ISO 27701, lauseke 5.7: Suorituskyvyn arvioinnin opas
Olennainen osa vedenpitävien yksityisyyden suojan hallintalaitteiden käyttöä tunnustaa tarpeen jatkuvasti seurata, arvioida ja parantaa organisaation noudattamista
Henkilökohtaisiin tietoihin liittyvät tavoitteet ja lakisääteiset vaatimukset.
ISO 27701 Control 5.7 sisältää selkeät ohjeet, jotka kertovat organisaatioille, kuinka arvioida omaa suorituskykyään, ja yhtä tärkeää on saada aikaan merkittävää muutosta, jotta yksityisyyden suoja pysyy niiden laajemman tietoturvapolitiikan eturintamassa.
Mitä ISO 27701:n lauseke 5.7 kattaa
ISO 27701 -standardin lauseke 5.7 sisältää kolme alakohtaa, jotka käsittelevät yksityisyyden suojan arvioinnin kolmea pääosaa – seurantaa, koesoittoa ja tarkistusta.
Jokainen alalause on linkitetty mukana oleviin tietoturvaohjeisiin ISO 27001:stä:
- ISO 27701 5.7.1 – Valvonta, mittaus, analysointi ja arviointi (viitteet ISO 27001 Control 9.1)
- ISO 27701 5.7.2 – Sisäinen tarkastus (viitteet ISO 27001 Control 9.2)
- ISO 27701 5.7.3 – Johdon katsaus (viitteet ISO 27001 Control 9.3)
Kohdasta 5.7 puuttuu lisäohjeita suorituskyvyn arviointiohjeiden soveltamisesta PIM:ien yhteydessä, eikä se sisällä ohjeita GDPR.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 lauseke 5.7.1 – Valvonta, mittaus, analyysi ja arviointi
Viitteet ISO 27001 Control 9.1
Organisaatioiden on jatkuvasti seurattava ja arvioitava, kuinka ne toimivat yksityisyyden suojan näkökulmasta ja kuinka tehokas niiden PIMS on asetettujen tavoitteiden puitteissa.
Tätä tehdessään organisaatioiden on perustettava:
- Täsmälleen mitkä niiden toiminta-alueet vaativat seurantaa;
- kuinka he aikovat suorittaa mainitun seurannan ja mekanismit, joita he aikovat käyttää saadun tiedon analysointiin;
- Milloin seurantatoimia on suoritettava;
- Ketkä henkilöstön jäsenet osallistuvat seurantatoimiin?
- Aika, jolloin tulokset on analysoitava seurantatoimien jälkeen.
Kuten kaikista muista yksityisyyden suojaan ja henkilökohtaisiin tunnistetietoihin liittyvistä toimista, kaikista seurantatoimista on pidettävä perusteellinen kirjaa virallisen asiakirjan muodossa.
ISO 27701, lauseke 5.7.2 – Sisäinen tarkastus
Viitteet ISO 27001 Control 9.2
Organisaatioiden tulee olla tietoisia vastuustaan omista tiedoistaan ja prosesseistaan suorittamalla suunniteltuja auditointeja sopivin väliajoin.
Tarkastuksissa on selvitettävä:
- Onko PIMS linjassa organisaation yksityisyyden suojavaatimusten ja asiaankuuluvien ISO-standardien kanssa?
- Että PIMS on otettu käyttöön oikein ja sitä on ylläpidetty riittävästi.
Näiden tavoitteiden saavuttamiseksi organisaatioiden tulee:
- Suunnittele, luo ja ylläpidä auditointiohjelmaa, joka ottaa huomioon useita keskeisiä yksityiskohtia:
- Tarkastustaajuus;
- Tarkastusmenetelmä;
- Sisäiset roolit ja vastuut;
- Ennen käyttöönottoa ja suunnittelua koskevat vaatimukset;
- Tarkastustietojen raportointi.
- Määritä kunkin yksittäisen tarkastuksen laajuus.
- Vahvistaa puolueettomuuden ja objektiivisen lähestymistavan tarvetta tietojen analysointiin riippumatta siitä, kenen kanssa tarkastus on valittu, olipa kyseessä sisäinen tai ulkoinen henkilöstö.
- Varmista, että auditointitulokset tavoittavat oikeita sisäisiä kanavia (ylempi johto jne.), jotta organisaation tietoturvan hallintajärjestelmän parantamiseksi voidaan tarvittaessa tehdä mielekkäitä toimia.
- Pidä perusteellinen kirjaa kaikista auditointitoimista dokumentoitujen tietojen muodossa.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701 lauseke 5.7.3 – Johdon katsaus
Viitteet ISO 27001 Control 9.3
Ylimmällä johdolla on keskeinen rooli minkä tahansa tietosuojakäytännön tai PIMS-toteutuksen toimivuuden ja tehokkuuden varmistamisessa.
Tarkastellessaan organisaation henkilökohtaisiin tunnistetietoihin liittyvien valvontatoimien, käytäntöjen ja menettelyjen noudattamista, johdon tulee ottaa huomioon:
- Kaikki edellisestä tarkistuksesta jäljellä olevat toimet.
- Kaikki muutokset organisaation toiminnassa, jotka voivat vaikuttaa yksityisyyden suojaan tai henkilökohtaisten tunnistetietojen käsittelyyn ja/tai tallentamiseen.
- Palaute kaikilta asiaankuuluvilta lähteiltä tietosuojasta, joka sisältää havaittavia suuntauksia:
- noudattamatta jättäminen ja korjaavat toimet;
- Kaikki seurantatoimista saadut tiedot;
- Viimeaikaisten tarkastusten tulokset;
- Miten organisaatio saavuttaa asettamansa tietosuojatavoitteensa.
- Palaute asiaankuuluvalta henkilöstöltä (sisäiseltä tai ulkopuolelta).
- Yksityisyyden suojaa koskevien riskien arviointien tulokset ja se, miten niitä käsitellään erityisellä riskinhallintasuunnitelmalla.
- Miten organisaatio aikoo kehittää ja parantaa tietosuojatoimintaansa, mukaan lukien mahdolliset muutokset.
Kaikki katsaukset tulee dokumentoida perusteellisesti tulevaa analyysiä varten ja jatkuvuuden varmistamiseksi tarkastuksesta toiseen.
Tuetut ohjaimet ISO 27001:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27001 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 5.7.1 | Seuranta, mittaus, analyysi ja arviointi |
9.1 – ISO 27001:n seuranta, mittaus, analyysi ja arviointi |
Ei eristetty |
| 5.7.2 | Sisäinen tarkastus |
9.2 – ISO 27001:n sisäinen tarkastus |
Ei eristetty |
| 5.7.3 | Johdon katsaus |
9.3 – ISO 27001:n johdon katsaus |
Ei eristetty |
Miten ISMS.online auttaa
ISMS.online-alustalla on sisäänrakennettu opastus jokaisessa vaiheessa yhdistettynä 'Ota, mukauta, lisää' -toteutustapaamme, joten ISO 27701:n saavuttamiseen vaadittava vaiva vähenee huomattavasti.
Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.
Tutustu ISMS.onlinen etuihin by varata demo.
