On tärkeää, että organisaatiot saavat ennen PIMS:n käyttöönottoa selkeän kuvan siitä, mitkä ovat niiden erityiset yksityisyyden suojan/PII-tavoitteet kaikilla tietoturvatoiminnan tasoilla.
Riskinarvioinnin tulisi olla keskeinen osa kaikkia organisaation laajuisia yksityisyyden suojaprotokollia, mukaan lukien ymmärrys siitä, miten riskejä arvioidaan ja analysoidaan, ja "riskien käsittely" eli riskin muuttaminen useiden teknisten toimenpiteiden avulla.
ISO 27701 5.4 käsittelee vaiheita, jotka organisaatioiden on toteutettava suunniteltaessa PIMS- tai yksityisyyden suojakäytäntöä.
ISO 27701 5.4 pohjautuu standardin ISO 27001 6.1 (Toimenpiteet riskeihin ja mahdollisuuksiin puuttumiseksi) ohjeisiin, ja se sisältää lisäohjeita neljälle pääalalausekkeelle:
Molemmat alalausekkeet (5.4.1.2 ja 5.4.1.3) sisältävät ohjeita, jotka liittyvät suoraan sopimuksen artiklaan 32. GDPR, tarkemmin kohdat (1) (b), (2).
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Yleisesti ottaen organisaatioiden on omaksuttava riskikohtainen lähestymistapa PIMS:n suunnittelussa, joka:
Suunnitelmaa laatiessaan organisaatioiden tulee:
Standardin ISO 27701 5.4.1.1 sisältämät ohjeet liittyvät läheisesti organisaation kykyyn ymmärtää vaatimuksiaan sekä sisäisen ja ulkoisen henkilöstön ja henkilökohtaisten tunnistetietojen kohteiden odotuksia, joiden tietoja organisaatiolla on hallussaan.
Organisaatioiden tulee suunnitella ja ottaa käyttöön yksityisyyden suojan riskinarviointiprosessi, joka:
Organisaatioiden tulisi keskittyä riskinarviointitoimintaan, joka ei koske vain tietoturvaa, vaan täydentää PIMS:n käyttöönottoa sekä henkilökohtaisten tunnistetietojen käsittelyä ja tallennusta.
Organisaatioiden tulee pitää mielessä seuraukset paitsi yritykselle itselleen, myös mahdollisille henkilökohtaisten tunnistetietojen päämiehille, jos ongelmia ilmenee.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Organisaatioiden tulee laatia ja ottaa käyttöön yksityisyyden suojan/henkilökohtaisen tiedon "riskinkäsittelyprosessi", joka:
Organisaation yksityisyyden suojatavoitteiden tulisi:
Organisaatioiden on koko suunnitteluprosessin aikana laadittava seuraavat asiat:
ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27001 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
---|---|---|---|
5.4.1.1 | general | 6.1.1 – Yleiset näkökohdat ISO 27001:n riskien suunnittelussa | Ei eristetty |
5.4.1.2 | Tietoturvariskin arviointi | 6.1.2 – Tietoturvariskin arviointi ISO 27001:lle | Artikkeli (32) |
5.4.1.3 | Tietoturvariskien käsittely | 6.1.3 – Tietoturvariskien käsittely ISO 27001:lle | Artikkeli (32) |
5.4.2 | Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu | 6.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu ISO 27001:lle | Ei eristetty |
Sinun on luotava Privacy Information Management System (PIMS), jotta se täyttää ISO 27701 -standardin. Valmiiksi rakennetun Privacy Information Management System (PIMS) -järjestelmän avulla voit nopeasti ja tehokkaasti järjestää ja käsitellä asiakas-, toimittaja- ja työntekijätietoja ISO 27701 -standardin vaatimusten mukaisesti.
Tietosuoja-arviointeja voidaan laatia ja suorittaa helposti aina tietosuojavaikutusten arvioinneista lainsäädännöllisiin tai vaatimustenmukaisuusvalmiuksiin.
Katso koko ominaisuusvalikoimamme osoitteessa varata demo.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi