ISO 27701, lauseke 6.5: Yksityisyyden vahvistaminen omaisuudenhallinnan avulla
Omaisuudenhallinta on keskeinen osa yksityisyyden suojan ylläpitämistä fyysisellä ja digitaalisella tasolla.
Organisaatioiden on ylläpidettävä kristallinkirkasta kirjaa kaikista asiaankuuluvista resursseista saadakseen ylhäältä alas näkemyksen siitä, kuinka henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyviä tietoja kulkee organisaation läpi.
Henkilöstölle, joka käyttää organisaation tieto- ja viestintätekniikkaan kuuluvaa omaisuutta, jolla on kyky tallentaa tai käsitellä henkilökohtaisia tunnistetietoja, tulee tehdä selkeästi tietoiseksi siitä, mitä heiltä odotetaan hyväksyttävän käytön suhteen ja kuinka tällaisia tietoja hallitaan offboard-jakson aikana.
Mitä ISO 27701:n lauseke 6.5 kattaa
ISO 27701 6.5 sisältää neljä alakohtaa, jotka käsittelevät erityisesti yksityisyyden suojaa omaisuudenhallinnan yhteydessä.
Jokainen alalause perustuu annettuun ohjeeseen ISO 27002:n eri alalausekkeiden puitteissa, jossa on kaksi alalausetta, jotka sisältävät täsmälleen samat ohjeet:
- ISO 27701 6.5.1.1 – Omaisuusluettelo (viitteet ISO 27002 Control 5.9).
- ISO 27701 6.5.1.2 – Omaisuuden omistus (viitteet ISO 27002 Control 5.9).
- ISO 27701 6.5.1.3 – Omaisuuden hyväksyttävä käyttö (viitteet ISO 27002 Control 5.10).
- ISO 27701 6.5.1.4 – Omaisuuden palautus (viitteet ISO 27002 Control 5.11).
ISO ei anna lisäohjeita PIMS:ään liittyville toiminnoille omaisuudenhallinnan puitteissa, eikä myöskään GDPR-vaikutuksia ole otettava huomioon.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701 -lauseke 6.5.1.1 – Inventory of Assets
Viitteet ISO 27002 Control 5.9
Varastojen luokittelu
Yksityisyyden suojan parantamiseksi organisaatioiden tulee ylläpitää tarkkaa, ajan tasalla olevaa ja dokumentoitua luetteloa tiedoista ja resursseista, mukaan lukien mahdollisuus viitata koko organisaation varastoihin.
Organisaatiot voivat parantaa varastotoimintaansa useilla tavoilla, mukaan lukien:
- Tarkistaa säännöllisesti inventaarion sisältöä suhteessa siihen, mitä organisaatiolla on.
- Aina kun organisaatio muuttaa, ottaa käyttöön tai poistaa omaisuutta, ottamalla käyttöön menettelyt, jotka päivittävät varaston automaattisesti osana muutosprosessia.
- Varmistaa, että varastot sisältävät "sijainti"-kentän, jotta kunkin omaisuuden olinpaikka on helppo tunnistaa.
Varastojen ei tarvitse olla yhtä suurta luetteloa jokaisesta fyysisestä ja digitaalisesta omaisuudesta. Sen sijaan ISO kannustaa organisaatioita erottelemaan varastot luokkakohtaisesti, mukaan lukien erilliset varastot seuraaville:
- Tietovarat.
- Laitteisto ja ohjelmisto.
- Virtuaalikoneet (VM:t).
- Tilojen laitteet.
- Henkilöstöasiakirjat.
On tärkeää huomata, että tiettyjen omaisuuserien osalta kaikkea tietoa ei voida ylläpitää säännöllisesti, eikä kaikkia organisaation koko fyysisiä ja digitaalisia omistuksia tarvitse sisällyttää mukaan – esim. lyhytikäiset virtuaalikoneet, jotka suorittaa yksittäistä tarkoitusta lyhyen aikaa, ennen kuin se poistetaan.
Omistus
Kaikille luokitelluille omaisuuksille tulisi antaa virallinen "omistaja" – olipa kyseessä sitten henkilö tai ryhmä (katso ISO 27002 5.12 ja 5.13), jonka pitäisi muuttua, kun työtehtävät alkavat, päättyvät tai niitä muutetaan.
Omaisuuden omistajien tulee varmistaa, että:
- Kaikki varat kirjataan oikein ja luokitellaan inventaarioon.
- Luokitukset tarkistetaan määräajoin.
- Kaikki teknologiakomponentit on lueteltu vastaavasti ja erikseen fyysisistä varoista (esim. DB-komponentit).
- Organisaatio noudattaa hyväksyttävää käyttökäytäntöä (katso ISO 27002 -ohjaus 5.10).
- Tietyille omaisuusselvityksille on asetettu rajoituksia, ja ne tarkistetaan sopivina aikoina.
- Aina kun organisaation täytyy poistaa tai poistaa tietoja varastostaan, tällaiset tiedot hävitetään turvallisesti.
- Riskienhallinta on kaikkien omaisuudenkäsittelytoimintojen eturintamassa ja keskipisteessä.
- Ne tarjoavat riittävää tukea kaikille yksityisyyden suojaamiseen ja tiedonhallintaan osallistuville henkilöille.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 -lauseke 6.5.1.2 – Omaisuuden omistusoikeus
Viitteet ISO 27002 Control 5.9
Katso ISO 27701 lauseke 6.5.1.1
ISO 27701 -lauseke 6.5.1.3 – Omaisuuden hyväksyttävä käyttö
Viitteet ISO 27002 Control 5.10
Kaikille organisaation henkilöstölle, joka käsittelee tietoja tai fyysistä ja digitaalista omaisuutta, tulee olla selkeästi tietoinen vastuustaan yksityisyyden suojan suhteen, mukaan lukien yleiset tai aihekohtaiset turvallisuusvaatimukset.
Hyväksytyn käytön käytännöissä tulee kuvata selkeästi:
- Miten organisaatio luokittelee hyväksyttävän ja ei-hyväksyttävän käytöksen yksityisyyden suojan puitteissa.
- Miten tietoja (erityisesti henkilökohtaisia tunnistetietoja) saa käyttää verkossa.
- Miten organisaatio aikoo seurata omaisuuden käyttöä.
Olisi otettava käyttöön menettelyjä, joissa otetaan huomioon henkilökohtaisten tunnistetietojen koko elinkaari, mukaan lukien:
- Henkilökohtaisiin tunnistetietoihin liittyvät pääsyrajoitukset.
- Selkeä ja ajantasainen tieto siitä, kenellä on oikeus päästä käsiksi henkilökohtaisiin tunnistetietoihin ja niihin liittyviin resursseihin ja missä olosuhteissa.
- Henkilökohtaisten tunnistetietojen riittävä suojaustaso ja tallennus – mukaan lukien väliaikaiset kopiot.
- Valmistajien suositusten huomioon ottaminen yksityisyyden suojaan liittyvää omaisuutta säilytettäessä (katso ISO 27002 7.8).
- Merkitse kaikki tallennusvälineet selkeästi valtuutetun käyttäjän/vastaanottajan tiedot (katso ISO 27002 7.10).
- Miten henkilökohtaisia tunnistetietoja ja niihin liittyviä resursseja poistetaan verkosta ja/tai poistetaan ja hävitetään.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 7.8
- ISO 27002 7.10
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 -lauseke 6.5.1.4 – Omaisuuden palauttaminen
Viitteet ISO 27002 Control 5.11
Omaisuudenhallintamenettelyihin on sisällytettävä myös selkeät ohjeet siitä, kuinka organisaatio hallinnoi henkilökohtaisten tunnistetietojen käsittelyyn tai tallentamiseen osallistuneiden varojen ja muiden yksityisyyteen liittyvien tietojen palauttamista.
Riippumatta siitä, onko henkilöstö käyttänyt omia laitteitaan tai heille on määrätty organisaation omaisuus, tulee ottaa käyttöön prosesseja, jotka suojaavat henkilökohtaisia tunnistetietoja poistamalla tiedot kyseisestä omaisuudesta ja siirtämällä tiedot takaisin organisaatiolle.
Jos henkilöstöön sovelletaan irtisanomisaikaa, organisaatioiden tulee ryhtyä toimenpiteisiin varmistaakseen, että offboard-työntekijä ei vaaranna henkilökohtaisia tunnistetietoja millään tavalla – mukaan lukien luvaton jakaminen, siirtäminen tai poistaminen.
Organisaatioiden tulisi kehittää työnkulkuja, jotka kattavat kaikkien henkilökohtaisten tunnistetietojen käsittelyyn tai tallentamiseen liittyvien varojen palauttamisen, mukaan lukien (mutta ei rajoittuen):
- Laitteet (kannettava tietokone, matkapuhelin, tabletti jne.).
- USB-asemat.
- Todennustyökalut ja -laitteistot (VPN-vahvistusresurssit ja -tunnukset, ovien/tilojen sisäänkäyntilaitteet.
- Paperikopiot henkilökohtaisista tunnisteista.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.5.1.1 | Omaisuusluettelo |
5.9 – Tietojen ja muiden niihin liittyvien resurssien luettelo ISO 27002:ta varten |
Ei eristetty |
| 6.5.1.2 | Omaisuuden omistusoikeus |
5.9 – Tietojen ja muiden niihin liittyvien resurssien luettelo ISO 27002:ta varten |
Ei eristetty |
| 6.5.1.3 | Omaisuuden hyväksyttävä käyttö |
5.10 – ISO 27002:n tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö |
Ei eristetty |
| 6.5.1.4 | Omaisuuden palautus |
5.11 – ISO 27002:n varojen palautus |
Ei eristetty |
Miten ISMS.online auttaa
Miten autamme?
Kun lisäät PIMS:n ISMS:ään ISMS.online-alustalla, tietoturva-asento pysyy yhtenäisenä ja vältyt päällekkäisyydeltä, kun standardit menevät päällekkäin.
Kun PIMS on välittömästi kiinnostuneiden osapuolten saatavilla, ei ole koskaan ollut helpompaa valvoa, raportoida ja auditoida sekä ISO 27002- että ISO 27701 -standardien mukaisesti napin painalluksella.
Selvitä, kuinka paljon aikaa ja rahaa säästät matkallasi yhdistettyyn ISO 27002- ja 27701-sertifiointiin käyttämällä ISMS.onlinea.
Lisätietoja: varata käytännön demo.
