin osallistuvan henkilöstön koulutus. Vaikka kaikilla organisaatioilla ei ole tietosuojavastaavaa, GDPR tehdään selväksi, että koulutus on keskeinen vaatimustenmukaisuuteen liittyvä toiminta.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.4.2.2 (tietoturvatietoisuus, koulutus ja harjoittelu). Vuoden 2025 painoksessa ydinvaatimukset ovat edelleen kohdassa A.3.17, ja valvontalausunto ja toteutusohjeet on erotettu selkeämmin kohdassa B.3.17. Kolmiulotteinen lähestymistapa seuraustietoisuuteen (organisaatio, henkilöstön jäsen, PII-vastuuhenkilö) on edelleen ohjeistuksen erottuva piirre. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.17 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Koulutusohjelma — Dokumentoitu ohjelma, joka kattaa yksityisyyden ja turvallisuuden tunteen ja jonka sisältö on räätälöity eri rooleille ja henkilötietojen käyttöoikeustasoille
- Valmistumistiedot — Todiste siitä, että kaikki asiaankuuluvat henkilöstön jäsenet ovat suorittaneet vaaditun koulutuksen, päivämäärineen, pisteineen (jos sovellettavissa) ja tietoineen mahdollisista uudelleenkoulutuksista
- Säännölliset päivitykset — Todisteet siitä, että koulutussisältöä päivitetään käytäntöjen muuttuessa ja että henkilöstölle ilmoitetaan käytäntöjen päivityksistä
- Roolikohtainen koulutus — Lisäkoulutusta henkilöstölle, jolla on laajempi pääsy henkilötietoihin tai erikoistuneita käsittelytehtäviä, yleisen tietämyksen lisäksi
- Tehokkuuden mittaaminen — Todisteet siitä, että koulutusohjelman tehokkuutta arvioidaan esimerkiksi tiedonarviointien, tietojenkalastelusimulaatioiden tai tapaustrendianalyysin avulla
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.11 Häiriönhallintasuunnittelu | Koulutuksen tulisi kattaa henkilötietoihin liittyvien tapausten tunnistaminen ja ilmoittaminen |
| A.3.18 Salassapitosopimukset | Koulutus vahvistaa henkilöstön allekirjoittamia salassapitovelvoitteita |
| A.3.9 Käyttöoikeudet | Henkilötietoihin pääsyn omaavan henkilöstön on saatava kohdennettua koulutusta käyttöoikeuksistaan. |
| A.3.16 Käytäntöjen noudattaminen | Vaatimustenmukaisuuden tarkastelun tulokset voivat paljastaa koulutuksen puutteita, joihin on puututtava |
| A.3.12 Tapahtumatilanteisiin reagointi | Tapahtumatilanteisiin reagointikoulutus varmistaa, että henkilöstö tietää roolinsa tietomurron sattuessa |
Ketä tämä valvonta koskee?
A.3.17 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikki henkilötietoja käsittelevät tai niiden turvallisuuteen mahdollisesti vaikuttavat työntekijät tarvitsevat asianmukaisen koulutuksen. Tämä koskee paitsi vakituisia työntekijöitä myös urakoitsijoita, tilapäistä henkilöstöä ja asiaankuuluvia osapuolia, jotka ovat vuorovaikutuksessa henkilötietojen tai niitä käsittelevien järjestelmien kanssa.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miksi valita ISMS.online yksityisyydensuojakoulutusta varten?
ISMS.online tarjoaa käytännön työkaluja yksityisyyttä tiedostavan työvoiman rakentamiseen ja ylläpitämiseen:
- Koulutusmoduulien hallinta — Luo, jaa ja seuraa koulutusmoduulien suorittamista, jotka on räätälöity eri rooleille ja henkilötietojen käyttöoikeustasoille
- Automaattinen aikataulutus — Aseta koulutustiheydet roolin mukaan, ja automaattiset muistutukset alkuvaiheen suorituksesta ja säännöllisistä kertauskursseista
- Käytännön kuittausten seuranta — Varmista, että kaikki työntekijät lukevat ja hyväksyvät ajantasaiset tietosuojakäytännöt, joissa on valmiiksi saadut tiedot ja tiedot vastaamattomien tapausten käsittelystä.
- Valmistumisraportointi — Luo auditointivalmiita raportteja, jotka osoittavat, kuka on suorittanut koulutuksen, milloin ja mitkä ovat jäljellä olevat vaatimukset
- Integrointi tapaustenhallinnan kanssa — Yhdistä koulutustiedot tapaustietoihin, jotta voit selvittää, vaikuttivatko koulutusaukot henkilötietoja koskevien tapausten syntymiseen
- Uuden aloittelijan perehdytys — Määritä automaattisesti tietosuojakoulutus uusille työntekijöille osana perehdytysprosessia
UKK
Kuinka usein yksityisyydensuojakoulutusta tulisi uusia?
Standardi edellyttää säännöllisiä päivityksiä, mutta siinä ei määrätä tiettyä tiheyttä. Useimmat organisaatiot tarjoavat vuosittaisen kertauskoulutuksen kaikille työntekijöille ja lisäkoulutusta merkittävien käytäntömuutosten yhteydessä. Henkilöstö, jolla on korkean riskin rooleja ja joka käsittelee arkaluonteisia henkilötietoja, saattaa tarvita useammin koulutusta. Keskeistä on osoittaa, että koulutus on jatkuvaa ja reagoi muutoksiin, eikä kertaluonteista.
Pitäisikö koulutuksen kattaa PII-päähenkilöiden seuraukset?
Kyllä. Täytäntöönpano-ohjeissa edellytetään erityisesti, että henkilöstö ymmärtää tietosuojaloukkausten seuraukset kolmella eri tasolla: organisaatiolle, heille itselleen ja henkilötietojen tietoihin liittyvälle vastuuhenkilölle. Yksityishenkilöille aiheutuneiden vahinkojen – kuten identiteettivarkauksien, taloudellisten menetysten tai henkisen ahdingon – tosielämän esimerkkien sisällyttäminen auttaa henkilöstöä ymmärtämään, miksi yksityisyyden suoja on tärkeää abstraktien vaatimustenmukaisuusvaatimusten lisäksi.
Koskeeko tämä urakoitsijoita ja väliaikaisia työntekijöitä?
Kyllä. Valvonta koskee organisaation henkilöstöä ja asiaankuuluvia sidosryhmiä. Tähän sisältyvät urakoitsijat, vuokratyöntekijät, konsultit ja kaikki muut henkilöt, jotka käyttävät henkilötietoja tai niitä käsitteleviä järjestelmiä. Koulutus tulisi järjestää ennen kuin he aloittavat henkilötietojen käsittelyn, ja sen tulisi olla heidän rooliinsa ja työsuhteen kestoon sopivaa.
Sisällytä koulutusvaatimukset suunnitelmaasi Ilmoitus soveltuvuudesta ja liittää ne tiettyihin valvontavelvoitteisiin.
Riittämätön koulutus on yksi niistä yleisimmät käyttöönottovirheet — vältä se sisällyttämällä tietoisuus PIMS-järjestelmääsi alusta alkaen.
