ISO 27701:n lausekkeen 5.2 ymmärtäminen: Organisaation konteksti
Yksityisyyden suoja on monimutkainen lainsäädännöllinen aihe, joka sisältää ei-oikeudellisia ja oikeudellisia ohjeita useista lähteistä.
ISO viittaa koko valvontasarjansa aikana jatkuvasti kaikkien henkilökohtaisia tunnistetietoja käsittelevien organisaatioiden ainutlaatuisiin kaupallisiin, yksityisyyteen perustuviin ja logistisiin tarpeisiin.
ISO 27701 5.2 kattaa joukon kartoitusharjoituksia organisaatioille, jotka haluavat ymmärtää velvollisuutensa sisäisiä ja ulkoisia työntekijöitä kohtaan ja kuinka ne ovat vuorovaikutuksessa ulkopuolisten organisaatioiden kanssa. vaatimustenmukaisuuden ja henkilökohtaisten tunnistetietojen näkökulmasta.
Mitä ISO 27701:n lauseke 5.2 kattaa
ISO 27701 5.2 sisältää neljä alalauseketta, jotka liittyvät yksityisyyden suojaan ja henkilökohtaisten tunnistetietojen käsittelyyn/hallintaan, joista jokainen vastaa linkitettyä lauseketta ISO 27001:ssä (joka toimii pääohjeasiakirjana).
Lisäksi ISO 27701 sisältää lisäohjeita organisaatioille, jotka pyrkivät ottamaan käyttöön PIMS:n. Ne sisältävät ohjeita sekä ISO 27701- että ISO 27001 -ohjeiden soveltamisesta tähän aiheeseen.
Organisaatioiden on tarkasteltava ja otettava käyttöön ISO 27701 valtionhallinnon artikkeleiden ohella GDPR ohjeita. Olemme tarvittaessa korostaneet asiaankuuluvat GDPR-artikkelit niiden viereisten alalausekkeiden ohella.
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 5.2.1 – Organisaation ja sen kontekstin ymmärtäminen
Viitteet ISO 27001 Control 4.1
Organisaatioiden tulee käydä läpi kartoitus, jossa luetellaan sekä sisäiset että ulkoiset tekijät, jotka liittyvät PIMS:n käyttöönottoon.
Organisaation on kyettävä ymmärtämään, kuinka se aikoo saavuttaa tietosuojatuloksensa, ja kaikki asiat, jotka estävät henkilökohtaisten tunnistetietojen suojaamisen, tulee tunnistaa ja käsitellä.
Muita PIMS- ja PII-ohjeita
Ennen kuin organisaatiot yrittävät käsitellä yksityisyyden suojaa ja ottaa käyttöön henkilökohtaisia tunnistetietoja, niiden on ensin ymmärrettävä velvollisuutensa yksittäisenä tai yhteisenä henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja/tai käsittelijänä.
Tämä sisältää:
- Tarkistaa voimassa olevat yksityisyyttä koskevat lait, määräykset tai "oikeudelliset päätökset";
- Otetaan huomioon organisaation ainutlaatuiset vaatimukset, jotka liittyvät myymien tuotteiden ja palvelujen tyyppiin, sekä yrityskohtaiset hallintoasiakirjat, -periaatteet ja -menettelyt;
- Mahdolliset hallinnolliset tekijät, mukaan lukien yrityksen päivittäinen toiminta;
- Kolmannen osapuolen sopimukset tai palvelusopimukset, jotka voivat vaikuttaa henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan.
Sovellettavat GDPR-artikkelit
- 24 artikla – Rekisterinpitäjän vastuu
- Sovellettava kohta – (3)
- 25 artikla – Sisäänrakennettu ja oletustietosuoja
- Sovellettava kohta – (3)
- 28 artikla – Käsittelijä
- Sovellettavat kohdat – (5), (6), (10)
- 32 artikla – Käsittelyn turvallisuus
- Sovellettava kohta – (2)
- 40 artikla – Käytännesäännöt
- Sovellettavat kohdat – (1), (2) (a), (2) (b), (2) (c), (2) (d), (2) (e), (2) (f), ( 2) (g), (2) (h), (2) (i), (2) (j), (2) (k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
- 41 artikla – Hyväksyttyjen käytännesääntöjen seuranta
- Sovellettavat kohdat – (1), (2) (a), (2) (b), (2) (c), (2) (d), (3), (4), (5), (6)
- 42 artikla – Todistus
- Sovellettavat kohdat – (1), (2), (3), (4), (5), (6), (7), (8)
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 5.2.2 – Asianomaisten osapuolten tarpeiden ja odotusten ymmärtäminen
Viitteet ISO 27001 Control 4.2
Henkilökohtaiset tunnistetiedot ja yksityisyyden suoja voivat vaikuttaa suureen määrään työntekijöitä, käyttäjiä ja asiakkaita sekä sisäisesti että ulkoisesti.
Organisaatioiden on saatava vankka käsitys asianomaisen henkilöstön tarpeista ja siitä, mitä ISO pitää "kiinnostuneina osapuolina".
Organisaation tarve vahvistaa ja dokumentoida:
- Kaikki "sidosryhmät", joilla on merkitystä laajemman yksityisyyden suojan kannalta;
- mitkä ovat yksilölliset vaatimukset PIMS:n piirissä oleville henkilöille;
Organisaatioiden tulisi myös ottaa huomioon kaikki oikeudelliset, lainsäädännölliset tai sopimusvelvoitteet sekä käytännön ja toiminnalliset vaatimukset.
Muita PIMS- ja PII-ohjeita
Ottaessaan käyttöön PIMS:ää organisaatioiden on laadittava luettelo kiinnostuneista osapuolista, joihin PIMS vaikuttaa tai joilla on rooli henkilötietojen käsittelyssä.
Henkilökohtaisten tunnistetietojen osalta asianomainen osapuoli voi olla jokin seuraavista (mutta ei rajoittuen):
- Työntekijä;
- Asiakas;
- Sääntely-, oikeus- tai valvontaviranomaiset;
- Muut PII-ohjaimet ja prosessorit.
On tärkeää huomata, että PII-vaatimukset – kuten PIMS:ään liittyvät – tulevat usein useista lähteistä, mukaan lukien:
- Sisäiset prosessit ja tavoitteet;
- Hallituksen ja/tai sääntelyelimet;
- Sopimusvelvoitteet ulkopuolisten organisaatioiden kanssa.
Hallitsevien ja sääntelevien organisaatioiden voi usein olla vaikeaa vahvistaa, että organisaatio noudattaa julkaistuja yksityisyyden suojastandardeja sen roolissa henkilötietojen käsittelijänä ja rekisterinpitäjänä.
Sellaisenaan organisaatioiden on odotettava tällaisten elinten vaativan riippumattomia tarkastuksia kaikista asiaankuuluvista johtamisjärjestelmistä, jotta ne voivat täyttää omat auditointivaatimukset.
Sovellettavat GDPR-artikkelit
- 31 artikla – Yhteistyö valvontaviranomaisen kanssa
- 35 artikla – Tietosuojavaikutusten arviointi
- Sovellettava kohta – (9)
- 36 artikla – Ennakkokuuleminen
- Sovellettavat kohdat – (1), (2), (3) (a), (3) (b), (3) (c), (3) (d), (3) (e), (3) ( f), (5)
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 lauseke 5.2.3 – Tietoturvan hallintajärjestelmän laajuuden määrittäminen
Viitteet ISO 27001 Control 4.3
ISO suosittelee perusteellista scoping-harjoitusta, jotta organisaatiot pystyvät tuottamaan PIMS:n, joka ensinnäkin täyttää sen yksityisyyden suojavaatimukset, eikä toisaalta hiipi huomioimattomille liiketoiminnan alueille.
Organisaatioiden tulee luoda ja dokumentoida:
- Kaikki ulkoiset tai sisäiset ongelmat ISO 27001 4.1:n mukaisesti;
- Kolmannen osapuolen vaatimukset ISO 27001 4.2:n mukaisesti;
- Miten organisaatio on vuorovaikutuksessa itsensä ja ulkoisten tahojen kanssa (esim. asiakaskontaktipisteet, ICT-rajapinnat).
Muita PIMS- ja PII-ohjeita
Kaikkiin PIMS-toteutusta kartoittaviin mittausharjoituksiin tulee sisältyä henkilötietojen käsittely- ja tallennustoimintojen perusteellinen arviointi.
Sovellettavat GDPR-artikkelit
- 32 artikla – Käsittelyn turvallisuus
- Sovellettava kohta – (2)
ISO 27701, lauseke 5.2.4 – Tietoturvan hallintajärjestelmä
Viitteet ISO 27001 Control 4.4
Organisaatioiden tulisi pyrkiä toteuttamaan, hallitsemaan ja optimoimaan PIMS julkaistujen ISO-standardien mukaisesti.
Sovellettavat GDPR-artikkelit
- 32 artikla – Käsittelyn turvallisuus
- Sovellettava kohta – (2)
Tuetut ohjaimet ISO 27001:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27001 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 5.2.1 | Organisaation ja sen kontekstin ymmärtäminen |
4.1 – Organisaation ja sen kontekstin ymmärtäminen ISO 27001:lle | Artikkeli (24), (25), (28), (32), (40), (41), (42) |
| 5.2.2 | Asianomaisten osapuolten tarpeiden ja odotusten ymmärtäminen |
4.2 – Asianomaisten osapuolten ISO 27001 -standardin tarpeiden ja odotusten ymmärtäminen | Artikkeli (31), (35), (36) |
| 5.2.3 | Tietoturvan hallintajärjestelmän laajuuden määrittäminen |
4.3 – ISO 27001:n ISMS:n laajuuden määrittäminen | Artikkeli (32) |
| 5.2.4 | Tietoturvan hallintajärjestelmä |
4.4 – Tietoturvan hallintajärjestelmä (ISMS) ISO 27001:lle | Artikkeli (32) |
ISO 27701 -yhteensopivuuden saavuttaminen ISMS.onlinen kautta
ISMS.online-alusta tarjoaa mukautettavan PIMS-toiminnon, joka valvoo, raportoi ja auditoi sekä ISO 27001- että ISO 27701 -standardien mukaisesti napin painalluksella.
Ratkaisumme sisältää dynaamisen Records of Processing Activity -työkalun, joka poistaa tietojen kartoittamiseen, tallentamiseen ja auditointiin liittyvät päänvaivat. Sisäänrakennettu riskipankki tarjoaa käytännön apua koko arviointi- ja hallintaprosessin ajan.
ISO 27701 5.2 sisältää joukon ohjeita kolmannen osapuolen tietosuojastandardeista sekä henkilötietojen rekisterinpitäjän ja rekisteröidyn välisestä suhteesta valtuutetun Data Subjects Rights Request (DRR) -pyynnön kautta. DRR-hallintajärjestelmämme tarjoaa keskitetyn hallintokeskuksen, joka käsittelee kaikkea pyynnöistä raportointiin ja analytiikkaan.
Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27001- ja 27701 -sertifiointiin käyttämällä ISMS.onlinea varaamalla esittelyn.
Hyppää aiheeseen
