Lausekkeen 6.2 keskeiset osat: Henkilökohtaisten tunnistetietojen suojan politiikkakehys
Yksityisyyden suojakäytännöt tarjoavat organisaatioille toiminnallisen kehyksen toimia vastuullisena rekisterinpitäjänä ja kouluttaa henkilöstöä heidän päivittäisistä velvollisuuksistaan henkilötietojen osalta.
Ylimmän johdon on hyväksyttävä käytäntödokumentaatio ja tiedotettava siitä henkilöstölle, jotta kaikki organisaatiossa työskentelevät noudattamaan samoja henkilökohtaisia tunnistetietoja ohjaavia periaatteita.
Mitä ISO 27701:n lauseke 6.2 kattaa
ISO 27701 6.2 sisältää kaksi alakohtaa, jotka tarjoavat erityisiä tietosuojaohjeita:
- ISO 27701 6.2.1.1 – Tietoturvakäytännöt (viitteet ISO 27002 Control 5.1)
- ISO 27701 6.2.1.2 – Tietoturvakäytäntöjen tarkastelu (viitteet ISO 27002 Control 5.1)
Kuten muutkin standardin lausekkeet, ISO 27701 lauseke 6.2 viittaa ISO 27002:een kun hahmotellaan, kuinka organisaatioiden tulee käsitellä henkilökohtaisia tunnistetietoja ja PIMS-tietoja.
ISO 27701 6.2:n sanamuoto sisältää viittauksia ISO 27002:2013:een, mutta tämä standardi on nyt korvattu uudempaan versioon – ISO 27002:2022. Kun viitataan lausekkeisiin ISO 27002:2013:ssa, olemme ristiviittauksia viittauksiin niiden päivitettyjen versioiden kanssa standardissa ISO 27002:2022.
Tätä varten ISO 27701 6.2 on yhdistetty kahteen ISO 27002:2013 -standardiin (5.1.1 ja 5.1.2), jotka on yhdistetty yhdeksi standardiksi ISO 27002:2022:ssa (5.1).
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701, lauseke 6.2.1.1 – Tietoturvakäytännöt
Viitteet ISO 27002 Control 5.1
ISO kannattaa kaksitahoista lähestymistapaa organisaation yksityisyyden suojaamiseen, joka sisältää:
- Yleinen tietosuojakäytäntö.
- Aihekohtaiset tietosuojakäytännöt.
Molemmat käytännöt voidaan joko yhdistää yhdeksi asiakirjaksi tai erottaa organisaation parhaaksi katsomallaan tavalla.
Käytännöt olisi levitettävä kaikille asiaankuuluville henkilöstön jäsenille (ja tarvittaessa ulkoiselle henkilöstölle), jotta voidaan varmistaa sisäisten ja ulkoisten yksityisyyden suojavaatimusten jatkuva noudattaminen.
Kaikkia vakuutuksen saaneita tulee pyytää vahvistamaan mieluiten kirjallisesti, että he molemmat ymmärtävät, mitä heiltä pyydetään, ja ovat valmiita noudattamaan niitä.
Käytännöt tulee tarkistaa, kun muutoksia tehdään:
- Liiketoimintastrategiat.
- Toimintatavat/tekniset ympäristöt.
- Kaikki lait (mukaan lukien GDPR), sääntelymääräykset tai yleiset henkilökohtaisiin tunnistetietoihin liittyvät ohjeet, joita organisaatiolla on velvollisuus noudattaa.
- Yksityisyyden suojan riskitasot ja vallitseva/ennustettu uhkakuva.
Aihekohtaiset käytännöt
Aihekohtainen lähestymistapa yksityisyyden suojaan antaa organisaatioille vapauden käsitellä tietojenkäsittelyn/tietoturvatoiminnan yksittäisiä osia aihekohtaisesti ja jokaiselle oma politiikkansa.
Aihekohtaisia alueita voivat olla ICT-toiminnot, kuten kulunvalvonta, verkkoturvallisuus, BUDR-suunnittelu ja salausprosessit.
Jokainen aihekohtainen politiikka tulee luoda organisaation kattavan yksityisyyden suojapolitiikan mukaisesti, ja sen laativat osaston henkilöt (ei välttämättä ylimmän johdon), joilla on asiantuntemus ja pätevyys kyseisellä alueella harkittavaksi.
Yleiset tietosuojakäytännöt
Ylimmän johdon tulee laatia ylimmän tason yksityisyyden suojapolitiikka, jossa hahmotellaan selkeästi prosessit ja käytännön toimenpiteet, joita henkilökohtaisten tunnistetietojen turvaamiseksi tehdään. Organisaation tietosuojakäytäntöjen tulee sisältää tietoja ja pysyä asiaankuuluvina:
- Yleinen liiketoimintastrategia.
- Kaikki voimassa olevat säädökset, lait tai sopimusvaatimukset.
- Selkeät ja ilmeiset tietosuojariskit.
Yksityisyyden suojaperiaatteissa tulee määritellä organisaation:
- Yksityisyyden suojan toiminnallinen määritelmä.
- Ilmoitetut yksityisyyden suojatavoitteet.
- Laajempi joukko henkilökohtaisten henkilötietojen suojaa koskevia periaatteita.
- Sitoutuminen PII-tavoitteiden saavuttamiseen ja niiden jatkuvaan parantamiseen.
- Lähestymistapa, jossa siirretään vastuu koko tietosuojakäytännöstä tai osasta asiaankuuluville roolityypeille.
- Lähestymistapa politiikan poikkeuksiin.
- Suunnittelee ylimmän johdon tarkistamista ja hyväksymistä.
Muita henkilökohtaisia tunnistetietoja koskevia ohjeita
Organisaatioiden tulee ottaa käyttöön politiikkaa ja menettelyjä, jotka koskevat erityisesti voimassa olevaa henkilötietoihin liittyvää lainsäädäntöä, säädösohjeita tai sopimussopimuksia. Jos mukana on ulkopuolisia organisaatioita, politiikoissa tulee selkeästi hahmotella molempien osapuolten vastuut henkilötietojen tunnistamisesta.
Sovellettavat GDPR-artikkelit
- Artikla 24 – (24) (2)
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.2.1.2 – Tietoturvakäytäntöjen tarkastelu
Viitteet ISO 27002 Control 5.1
ISO 27701 -lauseke 6.2.1.2 sisältää täsmälleen samat ohjeet kuin ISO 27701 -lauseke 6.2.1.1, ilman muita henkilökohtaisiin tunnistetietoihin liittyviä vaatimuksia.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.2.1.1 | Tietoturvakäytännöt |
5.1 – Tietoturvakäytännöt ISO 27002:lle | Artikkeli (24) |
| 6.2.1.2 | Tietoturvakäytäntöjen tarkistus |
5.1 – Tietoturvakäytännöt ISO 27002:lle | Ei eristetty |
Miten ISMS.online auttaa
Voi olla vaikea tietää, mistä aloittaa ISO 27701 -standardilla, varsinkin jos sinun ei ole koskaan tarvinnut tehdä mitään vastaavaa ennen. Tässä ISMS.online tulee sisään!
ISO 27701 -ratkaisumme tarjoavat puitteet, joiden avulla organisaatiosi voi osoittaa noudattavansa ISO 27701 -standardia.
Tietoturva-asiantuntijamme voivat työskennellä kanssasi varmistaakseen, että kehität loogisen toteutusprosessin, joka on linjassa online-dokumentaatiokehyksen kanssa.
Lue lisää ja tutustu esittelyyn varata demo.
Hyppää aiheeseen
