Hyppää sisältöön
ISMS.online

ISO 27701 – Lauseke 6.5.2 – Tietojen luokitus

ISO 27701 -lauseke 6.5.2 – Tietojen luokittelu määrittelee, kuinka organisaatioiden tulee luokitella, merkitä ja käsitellä henkilökohtaisia ​​tunnistetietoja (PII) turvallisuuden ja lakivaatimusten, kuten Yhdistyneen kuningaskunnan GDPR:n, noudattamisen ylläpitämiseksi. Se korostaa varojen asianmukaista luokittelua, merkitsemistä ja hallintaa tietosuojan varmistamiseksi.

kirjailija
Toby Cane
Päivitetty syyskuussa 19, 2025
4/5 tähteä

ISO 27701, lauseke 6.5.2: Avain tehokkaaseen tietojen luokitukseen

Globaalin kaupan maailma on täynnä kaikenlaista tietoa – arkipäiväisistä, julkisesti saatavilla olevista tietojoukoista erittäin arkaluontoisiin henkilökohtaisiin tunnistetietoihin, jotka sisältävät taloudellisia tietoja ja kopioita viranomaistunnuksista.

Organisaatioilla on oltava vankka käsitys eri tietoluokista, joita ne tallentavat, käsittelevät ja siirtävät, ja mukautettava toimintansa mukautumaan tietoihin sen tarkoituksen ja riskityypin mukaan.

Kun organisaatio pystyy erottamaan erilaiset tietotyypit – erityisesti henkilökohtaisten tunnistetietojen tapauksessa – sen pitäisi pystyä merkitsemään sellaiset tiedot selvästi tavalla, joka erottaa eri luokat toisistaan, ja ottaa huomioon erilaiset riskitasot yksityisyyden suojassa. - liittyvät omaisuuserät ovat prosesseja ja niitä käsitellään koko organisaatiossa.

Mitä ISO 27701:n lauseke 6.5.2 kattaa

ISO 27701 lauseke 6.5.2 sisältää kolme alalauseketta, jotka sisältävät kaiken organisaation tarvitseman PII:n luokittelusta, merkitsemisestä ja käsittelystä.

Kaikki kolme alalausetta sisältävät ISO 27002:sta kerätyt tiedot, mutta keskittyen erityisesti henkilökohtaisiin tunnistetietoihin ja yksityisyyden suojaan:

  • ISO 27701 6.5.2.1 – Tietojen luokitus (viitteet ISO 27002 Control 5.12)
  • ISO 27701 6.5.2.2 – Tietojen merkitseminen (viitteet ISO 27002 Control 5.13)
  • ISO 27701 6.5.2.3 – Omaisuuden käsittely (viitteet ISO 27002 Control 5.10)

Alakohdat 6.5.2.1 ja 6.5.2.2 sisältävät molemmat Yhdistyneen kuningaskunnan GDPR-lainsäädännön kannalta merkityksellisiä ohjeita, ja asiaankuuluvat artikkelit on lueteltu avuksesi.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


ISO 27701, lauseke 6.5.2.1 – Tietojen luokitus

Viitteet ISO 27002 Control 5.12

Sen sijaan, että kaikki hallussa olevat tiedot asettettaisiin tasa-arvoisesti, organisaation tulisi luokitella tiedot aihekohtaisesti.

Tietojen omistajien tulee ottaa huomioon neljä keskeistä tekijää luokitessaan tietoja (erityisesti henkilökohtaisia ​​tunnistetietoja), jotka tulee tarkistaa säännöllisesti tai kun tekijät muuttuvat:

  1. RFID lukija NFC lukija luottamuksellisuus tietoja.
  2. RFID lukija NFC lukija eheys tietoja.
  3. Päiväys saatavuus tasoilla.
  4. Organisaation lailliset velvoitteet kohti PII:tä.

Selkeän toimintakehyksen luomiseksi tietoluokat tulisi nimetä luontaisen riskitason mukaisesti, jos tapahtuu onnettomuuksia, jotka vaarantavat jonkin edellä mainituista tekijöistä.

Eri alustojen yhteensopivuuden varmistamiseksi organisaatioiden tulee saattaa tietokategoriansa kaikkien ulkopuolisten henkilöiden saataville, joiden kanssa ne jakavat tietoja, ja varmistaa, että organisaation oma luokitusjärjestelmä on laajasti kaikkien asianomaisten osapuolten ymmärtämä.

Organisaatioiden tulee olla varovaisia ​​tietojen ali- tai päinvastoin yliluokittelusta. Ensimmäinen voi johtaa virheisiin PII-tietojen ryhmittelyssä vähemmän arkaluonteisiin tietotyyppeihin, kun taas edellinen johtaa usein lisäkustannuksiin, suurempaan inhimillisten virheiden mahdollisuuteen ja käsittelyhäiriöihin.

Sovellettavat GDPR-artikkelit

  • 5 artikla – 1 kohdan f alakohta, 32 kohdan 2 alakohta

ISO 27701, lauseke 6.5.2.2 – Tietojen merkitseminen

Viitteet ISO 27002 Control 5.13

Tunnisteet ovat keskeinen osa sen varmistamista, että organisaation henkilökohtaisten tunnistetietojen luokittelupolitiikkaa (katso edellä) noudatetaan ja että tiedot voidaan tunnistaa selkeästi sen arkaluonteisuuden mukaisesti (esim. henkilökohtainen tunniste merkitään eroavaksi vähemmän luottamuksellisista tietotyypeistä).

PII-merkintämenettelyissä olisi määriteltävä:

  • Kaikki skenaariot, joissa merkintöjä ei vaadita (julkisesti saatavilla olevat tiedot).
  • Ohjeet siitä, kuinka henkilöstön tulee merkitä molemmat digitaalinen ja fyysinen omaisuutta ja varastointipaikkoja.
  • Varasuunnitelmat kaikkiin skenaarioihin, joissa merkitseminen ei ole fyysisesti mahdollista.

ISO tarjoaa organisaatioille runsaasti mahdollisuuksia valita omat merkintätekniikkansa, mukaan lukien:

  1. fyysinen merkitseminen.
  2. Elektroninen otsikoita ylä- ja alatunnisteissa.
  3. Lisäys tai muutos metadata, mukaan lukien hakutermit ja vuorovaikutteiset toiminnot muiden tiedonhallintaalustojen (esim. organisaation PIMS) kanssa.
  4. vesileimaus joka antaa selkeän viitteen tietojen luokittelusta asiakirjakohtaisesti.
  5. Leima merkit fyysisiin tietojen kopioihin.

Sovellettavat GDPR-artikkelit

  • 5 artikla – 1 kohdan f alakohta


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


ISO 27701 lauseke 6.5.2.3 – Omaisuuden käsittely

Viitteet ISO 27002 Control 5.10

Organisaation tulee kehittää aihekohtaisten hyväksyttävien käyttökäytäntöjen pankki, joka kattaa henkilötietoihin liittyvien varojen ja tietojen käsittelyn.

Jokaisen ryhmän tai yksilön – joko sisäisen tai ulkoisen –, joka pystyy käsittelemään henkilökohtaisia ​​tunnistetietoja organisaation puolesta tai osana tiedonjakosopimusta, tulee ymmärtää vastuunsa ja mitä heiltä odotetaan.

Aihekohtaisissa käytännöissä on määriteltävä selvästi:

  1. Hyväksyttävä ja ei-hyväksyttävä käytös yksityisyyden suojan yhteydessä.
  2. Miten ja missä henkilökohtaisia ​​tunnistetietoja saa käyttää.
  3. Yksityiskohdat organisaation PII-seurantatoiminnasta.

On otettava käyttöön prosesseja ja menettelyjä, joissa otetaan huomioon:

  • RBAC-vaatimukset (tai mikä tahansa digitaalinen ja/tai fyysinen pääsynhallinta), joka suojaa pääsyä henkilökohtaisiin tunnistetietoihin.
  • Perusteelliset tiedot siitä, kenellä on oikeus päästä käsiksi henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin resursseihin ja tietoihin.
  • Kuinka suojata sekä väliaikaiset että pysyvät kopiot yksityisyyteen liittyvistä tiedoista.
  • Valmistajien ohjeet yksityisyyteen liittyvien varojen säilyttämiseen (katso ISO 27002 7.8).
  • Tallennusvälineiden merkintä vastaanottajan huomioimiseksi (katso ISO 27002 7.10).
  • Kuinka henkilökohtaisia ​​tunnistetietoja ja yksityisyyteen liittyvää omaisuutta tulee joko poistaa tai tuhota pysyvästi (katso ISO 27002 8.10).

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 7.8
  • ISO 27002 7.10
  • ISO 27002 8.10

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunniste ISO 27701 -lausekkeen nimi ISO 27002 -vaatimus Asiaan liittyvät GDPR-artikkelit
6.5.2.1 Tietojen luokitus
5.12 – Tietojen luokitus ISO 27002:ta varten
 		Tavarat (5), (32)
6.5.2.2 Tietojen merkitseminen
5.13 – Tietojen merkitseminen ISO 27002:ta varten
 		Artikkeli (5)
6.5.2.3 Omaisuuden käsittely
5.10 – ISO 27002:n tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
 		Ei eristetty

Miten ISMS.online auttaa

ISMS.online-alustalla on sisäänrakennetut ohjeet jokaisessa vaiheessa 'Ota käyttöön, mukauta, lisää' -toteutustapamme lisäksi, mikä auttaa sinua saavuttamaan ISO 27701 -standardin vähemmällä vaivalla.

Lisäksi voit hyötyä useista aikaa säästävistä ominaisuuksista.

Lisätietoja: varata demo.

Toby Cane

Kumppaniasiakkuuspäällikkö

Toby Cane on ISMS.onlinen Senior Partner Success Manager. Hän on työskennellyt yrityksessä lähes neljä vuotta ja toiminut useissa eri tehtävissä, kuten webinaarien juontajana. Ennen SaaS-työtään Toby työskenteli yläasteen opettajana.

LinkedIn

ISO 27701 -lausekkeet

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Valmis aloittamaan?

Varaa demo