ISO 27701, kohta 5.4 – Suunnittelu

ISO 27701 -säädökset ja lausekkeet selitetty

Varaa demo

siluetit,ihmisistä,istuivat,pöydässä.,ryhmä

On tärkeää, että organisaatiot saavat ennen PIMS:n käyttöönottoa selkeän kuvan siitä, mitkä ovat niiden erityiset yksityisyyden suojan/PII-tavoitteet kaikilla tietoturvatoiminnan tasoilla.

Riskinarvioinnin tulisi olla keskeinen osa kaikkia organisaation laajuisia yksityisyyden suojaprotokollia, mukaan lukien ymmärrys siitä, miten riskejä arvioidaan ja analysoidaan, ja "riskien käsittely" eli riskin muuttaminen useiden teknisten toimenpiteiden avulla.

Mitä ISO 27701:n lauseke 5.4 kattaa

ISO 27701 5.4 käsittelee vaiheita, jotka organisaatioiden on toteutettava suunniteltaessa PIMS- tai yksityisyyden suojakäytäntöä.

ISO 27701 5.4 pohjautuu standardin ISO 27001 6.1 (Toimenpiteet riskeihin ja mahdollisuuksiin puuttumiseksi) ohjeisiin, ja se sisältää lisäohjeita neljälle pääalalausekkeelle:

  • ISO 27701, lauseke 5.4.1.1 (viittaukset ISO 27001 Control 6.1.1)

  • ISO 27701, lauseke 5.4.1.2 (viittaukset ISO 27001 Control 6.1.2)

  • ISO 27701, lauseke 5.4.1.3 (viittaukset ISO 27001 Control 6.1.3)

  • ISO 27701, lauseke 5.4.2 (viittaukset ISO 27001 Control 6.2)

Molemmat alalausekkeet (5.4.1.2 ja 5.4.1.3) sisältävät ohjeita, jotka liittyvät suoraan sopimuksen artiklaan 32. GDPR, tarkemmin kohdat (1) (b), (2).

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

Siirry aiheeseen
Saavuta ISO 27701 -menestys

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISO 27701, lauseke 5.4.1.1 – Yleistä

Viitteet ISO 27001 Control 6.1.1

Yleisesti ottaen organisaatioiden on omaksuttava riskikohtainen lähestymistapa PIMS:n suunnittelussa, joka:

  1. Pyrkii rakentamaan PIMS:n, joka saavuttaa tietyt yksityisyyden suojatavoitteet.

  2. Pyritään joko poistamaan kokonaan tai minimoimaan kaikki haittavaikutukset.

  3. Pyrkii PII- ja yksityisyyden suojaan liittyvien toimintojen jatkuvaan kehittämiseen ja asteittaiseen parantamiseen.

Suunnitelmaa laatiessaan organisaatioiden tulee:

  1. Ole tietoinen erityisistä toimista, joita tarvitaan riskien käsittelemiseksi, ja ota ne käyttöön PIMS:ssä.

  2. Arvioi jatkuvasti heidän lähestymistapaansa.

Asiaankuuluvat ISO 27001 -säätimet

Standardin ISO 27701 5.4.1.1 sisältämät ohjeet liittyvät läheisesti organisaation kykyyn ymmärtää vaatimuksiaan sekä sisäisen ja ulkoisen henkilöstön ja henkilökohtaisten tunnistetietojen kohteiden odotuksia, joiden tietoja organisaatiolla on hallussaan.

  • ISO 27001 4.1 – Organisaation ja sen kontekstin ymmärtäminen.

  • ISO 27001 4.2 – Asianomaisten osapuolten tarpeiden ja odotusten ymmärtäminen.

ISO 27701 lauseke 5.4.1.2 – Tietoturvariskin arviointi

Viitteet ISO 27001 Control 6.1.2

Organisaatioiden tulee suunnitella ja ottaa käyttöön yksityisyyden suojan riskinarviointiprosessi, joka:

  • Sisältää riskin hyväksymiskriteerit yksityisyyden suojan arviointeja varten.

  • Tarjoaa puitteet kaikkien yksityisyyden suojaa koskevien arvioiden vertailukelpoiselle analyysille.

  • Osoittaa yksityisyyden suojan riskit (ja niiden omistajat).

  • ottaa huomioon vaarat ja riskit, jotka liittyvät henkilötietojen luottamuksellisuuden, saatavuuden ja eheyden menettämiseen.

  • Analysoi yksityisyyden suojan riskejä kolmen tekijän ohella:

    • Niiden mahdolliset seuraukset.

    • Niiden esiintymisen todennäköisyys.

    • Niiden vakavuus.

  • Analysoi ja priorisoi tunnistetut riskit niiden riskitason mukaisesti.

Muita PIMS- ja PII-ohjeita

Organisaatioiden tulisi keskittyä riskinarviointitoimintaan, joka ei koske vain tietoturvaa, vaan täydentää PIMS:n käyttöönottoa sekä henkilökohtaisten tunnistetietojen käsittelyä ja tallennusta.

Organisaatioiden tulee pitää mielessä seuraukset paitsi yritykselle itselleen, myös mahdollisille henkilökohtaisten tunnistetietojen päämiehille, jos ongelmia ilmenee.

Sovellettavat GDPR-artikkelit

  • 32 artikla – Käsittelyn turvallisuus

    • Sovellettavat kohdat – (1) (b), (2)

Tutustu alustaamme

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Olemme kustannustehokkaita ja nopeita

Tutustu kuinka helppoa ISO 27701 on ISMS.onlinen avulla
Hanki tarjous

ISO 27701 lauseke 5.4.1.3 – Tietoturvariskien käsittely

Viitteet ISO 27001 Control 6.1.3

Organisaatioiden tulee laatia ja ottaa käyttöön yksityisyyden suojan/henkilökohtaisen tiedon "riskinkäsittelyprosessi", joka:

  1. toteuttaa yksityisyyden suojan "riskien hoitosuunnitelma".

  2. määrittää, kuinka PIMS:n tulisi käsitellä yksittäisiä riskitasoja arviointitulosten joukon perusteella.

  3. korostaa useita valvontatoimia, joita tarvitaan yksityisyyden suojan riskien käsittelyn toteuttamiseksi.

  4. vertaa kaikkia säätimiä, jotka on tunnistettu ISO:n toimittamassa kattavassa luettelossa ISO 27001:n liite A.

  5. dokumentoida ja perustella virallisessa "soveltamislausunnossa" käytettyjen tarkastusten käyttö.

  6. Pyydä hyväksyntä kaikilta riskinhaltijoilta ennen kuin viimeistelet yksityisyyden suojan riskien käsittelysuunnitelman, joka sisältää mahdolliset "jäännöstietosuoja- ja henkilötietoriskit".

Sovellettavat GDPR-artikkelit

  • 32 artikla – Käsittelyn turvallisuus

    • Sovellettavat kohdat – (1) (b), (2)

ISO 27701 lauseke 5.4.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu

Viitteet ISO 27001 Control 6.2

Organisaation yksityisyyden suojatavoitteiden tulisi:

  • Ole linjassa muiden tietoturvakäytäntöjen kanssa.

  • Ole kvantifioitavissa raportointia ja arviointia varten.

  • Sisällytä tiedot riskinarvioinneista ja riskien hoidosta.

  • oltava kaikkien asiaankuuluvien henkilökunnan jäsenten ja rekisteröityjen saatavilla.

  • Ole jatkuvasti kehittynyt ja päivitetty toiminnallisten tulosten ja todellisten tapahtumien mukaisesti.

  • Ole dokumentoitu.

Organisaatioiden on koko suunnitteluprosessin aikana laadittava seuraavat asiat:

  1. Kaikki tarvittavat resurssit.

  2. Kenelle annetaan tavoitteet kokonaan tai osittain.

  3. Milloin organisaation asetetut tavoitteet saavutetaan.

  4. Miten kaikki tiedot on analysoitava.

Tuetut ohjaimet ISO 27001:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27001 -vaatimusAsiaan liittyvät GDPR-artikkelit
5.4.1.1general6.1.1 – Yleiset näkökohdat ISO 27001:n riskien suunnittelussaEi eristetty
5.4.1.2Tietoturvariskin arviointi6.1.2 – Tietoturvariskin arviointi ISO 27001:lleArtikkeli (32)
5.4.1.3Tietoturvariskien käsittely6.1.3 – Tietoturvariskien käsittely ISO 27001:lleArtikkeli (32)
5.4.2Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu6.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu ISO 27001:lleEi eristetty

Miten ISMS.online auttaa

Sinun on luotava Privacy Information Management System (PIMS), jotta se täyttää ISO 27701 -standardin. Valmiiksi rakennetun Privacy Information Management System (PIMS) -järjestelmän avulla voit nopeasti ja tehokkaasti järjestää ja käsitellä asiakas-, toimittaja- ja työntekijätietoja ISO 27701 -standardin vaatimusten mukaisesti.

Tietosuoja-arviointeja voidaan laatia ja suorittaa helposti aina tietosuojavaikutusten arvioinneista lainsäädännöllisiin tai vaatimustenmukaisuusvalmiuksiin.

Katso koko ominaisuusvalikoimamme osoitteessa varata demo.

Katso alustamme
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Yksinkertainen. Turvallinen. Kestävä.

Katso alustamme toiminnassa tarpeidesi ja tavoitteidesi perusteella räätälöidyllä käytännönläheisellä istunnolla.

Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja