ISO 27701:n lausekkeen 6.15: Täydellinen yleiskatsaus yhteensopivuuden saavuttaminen
Vaatimusten noudattaminen on olennainen osa kaikkia yksityisyyden suojatoimia – organisaatioiden on pystyttävä osoittamaan, että ne täyttävät henkilökohtaisia tunnistetietoja koskevat velvoitteensa ja järjestelmiä, joita käytetään yksityisyyteen liittyvän materiaalin tallentamiseen ja käsittelyyn.
Mitä ISO 27701:n lauseke 6.15 kattaa
ISO 27701 6.15 käsittelee vaatimustenmukaisuutta kahdella pääalueella: lakien ja sopimusten vaatimusten noudattaminenja tietoturvatarkastuksia (jälkimmäinen on tärkein keino havaita vaatimustenvastaisuudet ja ratkaista kaikki yksityisyyteen liittyvät ongelmat).
- ISO 27701 6.15.1.1 – Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen (ISO 27002 Ohjaus 5.31)
- ISO 27701 6.15.1.2 – Immateriaalioikeudet (ISO 27002 Control 5.32)
- ISO 27701 6.15.1.3 – Tietueiden suojaus (ISO 27002 Control 5.33)
- ISO 27701 6.15.1.4 – Yksityisyys ja henkilökohtaisten tunnistetietojen suoja (ISO 27002 Control 5.34)
- ISO 27701 6.15.1.5 – Salausohjaimien säätely (ISO 27002 Control 5.31)
- ISO 27701 6.15.2.2 – Turvallisuuskäytäntöjen ja -standardien noudattaminen (ISO 27002 Control 5.36)
- ISO 27701 6.15.2.3 – Teknisen vaatimustenmukaisuuden tarkistus (ISO 27002 Control 5.36)
Neljä alalauseketta sisältävät Yhdistyneen kuningaskunnan kannalta olennaisia tietoja GDPR lainsäädäntö – olemme lisänneet artikkeliviittaukset jokaisen alakohdan alle avuksesi:
- ISO 27701 6.15.1.1
- ISO 27701 6.15.1.3
- ISO 27701 6.15.2.1
- ISO 27701 6.15.2.3
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.15.1.1 – Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen
Viitteet ISO 27002 Control 5.31
Organisaatioiden tulee noudattaa lakisääteisiä, lakisääteisiä, säännöksiä ja sopimusehtoja, kun:
- Yksityisyystietoturvamenettelyjen laatiminen ja/tai muuttaminen.
- Tietojen luokittelu.
- Yksityisyyden tietoturvatoimiin liittyvien riskiarviointien aloittaminen.
- Toimittajasuhteiden luominen, mukaan lukien kaikki sopimusvelvoitteet koko toimitusketjussa.
Lainsäädäntö- ja sääntelytekijät
Organisaatioiden tulee noudattaa menettelyjä, jotka mahdollistavat sen tunnistaa, analysoida ja ymmärtää lainsäädäntö- ja sääntelyvelvoitteet – erityisesti ne, jotka liittyvät yksityisyyden suojaan ja henkilökohtaisiin tietoihin – kaikkialla, missä ne toimivat.
Organisaatioiden tulee olla jatkuvasti tietoisia yksityisyyden suojaa koskevista velvoitteistaan, kun ne tekevät uusia sopimuksia kolmansien osapuolten, tavarantoimittajien ja urakoitsijoiden kanssa.
Cryptography
Ottaessaan käyttöön salausmenetelmiä yksityisyyden suojan ja henkilökohtaisten tunnistetietojen turvaamiseksi, organisaatioiden tulee:
- Noudata kaikkia lakeja, jotka säätelevät sellaisten laitteistojen tai ohjelmistojen tuontia ja vientiä, jotka voivat suorittaa salaustoiminnon.
- Tarjoa pääsy salattuihin tietoihin sen lainkäyttöalueen lakien mukaisesti, jolla he toimivat.
- Käytä kolmea salauksen avainelementtiä:
- Digitaaliset allekirjoitukset.
- Tiivisteet.
- Digitaaliset sertifikaatit.
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
- 28 artikla – 1 kohta, 3 kohdan a alakohta, 3 kohdan b alakohta, 3 kohdan c alakohta, 3 kohdan d alakohta, 3 kohdan e alakohta, 3 kohdan f alakohta, ( 3) (g), (3) (h)
- 30 artikla – 2 kohdan d alakohta
- 32 artikla – 1 kohdan b alakohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.20
ISO 27701 lauseke 6.15.1.2 – Immateriaalioikeudet
Viitteet ISO 27002 Control 5.32
Tietojen, ohjelmistojen tai omaisuuden suojaamiseksi, joita voidaan pitää immateriaaliomaisuutena (IP), organisaatioiden tulee:
- Noudata IP-oikeuksia käsittelevää "aihekohtaista" politiikkaa, joka ottaa IPR tapauskohtaisesti huomioon.
- Noudata menettelytapoja, jotka määrittelevät kuinka IP:n eheys voidaan ylläpitää samalla kun käytät organisaation ohjelmistoja ja tuotteita.
- Käytä vain hyvämaineisia lähteitä hankkiaksesi ohjelmistoja, kun ostat, vuokraat tai liisaat ohjelmistoja ja ohjelmistotilauksia.
- Säilytä omistusasiakirjat (sähköiset tai fyysiset).
- Noudata ohjelmiston käyttörajoituksia.
- Käy läpi määräajoin ohjelmistotarkistus välttääksesi luvattomien tai mahdollisesti haitallisten sovellusten käyttämisen.
- Varmista, että ohjelmistolisenssit ovat voimassa ja ajan tasalla ja että kohtuullisen käytön ohjeita noudatetaan.
- Suunnittele menettelyt, jotka varmistavat ohjelmistoomaisuuden turvallisen turvallisen ja vaatimustenmukaisen hävittämisen.
- (Kaupallisten tallenteiden osalta) varmista, ettei tallenteen osaa poimita, kopioida tai muunneta luvatta.
- Varmista, että tekstidata huomioidaan digitaalisen median rinnalla.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 6.15.1.3 – Tietueiden suojaus
Viitteet ISO 27002 Control 5.33
Organisaatioiden tulee harkita tietueiden hallintaa neljällä avainalueella:
- Aitous
- Luotettavuus
- Eheys
- Käytettävyys
Ylläpitääkseen toimivaa rekisterijärjestelmää, joka suojaa henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja, organisaatioiden tulee:
- Julkaise ohjeet, jotka koskevat:
- Varastointi.
- Käsittely (alkuperäketju).
- Hävittäminen.
- Manipuloinnin estäminen.
- Selvitä, kuinka kauan kukin tietuetyyppi tulee säilyttää.
- Noudata kaikkia kirjanpitoa koskevia lakeja.
- Noudata asiakkaiden odotuksia siinä, miten organisaatioiden tulee käsitellä tietueitaan.
- Tuhoa tietueita, kun niitä ei enää tarvita.
- Luokittele tietueet niiden turvallisuusriskin perusteella, esim.
- Kirjanpito.
- Yrityksen tilisiirrot.
- Henkilöstöasiakirjat.
- juridinen
- Varmista, että he pystyvät hakemaan tietueita hyväksyttävän ajan kuluessa, jos kolmas osapuoli tai lainvalvontaviranomainen pyytää niin.
- Noudata aina valmistajan ohjeita, kun tallennat tai käsittelet tallenteita elektronisissa medialähteissä.
Sovellettavat GDPR-artikkelit
- 5 artiklan 2 kohta
- 24 artiklan 2 kohta
ISO 27701 lauseke 6.15.1.4 – Yksityisyys ja henkilötietojen suoja
Viitteet ISO 27002 Control 5.34
Organisaatioiden tulee käsitellä henkilökohtaisia tunnistetietoja a aihekohtainen käsite, jota on käsiteltävä lukuisten erillisten liiketoimintatoimintojen puitteissa.
Ensinnäkin organisaatioiden tulee ottaa käyttöön käytäntöjä, jotka kattavat kolme henkilökohtaisten tunnistetietojen käsittelyn ja tallennuksen pääasiaa:
- säilytys
- yksityisyys
- suojaus
Organisaatioiden tulee varmistaa, että kaikki työntekijät ovat tietoisia velvollisuuksistaan henkilötietojen käsittelyssä, eivät vain ne, jotka kohtaavat niitä päivittäin osana työtään.
Tietosuojavastaavat
Organisaatioiden tulee nimittää tietosuojavastaava, jonka tehtävänä on neuvoa työntekijöitä ja kolmansien osapuolien organisaatioita henkilökohtaisiin tunnistetietoihin liittyvissä asioissa sekä neuvoa ylimmälle johdolle tietosuojatietojen eheyden ja saatavuuden ylläpitämisessä.
ISO 27701, lauseke 6.15.1.5 – Salausohjauksen sääntely
Viitteet ISO 27002 Control 5.31
Katso ISO 27701 lauseke 6.15.1.1
ISO 27701 lauseke 6.15.2.1 – Tietoturvan riippumaton tarkastus
Viitteet ISO 27002 Control 5.35
Organisaatioiden tulee kehittää prosesseja, jotka mahdollistavat niiden yksityisyystietoturvakäytäntöjen riippumattoman arvioinnin, mukaan lukien sekä aihekohtaiset käytännöt että yleiset käytännöt.
Arvostelut tulee suorittaa:
- Sisäiset tarkastajat.
- Riippumattomat osastonjohtajat.
- Erikoistuneet kolmannen osapuolen organisaatiot.
Katselmusten tulee olla riippumattomia ja niiden tulee olla henkilöiden, joilla on riittävät tiedot yksityisyyden suojan ohjeista ja organisaation omista menettelytavoista.
Tarkastajien tulee selvittää, ovatko tietosuojakäytännöt organisaation "dokumentoitujen tavoitteiden ja vaatimusten mukaisia".
Järjesteltyjen määräaikaistarkastelujen lisäksi organisaatiot voivat kohdata tarpeen suorittaa ad hoc -tarkastuksia, jotka laukaisevat tietyt tapahtumat, mukaan lukien:
- Sisäisten käytäntöjen, lakien, ohjeiden ja määräysten muutosten jälkeen, jotka vaikuttavat yksityisyyden suojaan.
- Suurten tapahtumien jälkeen, jotka ovat vaikuttaneet yksityisyyden suojaan.
- Aina kun uusi yritys perustetaan tai nykyiseen liiketoimintaan tehdään suuria muutoksia.
- Yksityisyyden suojaa millään tavalla käsittelevän uuden tuotteen tai palvelun käyttöönoton jälkeen.
Sovellettavat GDPR-artikkelit
- 32 artikla – 1 kohdan d alakohta, 2 kohta
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 -lauseke 6.15.2.2 – Turvallisuuskäytäntöjen ja -standardien noudattaminen
Viitteet ISO 27002 Control 5.36
Organisaatioiden on varmistettava, että henkilöstö pystyy tarkistamaan tietosuojakäytännöt koko liiketoiminnassaan.
Johdon tulee kehittää teknisiä menetelmiä tietosuojan noudattamisen raportoimiseksi (mukaan lukien automaatio ja räätälöidyt työkalut). Raportit tulee tallentaa, tallentaa ja analysoida henkilökohtaisten tunnistetietojen turvallisuuden ja yksityisyyden suojan parantamiseksi.
Jos vaatimustenmukaisuuteen liittyviä ongelmia havaitaan, organisaatioiden tulee:
- Selvitä syy.
- Päätä korjaustoimenpiteiden menetelmä aukkojen korjaamiseksi ja noudattamiseksi.
- Tarkista ongelma uudelleen sopivan ajan kuluttua varmistaaksesi, että ongelma on ratkaistu.
On erittäin tärkeää ryhtyä korjaaviin toimenpiteisiin mahdollisimman pian. Jos ongelmia ei saada täysin ratkaistua seuraavaan tarkasteluun mennessä, vähintään on esitettävä todisteet siitä, että edistystä tapahtuu.
ISO 27701, lauseke 6.15.2.3 – Teknisen vaatimustenmukaisuuden tarkistus
Viitteet ISO 27002 Control 5.36
Katso ISO 27701 lauseke 6.15.2.2
Sovellettavat GDPR-artikkelit
- 32 artikla – 1 kohdan d alakohta, 2 kohta
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.15.1.1 | Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen |
5.31 – ISO 27002:n lailliset, lakisääteiset, säännökset ja sopimusvaatimukset | Tavarat (5), (28), (30), (32) |
| 6.15.1.2 | Immateriaalioikeudet |
5.32 – ISO 27002:n immateriaalioikeudet | Ei eristetty |
| 6.15.1.3 | Tietueiden suojaus |
5.33 – Tietueiden suojaus ISO 27002:lle | Tavarat (5), (24) |
| 6.15.1.4 | Yksityisyys ja henkilötietojen suoja |
5.34 – Henkilökohtaisten tunnistetietojen yksityisyys ja suojaus ISO 27002:lle | Ei eristetty |
| 6.15.1.5 | Salausvalvonnan sääntely |
5.31 – ISO 27002:n lailliset, lakisääteiset, säännökset ja sopimusvaatimukset | Ei eristetty |
| 6.15.2.1 | Tietoturvan riippumaton katsaus |
5.35 – ISO 27002 -standardin tietoturvan riippumaton katsaus | Artikkeli (32) |
| 6.15.2.2 | Turvallisuuskäytäntöjen ja -standardien noudattaminen |
5.36 – ISO 27002:n tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen | Ei eristetty |
| 6.15.2.3 | Teknisen vaatimustenmukaisuuden tarkistus |
5.36 – ISO 27002:n tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen | Artikkeli (32) |
Miten ISMS.online auttaa
ISO 27701 ei ole vain kehys organisaatioille. se tarkoittaa ihmisten tavan mukauttaa tiedon ymmärtämistä, käyttöliittymää ja vuorovaikutusta sen kanssa.
ISMS.onlinessa olemme suunnitelleet järjestelmämme niin, että sinä ja henkilökuntasi voitte hyödyntää helppokäyttöistä käyttöliittymäämme ISO-matkasi dokumentointiin.
Tarjoamme myös videoresursseja ja pääsyn tietoturva-alan ammattilaisille, jotka auttavat sinua integroimaan standardit yritykseesi.
Lisätietoja: varata käytännön demo.
Hyppää aiheeseen
