Miten ISO 27701 takaa yksityisyyden työsuhteen aikana: opas lausekkeeseen 6.4.2
Organisaatioilla on velvollisuus henkilöstöään kohtaan, mikä ulottuu siihen, että he tiedottavat henkilökunnalle siitä, mitä heiltä odotetaan yksityisyyden suojan ja henkilötietojen osalta – sekä yleisellä että aihekohtaisella tasolla.
Henkilötietojen rekisterinpitäjinä organisaatioiden olisi järjestettävä jatkuvaa koulutusta ja tiedotusohjelmia sekä noudatettava vankkaa kurinpitopolitiikkaa, joka asettaa selkeät odotukset molemmille osapuolille tietomurron sattuessa.
Mitä ISO 27701:n lauseke 6.4.2 kattaa
ISO 27701 6.4.2 sisältää kolme pääalalauseketta, jotka käsittelevät työpaikkakohtaisten yksityisyyden suojan eri näkökohtia.
Jokainen aihe sisältää ohjeita useista ISO 27002 -säätimistä, joka on esitetty organisaation tietosuojatietojen hallinnan ja henkilökohtaisten tunnistetietojen suojauksen yhteydessä:
- ISO 27701 lauseke 6.4.2.1 – Johdon vastuut (viitteet ISO 27002 Control 5.4)
- ISO 27701 lauseke 6.4.2.2 – Tietoturvatietoisuus, koulutus ja koulutus (viitteet ISO 27002 Control 6.3)
- ISO 27701 lauseke 6.4.2.3 – Kurinpitomenettelyt (viitteet ISO 27002 Control 6.4)
Muita PIMS-kohtaisia henkilökohtaisten tunnistetietojen käsittelyä koskevia ohjeita löytyy kohdasta 6.4.2.1, joka liittyy myös Yhdistyneen kuningaskunnan GDPR-lainsäädäntöön.
Huomaa, että GDPR-vertailut on tarkoitettu vain suuntaa-antava. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.4.2.1 – Johdon vastuut
Viitteet ISO 27002 Control 5.4
Johdon rooli on avainasemassa yksityisyyden suojastandardien ylläpitämisessä – sekä hallinnollisesta näkökulmasta että sen varmistamisessa, että henkilökunta ymmärtää, mitä heiltä odotetaan, ja käyttäytyy sen mukaisesti.
Ylimmän johdon tulee varmistaa, että koko henkilöstö:
- Tunnustavat henkilökohtaiset vastuunsa yksityisyyden tietojen hallintaa ja yksityisyyden suojaa kohtaan – sekä yleisesti että aihekohtaisesta näkökulmasta – ennen kuin he saavat olla vuorovaikutuksessa henkilökohtaisten tunnistetietojen ja niihin liittyvien resurssien kanssa (katso ISO 27002 6.3).
- Heillä on selkeät ohjeet ja menettelytavat, jotka ohjaavat yksityisyyden suojaa heidän roolinsa puitteissa.
- He saavat resurssit ja asianmukaiset valtuudet suunnitella projekteja/muutoksia ja noudattaa organisaation yleisiä ja aihekohtaisia tietosuojakäytäntöjä.
- Ymmärrä heidän työehtonsa yksityisyyden suojaan liittyen ja mitä ne käytännössä tarkoittavat.
- Heille annetaan mahdollisuus kehittää ymmärrystään yksityisyyden suojasta sekä konseptina että jatkuvana toiminnallisena harkintana.
- Ymmärrä, kuinka voit kertoa nimettömästi tietosuojakäytäntöjen rikkomuksista organisaatiossa (alias "whistleblowing"), ja sinulle tarjotaan keinot ilmoittaa anonyymisti tietosuojakäytäntöjen rikkomuksista.
Asiaankuuluvat säätimet
- ISO 27002 6.3
ISO 27701 lauseke 6.4.2.2 – Tietoturvatietoisuus, koulutus ja koulutus
Viitteet ISO 27002 Control 6.3
koulutus
Jatkuvalla työpaikkakoulutuksella varmistetaan, että henkilöstö pysyy ajan tasalla organisaation yksityisyydensuojakäytännöistä (yleiset ja aihekohtaiset), PII-lainsäädännön muutoksista ja alakohtaisista sääntelyohjeista.
Yleisenä lähestymistapana organisaatioiden tulisi toteuttaa määräajoin henkilöstön koulutusohjelmia (mukaan lukien käyttöönottovaiheen aikana), jotka ovat nimenomaan omien yleisten ja aihekohtaisten yksityisyyden suojakäytäntöjen ja PIMS-vaatimusten mukaisia.
Koulutusmuodot voivat sisältää:
- eLearning.
- Henkilökohtainen konsultointi.
- Henkilökunnan jäsenet varjostavat toisiaan.
- Aihekohtaisten tai yleisten yksityisyyden suojan asiantuntijoiden järjestämät koulutusseminaarit.
- Työpaikan mentorointi.
Henkilöstön, jolla on erityistehtävä yksityisyyden suojaan – esimerkiksi tieto- ja viestintätekniikan huoltohenkilöstön – tulisi hyötyä erityiskoulutussuunnitelmista, joissa otetaan huomioon heidän keskeinen roolinsa henkilötietojen suojaamisessa.
Koulutussuunnitelmien/istuntojen tulee päättyä arviointiin, joka tarjoaa organisaatiolle ylhäältä alas näkymän pätevyyden tasoista työntekijäkohtaisesti.
Tietoisuusohjelmat
Työpaikkakoulutuksen täydentämiseksi organisaatioiden tulisi myös ottaa käyttöön yksityisyyden suojan tiedotusohjelmia, jotka tarjoavat henkilöstölle erilaisia materiaaleja, jotka toimivat tietopisteinä henkilökohtaisista tunnisteista ja organisaation yksityisyyden suojasta.
Tietoisuusohjelmat voivat sisältää:
- esitteitä.
- esitteitä.
- toimiston julisteita.
- omistettuja verkkosivustoja.
- tiimin tiedotustilaisuudet.
Tietoisuuden lisäämispyrkimykset olisi keskitettävä:
- Miten johto aikoo ylläpitää yksityisyyden suojan noudattamista koko organisaatiossa ja ketkä ovat tärkeimmät yhteyshenkilöt henkilötietoihin liittyvissä asioissa.
- Mitkä ovat organisaation vaatimustenmukaisuusvaatimukset lait, määräykset, sopimusvelvoitteet ja toimittajasopimukset huomioon ottaen.
- Korostetaan henkilökohtaisen vastuuvelvollisuuden tarvetta henkilökohtaisten tunnistetietojen suojaamisessa ja mitä seurauksia on tahattomista tai tarkoituksellisista menettelytaparikkomuksista.
- ICT-turvallisuuden perusperiaatteet, kuten salasanasuojaus ja tapahtumaraportointi.
- Miten henkilöstö voi saada tietoa yksityisyyden suojan hienoimmista puolista (lisätietoja, resurssiluettelot jne.).
Muita PIMS-kohtaisia ohjeita
Henkilökohtaisia tunnistetietoja tulee käsitellä omana erillisenä aiheensa yksityisyyden suojan koulutusohjelmissa.
Henkilökunta on saatava tarkasti tietoiseksi erityisistä oikeudellisista, kaupallisista, maineeseen liittyvistä ja kurinpidollisista seurauksista, jotka johtuvat henkilökohtaisten tunnistetietojen väärinkäytöstä ja/tai väärinkäytöstä.
GDPR-ohjeet
- 39 artikla – 1 kohdan b alakohta
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701, lauseke 6.4.2.3 – Kurinpitomenettelyt
Viitteet ISO 27002 Control 6.4
Organisaatioiden tulee kehittää kurinpidollisia menettelyjä, jotka koskevat henkilöitä, jotka ovat rikkoneet yleisiä tai aihekohtaisia yksityisyyden suojakäytäntöjä.
Ennen kurinpidollisiin toimiin ryhtymistä on tärkeää, että organisaatio vahvistaa, että käytäntörikkomus on todella tapahtunut (katso ISO 27002 5.28).
Kurinpitomenettelyissä tulee ottaa huomioon:
- Tietoturvaloukkauksen taustalla oleva luonne ja sen erilaiset seuraukset.
- Asianomaisen henkilön motiivit ja oliko loukkaus tahallinen vai ei.
- Kuinka monta kertaa henkilö on rikkonut tietosuojakäytäntöä.
- Jos henkilö on saanut riittävän koulutuksen asiaan liittyvistä yksityisyyden suojan näkökohdista.
- Mikä tahansa henkilökohtainen oikeus nimettömään kurinpitoprosessin ajan.
Kurinpitotoimia vahvistetuissa rikkomuksissa tulisi käyttää pelotteena samankaltaiselle toiminnalle, ja niissä olisi otettava huomioon organisaation velvollisuudet henkilökohtaisten tunnistetietojen rekisterinpitäjänä ja käsittelijänä sekä kaikki asiaankuuluvat lait, sääntelyohjeet ja sopimusvelvoitteet.
Asiaankuuluvat säätimet
- ISO 27002 5.28
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.4.2.1 | Johtamisvastuut |
5.4 – ISO 27002:n hallintovastuut |
Ei eristetty |
| 6.4.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.3 – Tietoturvatietoisuus, koulutus ja koulutus ISO 27002:ta varten |
Artikkeli (39) |
| 6.4.2.3 | Kurinpitomenettelyt |
6.4 – ISO 27002 -standardin kurinpitomenettely |
Ei eristetty |
Miten ISMS.online auttaa
Meillä on sinut peitetty.
Jos jostain syystä koet itseluottamuksen, kyvyn tai halun puuttua matkallasi kohti ISO 27701 -standardia, voimme tarjota oman asiantuntijatiimimme saataville tai suositella jotakin luotetuista kumppaneistamme tehostamaan työtäsi.
Täältä saat apua, kun sitä tarvitset.
Lisätietoja: varata demo.
