ISO 27701 – Lauseke 5.3 – Johtajuus

ISO 27701 -standardin 5.3 kohdan johtajuuden vastuiden ymmärtäminen

Organisaation johtaminen ja johtaminen on toistuva teema kaikissa ISO:n erilaisissa tietoturvanhallintajärjestelmiin liittyvissä standardeissa.

Käytännöt ja menettelyt ovat tehokkaita vain, jos ne tunnustetaan ja niitä noudatetaan yhdenmukaisesti. Ylimmällä johdolla on keskeinen rooli sen varmistamisessa PII ja PIMS-toimintaan liittyvää toimintaa saavat sen tason kunnioitusta ja ammattitaitoa, jonka heidän roolinsa riskien minimoinnissa ja tietoturvan parantamisessa taataan kautta linjan.

Mitä ISO 27701:n lauseke 5.3 kattaa

Kohdassa 5.3 käsitellään suoraan ylimmän johdon roolia PIMS:n perustamisessa, joka täyttää organisaation ulkoiset velvoitteet ja PII-vaatimukset alusta alkaen kolmen keskeisen toiminta-alueen kautta:

• Johtajuus ja sitoutuminen.
• Politiikkaa.
• Organisaatioroolit, vastuut ja valtuudet.

Tämän saavuttamiseksi ISO 27701-5.3 sisältää kolme alalauseketta, jotka viiteohje 27001:2013.

Kaikkia näitä lausekkeita tulisi tarkastella PIMS:n, PII-turvallisuuden ja yksityisyyden suojan perustamisen ja ylläpitämisen prisman kautta sen sijaan, että niitä sovellettaisiin laajasti tietoturvaan käsitteenä.

ISO 27701 lauseke 5.3.1 – Johtajuus ja sitoutuminen

Viitteet ISO 27001 Control 5.1

ISO 27001:2013-5.1 sisältää 7 pääohjeistusta, jotka tarjoavat ylimmälle johdolle apua "johtajuuden ja sitoutumisen" osoittamisessa henkilökohtaisiin tunnistetietoihin liittyvää tietoturvapolitiikkaa laadittaessa.

Koko PIMS:n perustamisprosessin ajan ylimmän johdon tulee:

1. Pidä mielessä johtamisjärjestelmän toiminnalliset tavoitteet kokonaisuutena ja varmista, että PIMS:ään liittyvät toimet ovat linjassa sen kanssa, mitä yritys pyrkii saavuttamaan;
2. Varmista, että organisaation PIMS on sulautettu osaksi yrityksen tietoturvaprosesseja;
3. Tarjoa käyttöön riittävä määrä resursseja toimivan PIMS:n toteuttamiseen – mukaan lukien budjettitila ja oikea määrä työntekijöitä sen toteuttamiseen ja ylläpitämiseen;
4. Ilmoita PIMS:n edut koko organisaation henkilökunnalle – ei vain niille, jotka ovat suoraan vuorovaikutuksessa sen kanssa – maksimoidaksesi työntekijöiden sisäänoston ja parantaaksesi sitoutumista.
5. Sovi selkeästä tulosjoukosta PIMS:n suorituskyvyn ja sen vaikutuksen PII-tietoturvaan mittaamiseksi.
6. Tarjoa johtajuutta ja tukea jokaiselle työntekijälle, jolla on rooli PIMS:n suorituskyvyn parantamisessa, ja ruokkii ennakoivaa asennetta henkilökohtaisten tunnistetietojen turvaamiseen;
7. Tarjoa ohjausta ja tukea ylemmän johtoryhmän jäsenille heidän työnsä aloilla, jotka liittyvät suoraan PIMS-toimintoihin ja PII-turvallisuuteen.

ISO 27701, lauseke 5.3.2 – Käytäntö

Viitteet ISO 27001 Control 5.2

Tiedotuskäytännöt ovat organisaation laajemman yksityisyyden suojan leipä ja voita.

Ylin johto käyttää protokollia ja menettelytapoja parantaakseen tietoturvariskien hallintaa kokonaisuutena, mutta myös työkaluna, jolla mitataan henkilöstön suorituskykyä ja osoitetaan laki- ja valvontaviranomaisille, että organisaatio täyttää PII-velvoitteensa.

Yksityisyyden suojaamiseen, henkilökohtaisiin tunnistetietoihin ja PIMS-tietoihin liittyvien tietoturvakäytäntöjen tulee:

1. Pysyvät merkityksellisinä ja tarkoituksenmukaisina organisaation ainutlaatuisten kaupallisten ja resursseihin liittyvien tarpeiden kannalta;
2. Määrittele selkeä joukko henkilökohtaisiin tunnistetietoihin liittyviä tavoitteita, tai jos tämä ei ole olennaista, se auttaa luomaan puitteet tulevien turvallisuus- ja tietosuojatavoitteiden asettamiselle (katso ISO 27001 lauseke 6.2*);
3. Muista henkilökohtaisiin tunnistetietoihin liittyvät erityiset organisaatiovaatimukset, mukaan lukien kolmansien osapuolien laki-, neuvoa-antavien ja sääntelyelinten asettamat vaatimukset.
4. Edistää ennakoivaa lähestymistapaa organisaation PIMS:n jatkuvaan arviointiin, mukaan lukien mahdolliset parannukset;

Kun käytännöt on luotu, ne tulee olla helposti kaikkien asianomaisten henkilöiden saatavilla versiovalvotuina asiakirjoina, ja niistä on tiedotettava laajalti koko organisaatiossa – joko luomishetkellä tai silloin, kun tehdään muutoksia, jotka voivat vaikuttaa henkilötietojen tietoturvaan.

ISO 27701 lauseke 5.3.3 – Organisaatioroolit, vastuut ja valtuudet

Viitteet ISO 27001 Control 5.3

ISO viittaa koko tietoturvastandardiperheessään jatkuvasti roolipohjaisiin toimintoihin, jotka perustuvat henkilön työtyyppiin ja määrättyihin vastuisiin.

ISO 27701-5.3.3 pyytää organisaatioita varmistamaan, että jokaisella, joka käyttää henkilökohtaisia ​​tunnistetietoja, on vuorovaikutuksessa PIMS:n kanssa tai on vastuussa yksityisyyden suojasta, on selkeästi määritelty rooli ja hän ymmärtää tarkalleen, mistä he ovat vastuussa, mukaan lukien ylimmän johdon rooli.

Ylimmän johdon tulee varmistaa, että kaikki PIMS- ja PII-prosessit ovat ISO 27001 -standardien mukaisia, ja delegoida raportointivastuut henkilöstön jäsenille, jotka käsittelevät organisaation PIMS:n suorituskykyä säännöllisin väliajoin.

Tuetut ohjaimet ISO 27001:sta ja GDPR:stä

*Ohjaus 6.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu (viitattu ISO 27701 lausekkeessa 5.3.2)

Kuinka ISMS.online voi auttaa

Esikonfiguroidun PIMS:n avulla voit nopeasti ja helposti järjestellä ja hallita asiakas-, toimittaja- ja henkilöstötietoja täysin ISO 27701 -standardin mukaisiksi.

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.

Lisätietoja: varata demo.