ISO 27701 – Lauseke 6.3 – Tietoturvan organisaatio

ISO 27701 lauseke 6.3 – Tietoturvan organisaatio käsittelee jäsenneltyjen puitteiden luomisen tärkeyttä tietoturvan hallintaa varten organisaation sisällä. Se kattaa hallinnon, riskienhallinnan, resurssien allokoinnin ja käytäntöjen integroinnin varmistaen, että turvallisuustoimenpiteet ovat yhdenmukaisia ​​yleisten liiketoimintaprosessien kanssa arkaluonteisten tietojen suojaamiseksi ja vaatimustenmukaisuuden ylläpitämiseksi.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 25
LinkedIn Twitter Twitter

Ymmärtää lausekkeen 6.3: Tietoturvan tehokas järjestäminen

Yksityisyyden suoja tulisi hoitaa a käsite, sekä toiminnallinen todellisuus.

Organisaatioiden tulee harkita yksityisyyden suojaa paitsi järjestelmiensä suhteen, joita ne käyttävät tietojen suojaamiseen, vaan myös tapaan, jolla ne hallitsevat henkilökohtaisia ​​tunnistetietoja käyttäviä henkilöitä, ja miten yksityisyyden suojaa käsitellään muiden liiketoimintatoimintojen, kuten projektinhallinnan, ohella.

ISO 27701 6.3 hahmottelee, miten organisaatiot voivat hallita yksityisyyden suojaa päästä päähän -prosessina, joka sisältää edellä mainitut tekijät.

Mitä ISO 27701:n lauseke 6.3 kattaa

ISO 27701 6.3 sisältää kolme alalauseketta, jotka sisältävät yksityisyyden suojaa koskevia erityisohjeita, jotka on mukautettu kolme tukilauseketta ISO 27002:ssa:

  • ISO 27701 6.3.1.1 – Tietoturvaroolit ja -vastuut (viitteet ISO 27002 ohjaus 5.2)
  • ISO 27701 6.3.1.2 – Tehtävien erottelu (viitteet ISO 27002 -ohjaus 5.3)
  • ISO 27701 6.3.1.5 – Tietoturva projektinhallinnassa (viitteet ISO 27002 ohjaus 5.8)

Muita PIMS-kohtaisia ​​henkilökohtaisten tunnistetietojen käsittelyä koskevia ohjeita löytyy kohdasta 6.3.1.1, joka on myös linkitetty GDPR-lainsäädännön sisältämiin artikkeleihin.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701 lauseke 6.3.1.1 – Tietoturvaroolit ja -vastuut

Viitteet ISO 27002 Control 5.2

Organisaatioiden tulee määritellä roolit ja vastuut, jotka liittyvät yksityisyyden suojakäytäntöihin sisältyviin yksittäisiin toimintoihin – sekä yleisiin että aihekohtaisiin käytäntöihinsä.

Henkilöiden, joilla on erityisiä vastuita, tulee olla riittävän ammattitaitoisia yksityisyyteen liittyvien tehtävien suorittamiseen, ja heille tulee tarjota jatkuvaa tukea, joka ylläpitää hyväksyttävää pätevyyden tasoa.

Vastuualueisiin tulee kuulua:

  1. Henkilökohtaisten tunnistetietojen ja kaiken yksityisyyteen liittyvän omaisuuden suojaaminen.
  2. Yksityisyyden suojamenettelyjen suorittaminen.
  3. Henkilökohtaisiin tietoihin liittyvät riskienhallintatoimet, mukaan lukien korjaavat toimet.
  4. Jokainen, joka käyttää organisaation tietoja, mukaan lukien ICT-omaisuuden käyttö.
  5. Yksityisyyden suojasta ylimmän tason vastuulla olevat henkilöt, jotka delegoivat tehtäviä muille.

ISO tunnustaa, että jokainen organisaatio on ainutlaatuinen tapa käsitellä tietoja. Edellä mainittuihin vastuualueisiin tulee liittää toimipaikka- ja toimitilakohtaiset ohjeet, joissa otetaan huomioon organisaation PII-käsittelyn toimintaan vaikuttavat todelliset tekijät.

Kaikki edellä mainitut vastuut ja turvallisuusalueet tulee dokumentoida selkeästi ja asettaa kaikkien asianomaisten henkilöstön jäsenten saataville.

Muita PIMS-kohtaisia ​​ohjeita

Organisaatioiden tulee nimetä henkilö, jota asiakkaat (ja ulkopuoliset viranomaiset) voivat käyttää yhteyshenkilönä kaikissa henkilökohtaisiin tietoihin liittyvissä asioissa (katso ISO 27701 7.3.2).

Lisäksi organisaatioiden tulee siirtää vastuu yhdelle tai useammalle henkilölle sellaisen organisaation yksityisyyden hallintaohjelman luomisesta, joka tukee paikallisten ja kansallisten henkilökohtaisia ​​tunnistetietoja koskevien lakien ja määräysten noudattamista.

Sovellettavat GDPR-artikkelit

  • 27 artikla – 1 kohta, 2 kohdan a alakohta, 2 kohdan b alakohta, 3, 4, 5 kohta
  • 37 artikla – 1 kohdan a alakohta, 1 kohdan b alakohta, 1 kohdan c alakohta, 2, 3, 4, 5, 6, 7
  • 38 artikla – 1, 2, 3, 4, 5, 6 kohta
  • 39 artikla – 1 kohdan a alakohta, 1 kohdan b alakohta, 1 kohdan c alakohta, 1 kohdan d alakohta, 1 kohdan e alakohta, 2 kohta

Tukilausekkeet

  • ISO 27701, kohta 7.3.2

ISO 27701 lauseke 6.3.1.2 – Tehtävien erottelu

Viitteet ISO 27002 Control 5.3

Organisaatiossa, jossa on paljon erilaisia ​​yksityisyyteen liittyviä rooleja, vastuut ja tehtävät voivat usein joutua ristiriitaan keskenään.

Yksilöt voivat usein suorittaa rooleja, jotka voivat vaarantaa henkilökohtaisia ​​tunnistetietoja, koska he ovat joko yksinoikeudellisia tai heillä ei ole johdon valvontaa.

Vastuut olisi erotettava toisistaan ​​tehokkaamman yksityisyyden suojatoiminnan varmistamiseksi. Esimerkkejä rooleista, jotka voivat sisältää ristiriitoja:

  • PIMS:n muutoksen pyytäminen, hyväksyminen tai toteuttaminen.
  • Muutosten tekeminen käyttöoikeuksiin, mukaan lukien RBAC.
  • Koodin kirjoittaminen tai muuttaminen tai minkä tahansa sovelluskehityksen suorittaminen.
  • Hyödyntämällä sovelluksia tai tietokantoja, jotka käsittelevät henkilökohtaisten tunnistetietojen käsittelyä ja/tai tallennusta.
  • Yksityisyyden suojasäädösten laatiminen, hyväksyminen ja/tai tarkistaminen.

Erottelun hallintaa tulisi kehittää useat tekijät mielessä:

  • Yhteistyön estäminen.
  • Ristiriitojen tunnistaminen.
  • Seurantatoiminnot.
  • Kirjauspolkujen luominen.
  • Ristiriitojen tunnistamisprosessin automatisointi.

ISO myöntää, että pienempien organisaatioiden roolien erottaminen voi olla vaikeaa niiden rajallisten resurssien vuoksi, mutta koko erottelukonseptia tulisi kuitenkin harjoittaa niin pitkälle kuin se on kaupallisesti ja toiminnallisesti mahdollista.



Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701 lauseke 6.3.1.5 – Tietoturva projektinhallinnassa

Viitteet ISO 27002 Control 5.8

Päivittäisen toistuvan tulonkertymän lisäksi yksityisyyden suojan tulisi ulottua myös projektin toteuttamiseen ja hallintaan.

Projekteihin kuuluu usein suurien henkilökohtaisten tunnistetietojen siirtäminen, luominen ja muuttaminen, ja siksi niihin on kiinnitettävä riittävästi huomiota, jotta organisaatiot noudattavat paikallisia ja kansallisia yksityisyyttä koskevia lakeja ja säädöksiä.

"Projekti" voi olla mikä tahansa toiminta, joka muuttaa tavanomaista työskentelytapaa tai tuo organisaatiolle uusia prosesseja ja/tai laitteita ja sovelluksia.

Projektinhallinnan toimien tulee varmistaa, että:

  1. Yksityisyyden suojan riskit ja vaatimukset huomioidaan projektin varhaisessa vaiheessa, ja niitä ylläpidetään koko projektin elinkaaren ajan (ks. ISO 27002, kohdat 5.32 ja 8.26).
  2. Yksityisyyden suojaa seurataan ja siihen puututaan jatkuvasti – sopivien henkilöiden tai hallintoelinten tekemien muodollisten arvioiden ja strukturoitujen testien avulla.
  3. Kaikki projektikohtaiseen yksityisyyden suojaan liittyvät roolit on määritelty selkeästi.
  4. Kaikki osana projektia toimitettavat tuotteet tai palvelut tulee luoda organisaation julkaisemien tietosuojastandardien mukaisesti.
  5. Yksityisyyden suojaa vahvistetaan menetelmillä, kuten uhkamallinnus, tapahtumatarkistukset, haavoittuvuuskynnykset ja varautumissuunnitelma.

Yksityisyyden suoja ei saisi rajoittua tieto- ja viestintätekniikkahankkeisiin. Organisaatioiden tulee ottaa huomioon useita tekijöitä määrittäessään erityisiä henkilökohtaisia ​​tunnistetietoja koskevia vaatimuksia, mukaan lukien:

  • Ainutlaatuiset tietomuuttujat, mukaan lukien mitä erityisiä tietoja koskee, sen turvallisuustarpeet ja tietomurron tai väärinkäytön seuraukset.
  • Takuut, jotka on haettava luottamuksellisuuden, eheyden ja saatavuuden suhteen.
  • Käyttöoikeuksien ja valtuutusprotokollien tarjoaminen sisäiselle ja ulkoiselle henkilöstölle (mukaan lukien asiakkaat).
  • Selkeiden odotusten asettaminen, jotka kertovat käyttäjille heidän velvollisuuksistaan.
  • Muiden sisäisten turvatarkastusten vaatimukset.
  • Kaikki järjestelmään liittyvät toimenpiteet, joita tarvitaan operatiivisten toimintojen vuoksi (esim. tapahtumaloki).
  • Lakisääteisten, säännösten ja sopimusten vaatimusten noudattaminen.
  • Kolmannen osapuolen sopimusvelvoitteet, jotka ovat organisaation omien tietosuojastandardien mukaisia.

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 5.32
  • ISO 27002 8.26

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27002 -vaatimusAsiaan liittyvät GDPR-artikkelit
6.3.1.1Tietoturvan roolit ja vastuut
5.2 – Tietoturvaroolit ja -vastuut ISO 27002:lle
 Tavarat (27), (37), (38), (39)
6.3.1.2Tehtävien erottelu
5.3 – ISO 27002:n tehtävien erottelu
Ei eristetty
6.3.1.5Tietoturva projektinhallinnassa
5.8 – Tietoturva projektinhallinnassa ISO 27002:lle
Ei eristetty

Miten ISMS.online auttaa

ISMS.online-ratkaisumme helpottavat organisaatioiden projektien valvontaa varmistaen, että rekisterinpitäjän ja käsittelijän käytännöt ja menettelyt ovat ISO-standardin mukaisia.

Verkkojärjestelmämme varmistaa myös, että järjestelmän toteuttajilla on yksi paikka viite- ja yhteistyöpaikalle.

Assured Results Method (ARM) -menetelmämme avulla voit olla varma, että valitset kaikki ruudut, joita tarvitset standardin noudattamiseksi.

Lue lisää ja tutustu esittelyyn varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!