Turvallisen tiedonsiirron varmistaminen: ISO 27701, lauseke 6.10.2 selitetty
Tieto on usein haavoittuvimmillaan, kun sitä siirretään paikasta toiseen – joko fyysisesti, digitaalisesti tai sanallisesti.
Organisaatioiden on turvattava siirrettävä henkilökohtainen tieto ja annettava työntekijöille ja tavarantoimittajille selkeät ohjeet siitä, kuinka toimia siirrettäessä tietoa lähteestä toiseen.
Mitä ISO 27701:n lauseke 6.10.2 kattaa
ISO 27701 -lauseke 6.10.2 sisältää 4 alakohtaa, jotka koskevat yksityisyyden suojaa tiedonsiirron puitteissa. Jokainen alalause on riippuvainen ohjetiedoista ISO 27002:
- ISO 27701 6.10.2.1 – Tiedonsiirtokäytännöt ja -menettelyt (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.2 – Tiedonsiirtosopimukset (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.3 – Sähköinen viestintä (ISO 27002 Control 5.14).
- ISO 27701 6.10.2.4 – Luottamuksellisuus- tai salassapitosopimukset (ISO 27002 Control 6.6).
Kaksi alalauseketta sisältävät ohjeita, joita sovelletaan Yhdistyneessä kuningaskunnassa GDPR lainsäädäntö – (kohdat 6.10.2.1 ja 6.10.2.4), ilman, että PIMS- tai PII-ohjeistusta tarjotaan jo mainittujen yleisten ohjeiden ulkopuolella.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 -lauseke 6.10.2.1 – Tiedonsiirtokäytännöt ja -menettelyt
Viitteet ISO 27002 Control 5.14
Tiedonsiirtotoimien tulee:
- Keskity säätimiin, jotka estävät sieppaus, luvaton käyttö, kopiointi, muutos, väärä reititys, tuhoaminen ja palvelun epääminen henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja (katso ISO 27002 Control 8.24).
- Varmista, että tiedot ovat jäljitettävissä.
- Luokittele yhteyshenkilöluettelo – eli omistajat, riskinomistajat jne.
- Määrittele vastuut turvavälikohtauksen sattuessa.
- Sisällytä selkeät ja ytimekkäät merkintäjärjestelmät (katso ISO 27002 Control 5.13).
- Varmista luotettava siirtomahdollisuus, mukaan lukien aihekohtaiset tiedonsiirtokäytännöt (katso ISO 27002 Control 5.10).
- Esitä säilytys- ja hävittämisohjeet, mukaan lukien alue- tai alakohtaiset lait ja ohjeet.
Sähköinen siirto
Käyttäessään sähköisiä siirtotiloja organisaatioiden tulee:
- Yritä havaita haittaohjelmat ja suojata niitä (katso ISO 27002 Control 8.7).
- Keskity liitteiden suojaamiseen.
- Ole erittäin huolellinen lähettäessäsi tiedot oikeaan osoitteeseen.
- Toimeksianto hyväksyntäprosessille, ennen kuin työntekijät voivat välittää tietoja "ulkoisten julkisten palvelujen" kautta (esim. pikaviestintä) ja valvoa paremmin tällaisia menetelmiä.
- Vältä tekstiviestipalveluiden ja faksilaitteiden käyttöä mahdollisuuksien mukaan.
Fyysiset siirrot (mukaan lukien tallennusvälineet)
Kun siirretään fyysisiä tietovälineitä (mukaan lukien paperiasiakirjoja) tilojen tai ulkoisten toimipaikkojen välillä, organisaatioiden tulee:
- Määrittele selkeät vastuut lähettämisestä ja vastaanottamisesta.
- Ole erittäin huolellinen oikeiden osoitetietojen syöttämisessä.
- Käytä pakkausta, joka suojaa fyysisiltä vaurioilta tai muutoksilta.
- Käytä luetteloa valtuutetuista kuriireista ja kolmansien osapuolien lähettäjistä, mukaan lukien vankat tunnistusstandardit.
- Pidä perusteellisia lokeja kaikista fyysisistä siirroista, mukaan lukien vastaanottajan tiedot, siirtojen päivämäärät ja kellonajat sekä kaikki fyysiset suojatoimenpiteet.
Suulliset siirrot
Arkaluonteisten tietojen suullinen välittäminen muodostaa ainutlaatuisen turvallisuusriskin, erityisesti kun on kyse henkilökohtaisista tunnistetietojen ja yksityisyyden suojasta.
Organisaatioiden tulee muistuttaa työntekijöitä:
- Vältä tällaisia keskusteluja julkisessa paikassa tai suojaamattomassa sisäisessä paikassa.
- Vältä jättämästä vastaajaviestejä, jotka sisältävät arkaluontoisia tai rajoitettuja tietoja.
- Varmista, että henkilö, jolle he puhuvat, on sopivalla tasolla vastaanottamaan mainitut tiedot, ja kerro heille, mitä aiotaan sanoa ennen tietojen paljastamista.
- Ota huomioon heidän ympäristönsä ja varmista, että huoneen säätimiä noudatetaan.
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 lauseke 6.10.2.2 – Tiedonsiirtosopimukset
Viitteet ISO 27002 Control 5.14
Katso ISO 27701 lauseke 6.10.2.1
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.10.2.3 – Sähköinen viestintä
Viitteet ISO 27002 Control 5.14
Katso ISO 27701 lauseke 6.10.2.1
ISO 27701 lauseke 6.10.2.4 – Luottamuksellisuus- tai salassapitosopimukset
Viitteet ISO 27002 Control 6.6
Organisaatioiden tulee käyttää salassapitosopimuksia (NDA) ja luottamuksellisuussopimuksia suojatakseen arkaluonteisten tietojen tahallista tai vahingossa tapahtuvaa luovuttamista luvattomalle henkilöstölle.
Tällaisia sopimuksia laatiessaan, toteuttaessaan ja ylläpitäessään organisaatioiden tulee:
- Tarjoa määritelmä suojattavalle tiedolle.
- Ilmoita selkeästi sopimuksen odotettu kesto.
- Ilmoita selkeästi tarvittavat toimenpiteet, kun sopimus on irtisanottu.
- Kaikki velvollisuudet, jotka vahvistetut allekirjoittajat ovat sopineet.
- Tietojen omistusoikeus (mukaan lukien IP ja liikesalaisuudet).
- Miten allekirjoittajat saavat käyttää tietoja.
- Selvitä selkeästi organisaation oikeus valvoa luottamuksellisia tietoja.
- Kaikki seuraukset, jotka johtuvat noudattamatta jättämisestä.
- Tarkistaa säännöllisesti heidän luottamuksellisuustarpeensa ja muokkaa tulevia sopimuksia vastaavasti.
Luottamuksellisuutta koskevat lait vaihtelevat lainkäyttöalueittain, ja organisaatioiden tulee ottaa huomioon omat lakisääteiset velvoitteensa laatiessaan NDA-sopimuksia ja salassapitosopimuksia (katso ISO 27002 -säädökset 5.31, 5.32, 5.33 ja 5.34).
Sovellettavat GDPR-artikkelit
- 5 artiklan 1 kohta
- 25 artikla – 1 kohdan f alakohta
- 28 artikla – 3 kohdan b alakohta
- 38 artiklan 5 kohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.10.2.1 | Tiedonsiirtokäytännöt ja -menettelyt |
5.14 – Tietojen siirto ISO 27002:lle | Artikkeli (5) |
| 6.10.2.2 | Tiedonsiirtosopimukset |
5.14 – Tietojen siirto ISO 27002:lle | Ei eristetty |
| 6.10.2.3 | Sähköinen viestintä |
5.14 – Tietojen siirto ISO 27002:lle | Ei eristetty |
| 6.10.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.6 – ISO 27002:n luottamuksellisuus- tai salassapitosopimukset | Artikkeli (5), (25), (28), (38) |
Miten ISMS.online auttaa
Olitpa vasta alkamassa tarkastella tietosuojaa tai asiantuntija, joka haluaa integroida useita standardeja ja säädöksiä, ominaisuuksiamme on helppo käyttää ja edistyt heti kirjautuessasi sisään.
- Sisäänrakennettu riskipankki
- ROPA on tehty helpoksi
- Turvallinen tila DRR:lle
Lisätietoja: varata demo.
Hyppää aiheeseen
