ISO 27701:n lausekkeen 6.13 ymmärtäminen: opas tapausten hallintaan
Tietosuojatietohäiriöiden hallinta käsittelee tietoturvatapahtumia, joihin on eskaloitunut vaaratilanteiden – niiden tunnistamisen, ratkaisemisen, todisteiden tarjoamisen ja muutokseen vaikuttamisen kannalta perussyyanalyysin avulla.
Yksityisyysloukkaukset voivat vaikuttaa merkittävästi organisaation maineeseen ja taloudelliseen asemaan. Sellaisenaan on elintärkeää toimia vankilla tapaustenhallintamenetelmillä, jotka ovat helposti kommunikoitavissa ja kaikkien asianosaisten hyvin ymmärtämiä.
Mitä ISO 27701:n lauseke 6.13 kattaa
ISO 27701 lauseke 6.13 sisältää 7 alakohtaa, jotka käsittelevät tietoturvahäiriöiden hallintaa ja parannuksia, ja jokainen ohjaus sisältää ohjeita ISO 27002, vaikkakin yksityisyyden suojan yhteydessä:
- ISO 27701 6.13.1.1 – Vastuut ja menettelyt (ISO 27002 Control 5.24)
- ISO 27701 6.13.1.2 – Tietoturvatapahtumien raportointi (ISO Control 27002 6.8)
- ISO 27701 6.13.1.3 – Tietoturvan heikkouksista ilmoittaminen (ISO 27002 Control 6.8)
- ISO 27701 6.13.1.4 – Tietoturvatapahtumien arviointi ja päätökset (ISO 27002 Control 5.25)
- ISO 27701 6.13.1.5 – Reagointi tietoturvahäiriöihin (ISO 27002 Control 5.26)
- ISO 27701 6.13.1.6 – Tietoturvahäiriöistä oppiminen (ISO 27002 Control 5.27)
- ISO 27701 6.13.1.7 – Todisteiden kerääminen (ISO 27002 Control 5.28)
Tapahtumien hallinta on laaja ja monipuolinen aihe, joten useat alalausekkeet sisältävät lisäohjeita ISO 27002 -standardin mukaisista valvontatoimista.
Vain yksi alalauseke (ISO 27701 6.13.1.1) sisältää tietoja, jotka koskevat Yhdistyneen kuningaskunnan alueita GDPR lainsäädäntö – olemme lisänneet artikkelinumerot ohjepisteiden alle avuksesi.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.13.1.1 – Vastuut ja menettelyt
Viitteet ISO 27002 Control 5.24
Roolit ja vastuut
Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:
- Noudata tietosuojatietoturvatapahtumien raportointitapaa.
- Luo joukko prosesseja, jotka hallitsevat yksityisyyden tietoturvaan liittyviä tapahtumia kaikkialla yrityksessä, mukaan lukien:
- Hallinto.
- Dokumentointi.
- Havaitseminen.
- Triage.
- Prioriteetti.
- Analyysi.
- Viestintä.
- Laadi tapausten reagointimenettely, jonka avulla organisaatio voi arvioida tapauksia, reagoida niihin ja oppia niistä.
- Varmista, että tapauksia hallitsee koulutettu ja pätevä henkilöstö, joka hyötyy jatkuvasta työpaikan koulutus- ja sertifiointiohjelmista.
Tapahtumien hallinta
Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:
- Tapauksen ratkaisemiseen tarvittava aika.
- Mahdolliset seuraukset.
- Tapahtuman vakavuus.
Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:
- Arvioi tapahtumia tiukkojen kriteerien mukaisesti, mikä vahvistaa ne hyväksytyiksi tapahtumiksi.
- Luokittele tietosuojan tietoturvatapahtumat viiteen ala-aiheeseen:
- Valvonta (katso ISO 27002 -ohjaimet 8.15 ja 8.16).
- Tunnistus (katso ISO 27002 Control 8.16).
- Luokitus (katso ISO 27002 Control 5.25).
- Analyysi.
- Raportointi (katso ISO 27002 Control 6.8).
- Ratkaiseessaan tietosuojaa koskevia tietoturvaloukkauksia organisaatioiden tulee:
- Vastaa ja eskaloi ongelmat (katso ISO 27002 Control 5.26) tapahtumatyypin mukaan.
- Aktivoi kriisinhallinta ja liiketoiminnan jatkuvuussuunnitelmat.
- Vaikuttaa ohjattuun toipumiseen tapahtumasta, joka lieventää toiminnallisia ja/tai taloudellisia vahinkoja.
- Varmista, että tapahtumiin liittyvistä tapahtumista tiedotetaan perusteellisesti kaikille asiaankuuluville henkilöille.
- Osallistu yhteistyöhön (katso ISO 27002 Controls 5.5 ja 5.6).
- Kirjaa kaikki tapahtumanhallintaan perustuvat toiminnot.
- Vastaa tapahtumiin liittyvien todisteiden käsittelystä (katso ISO 27002 Control 5.28).
- Suorita perusteellinen perussyyanalyysi minimoidaksesi vaaran, että tapahtuma toistuisi, mukaan lukien ehdotetut muutokset prosesseihin.
Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:
- Toimenpiteet, jotka on suoritettava tietoturvatapahtuman sattuessa.
- Tapahtumalomakkeita, jotka tallentavat tietoja koko tapahtuman ajan.
- Päästä päähän -palauteprosessit kaikille asiaankuuluville henkilöille.
- Tapahtumaraportit kertovat yksityiskohtaisesti, mitä tapahtui, kun tapaus on ratkaistu.
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
- 33 artikla – 1 kohta, 3 kohdan a alakohta, 3 kohdan b alakohta, 3 kohdan c alakohta, 3 kohdan d alakohta, 4, 5 kohta
- 34 artikla – 1, 2, 3 kohdan a alakohta, 3 kohdan b alakohta, 3 kohdan c alakohta, 4 kohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
ISO 27701, lauseke 6.13.1.2 – Tietoturvatapahtumien raportointi
Viitteet ISO 27002 Control 6.8
Organisaatioiden on varmistettava, että tietosuojatietotapahtumat raportoidaan oikea-aikaisesti ja tehokkaasti.
Henkilökunnalle on tarjottava nopeat ja helpot tavat ilmoittaa tietosuojatietotapahtumista, ja heidän on oltava täysin tietoisia siitä, mitä loukkaus tarkoittaa.
Yksityisyystietotapahtumat voivat sisältää:
- Tehottomat tietosuojatiedot.
- Tietojen luottamuksellisuuden, eheyden tai saatavuuden rikkominen.
- Inhimillinen erehdys tai ilkeä interventio.
- Tietosuojatietoturvakäytäntöjen (aihekohtainen ja yleinen) noudattamatta jättäminen.
- Fyysisten turvatarkastusten rikkominen.
- Luvattomat järjestelmän muutokset.
- Ohjelmiston toimintahäiriöt.
- Fyysiset ja loogiset pääsyrikkomukset.
- Erilaisia haavoittuvuuksia.
- Haittaohjelmatartunnat (epäillyt tai todelliset).
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.13.1.3 – Tietoturvan heikkouksien ilmoittaminen
Viitteet ISO 27002 Control 6.8
Katso ISO 27701 lauseke 6.13.1.2
ISO 27701 lauseke 6.13.1.4 – Tietoturvatapahtumien arviointi ja päätökset
Viitteet ISO 27002 Control 5.25
Organisaatioiden tulisi omaksua laadullinen lähestymistapa yksityisyyden tietoturvaloukkausten hallintaan, joka sisältää 4 avainkohtaa:
- Selkeän luokittelujärjestelmän laatiminen, joka lisää tietosuojan tietoturvaa Tapahtumat yksityisyyden tietoturvaan vaaratilanteiden.
- Luettelo yhteyshenkilön, joka arvioi tietosuojan tietoturvatapahtumat tiukkojen luokitussääntöjen avulla.
- Varmistetaan, että tekninen henkilöstö on riittävän ammattitaitoista ja varustautunut ratkaisemaan yksityisyyden tietoturvaloukkauksia.
- Kirjaa kaikki keskustelut ja ratkaisutoiminta myöhempää harkintaa varten ja minimoi samankaltaisten tapahtumien riski.
ISO 27701 lauseke 6.13.1.5 – Reagointi tietoturvahäiriöihin
Viitteet ISO 27002 Control 5.26
Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).
Organisaatioiden tulee:
- Sisällytä kaikki alkuperäisestä ongelmasta johtuvat yksityisyyteen liittyvät uhat.
- Kerää todisteita koko ratkaisuprosessin ajan.
- Sisällytä eskalointi, BUDR-toiminnot ja jatkuvuuden suunnittelu kaikkiin ratkaisutoimiin (katso ISO 27002 -säädöt 5.29 ja 5.30).
- Kirjaa kaikki tapahtumaan liittyvät toimet.
- Varmista, että henkilökunta toimii "tarve tietää" -periaatteella käsitellessään yksityisyyttä koskevia tietoja.
- Ole jatkuvasti tietoinen heidän velvollisuuksistaan asiakkaitaan ja ulkopuolisia organisaatioita kohtaan, kun tiedotat tietosuojatapauksista ja tietoturvaloukkauksista.
- Sulje tapaukset tiukkojen ratkaisukriteerien mukaisesti.
- Suorita rikostekninen analyysi (katso ISO 27002 Control 5.28) tarpeen mukaan.
- Yritä selvittää tapahtuman taustalla oleva syy, kun se on ratkaistu (katso ISO 27002 Control 5.27).
- Ryhdy korjaaviin toimenpiteisiin liittyvissä prosesseissa, hallinnassa, käytännöissä ja menettelyissä vahvistaaksesi organisaation yksityisyyden suojaa, kun tapaus on ratkaistu.
Sovellettavat GDPR-artikkelit
- 33 artikla – (1), (2), (3) (a), (3) (b), (3) (c), (3) (d), (4), (5)
- 34 artikla – 1 ja 2 kohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
ISO 27701 lauseke 6.13.1.6 – Tietoturvatapauksista oppiminen
Viitteet ISO 27002 Control 5.26
Organisaatioiden tulisi luoda tapaustenhallintamenettelyjä, jotka käsittelevät kolmea yksityisyyden tietoturvaloukkausten pääelementtiä:
- Tapahtumatyyppi.
- Arvioitu määrä.
- Arvioidut kustannukset.
Tietosuojatietoturvahäiriöiden tulisi hyötyä menettelyistä, jotka:
- Vahvistaa organisaation olemassa olevaa tapaustenhallintakehystä (katso ISO 27002 Control 5.24).
- Paranna organisaation tietosuojatietojen riskinarviointiprosesseja.
- Parempi käyttäjien tietoisuus – tämä voidaan saavuttaa tarjoamalla todellisia esimerkkejä skenaarioista ja niiden käsittelystä.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27702 5.24
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.13.1.7 – Todisteiden kerääminen
Viitteet ISO 27002 Control 5.28
Organisaatioiden tulee kerätä todisteita tapahtumatoiminnasta nimenomaisena tarkoituksenaan täyttää lakisääteiset, sopimukseen perustuvat ja kurinpidolliset velvoitteensa.
Todisteiden keräämistoimilla tulisi varmistaa, että useat sääntely- ja lainsäädäntöelimet pystyvät tarkastelemaan tapahtumatoimintaa käyttämällä (mutta ei rajoittuen):
- Tallennusväline.
- Omaisuus ja laitteet.
- Laitteen tila.
Organisaatioiden ei pitäisi tehdä mitään oletuksia siitä, mitä todisteita niiden on kerättävä – varsinkin kun on kyse yksityisyyden suojaa koskevista tiedoista – ja organisaatioiden tulee ottaa oikeusviranomaiset mukaan mahdollisimman pian, jos heillä on epäilyksiä siitä, mitä on tapahduttava.
Toimittaessaan todisteita ulkopuolisille elimille organisaatioiden tulee osoittaa, että:
- Tapahtumatiedot ovat täydelliset ja häiriöttömät.
- Sähköinen todiste heijastaa sen fyysistä vastinetta.
- ICT-järjestelmillä oli kyky tallentaa riittävästi kaikki asiaankuuluvat todisteet.
- Todisteiden keräämiseen osallistuva tekninen henkilöstö on riittävän pätevää ja pätevää hoitamaan tehtävänsä.
- Heillä on laillinen kyky kerätä todisteita.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.13.1.1 | Vastuut ja menettelyt |
5.24 – Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu ISO 27002:ta varten | Tavarat (5), (33), (34) |
| 6.13.1.2 | Tietoturvatapahtumien ilmoittaminen |
6.8 – Tietoturvatapahtumien raportointi ISO 27002:lle | Ei eristetty |
| 6.13.1.3 | Tietoturvan heikkouksista ilmoittaminen |
6.8 – Tietoturvatapahtumien raportointi ISO 27002:lle | Ei eristetty |
| 6.13.1.4 | Tietoturvatapahtumien arviointi ja päätökset |
5.25 – ISO 27002 -standardin tietoturvatapahtumien arviointi ja päätös | Ei eristetty |
| 6.13.1.5 | Vastaus tietoturvaloukkauksiin |
5.26 – ISO 27002:n tietoturvahäiriöihin reagointi | Tavarat (33), (34) |
| 6.13.1.6 | Tietoturvahäiriöistä oppimista |
5.27 – Tietoturvahäiriöistä oppiminen ISO 27002:lle | Ei eristetty |
| 6.13.1.7 | Todisteiden kerääminen |
5.28 – ISO 27002:n todisteiden kerääminen | Ei eristetty |
Miten ISMS.online auttaa
ISMS.onlinen avulla voit helposti saavuttaa ISO 27701 -yhteensopivuuden käyttämällä pilvipohjaista tiedonhallintaratkaisua.
Lisäksi tietoturva-asiantuntijamme ja -resurssimme ovat käytettävissäsi auttamaan sinua ISO 27701 -akkreditointiprosessissa.
Lisätietoja: varata demo.
Hyppää aiheeseen
