ISO 27701, lauseke 6.9.7: Tietojärjestelmien auditoinnin vahvistaminen
Auditointiin kuuluu yleensä suurten tietomäärien kerääminen mistä tahansa järjestelmästä – mukaan lukien käyttäjien toimet, asiakastiedot ja kriittiset tapahtumat.
Auditointiprosessi itsessään voi muodostaa riskin henkilökohtaisille tunnistetiedoille ja yksityisyyden suojalle, koska tällaiset toimet voivat vaikuttaa tietojen saatavuuteen ja vaativat joskus erikoismenetelmiä arkaluonteisten tietokokonaisuuksien tutkimiseen.
Mitä ISO 27701:n lauseke 6.9.7 kattaa
ISO 27701 6.9.7 sisältää yhden ICT-auditointiin ja siihen liittyviin tietosuojariskeihin liittyvän alakohdan – ISO 6.9.7.1 – joka sisältää ohjeita mm. ISO 27002 Valvonta 8.34.
ISO ei tarjoa ylimääräisiä PIMS- tai PII-ohjeistuspisteitä, eikä myöskään Yhdistyneessä kuningaskunnassa GDPR huomioitavia seikkoja.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.9.7.1 – Tietojärjestelmien tarkastuksen valvonta
Viitteet ISO 27002 Control 8.34
Suorittaessaan määräaikaista auditointia (ja muita verkon varmistustoimia) tulee laatia suunnitelmat sen varmistamiseksi, että henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien resurssien eheys ja saatavuus on aina suojattu.
Tämän saavuttamiseksi organisaatioiden tulee:
- Varmista, että pääsyä järjestelmiin hallitaan asianmukaisesti auditointia varten.
- Piirrä selkeästi tarkastustoimintojen laajuus ennen niiden toteuttamista.
- Jos mahdollista, rajaa pääsy arkaluontoisiin tietoihin vain luku -oikeuksiin. Jos vaaditaan korotettuja käyttöoikeuksia, organisaatioiden tulisi harkita auditointitehtävien delegointia "kokeneelle järjestelmänvalvojalle".
- Tarkista tarkastuksessa käytettävien laitteiden suojausasetukset.
- Käytä sovittua menettelyä erityisten auditointityökalujen pyytämiseksi.
- Suorita mahdollisuuksien mukaan kaikki auditointitoimet aukioloaikojen ulkopuolella, jos tällaiset toimet voivat vaikuttaa järjestelmän saatavuuteen.
- Pidä perusteellista lokia kaikista auditointitoimista (mukaan lukien pyynnöt) vaatimustenmukaisuuden varmistamiseksi.
- Harkitse testaus- ja kehitystilojen ja -ympäristöjen auditoinnin yksityisyyttä koskevia vaikutuksia.
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.9.7.1 | Tietojärjestelmien tarkastuksen valvonta | 8.34 – Tietojärjestelmien suojaus ISO 27002 -standardin tarkastustestauksen aikana | Ei eristetty |
Miten ISMS.online auttaa
PIMS-järjestelmämme noudattaa kansainvälistä ISO 27001 -standardia, mutta se pystyy myös ottamaan huomioon kasvavan määrän kansallisia, alueellisia ja alakohtaisia tietosuojastandardeja, puitteita ja säädöksiä.
- GDPR
- POPIA
- BS 10012
- Australian tietosuojaperiaatteet
- NIST Privacy Framework
- OECD:n tietosuojaohjeet
- APEC Privacy Framework
- Ja lisää
Intuitiivisen alustamme avulla voit kartoittaa työsi useiden puitteiden välillä välttäen päällekkäisyyksiä ja toistoja.
Lisätietoja: varata demo.
