Hoe ons ons ISO 27701-oudit benader en die eerste keer daarin geslaag het

Aan die einde van 2022 het ons deur die proses gegaan om terselfdertyd sertifisering vir ISO 27701, die data privaatheid standaard, en her-sertifisering vir ISO 27001, die inligtingsekuriteitstandaard. Laasgenoemde sertifikaat het ons al meer as tien jaar suksesvol gehou. En ons is nou verheug om te deel dat ons albei sertifiserings suksesvol behaal het sonder om te voldoen. 

Hoekom het ons gesoek om twee van die mees uitdagende standaarde daar buite te lewer en te bereik op dieselfde tyd? Ons hoor jou vra! Ons het besluit om ons geld te sit waar ons mond is en ons nuwe platformaanbieding, SPoT, te gebruik. Ons het SPoT ontwerp om ligte werk te maak van die implementering van ISO 27001 en ISO 27701 deur die naatlose kombinasie van 'n inligtingsekuriteitbestuurstelsel (ISMS) en privaatheidinligtingbestuurstelsel (PIMS) in 'n 'enkelpunt van waarheid', of kortweg SPoT. Jy kan meer uitvind oor SPoT in ons vroeëre blog. 

Tydens die projeklewering en oudit het ons span dagboeke gehou oor hul ervarings en gedagtes oor die vestiging van die PIMS en die hersertifisering van ons ISMS, so ons het besluit om daardie ervarings met jou te deel. Ons hoop jy vind dit nuttig en insiggewend, en as jy vrae het, kontak asseblief; ons hou daarvan om te gesels oor alles wat voldoening betref. 

Wat is ISO 27701 

Voordat ons ingaan op die geleefde ervarings van die bou, voorbereiding en ouditering van 'n ISMS en PIMS, is dit die beste om die toneel te stel en presies af te breek wat ISO 27701 is. 

ISO 27701 is 'n privaatheidsuitbreiding tot die ISO 27001-standaard, 'n internasionaal erkende raamwerk vir inligtingsekuriteitbestuur. Die ISO 27701-standaard verskaf riglyne en vereistes vir die implementering en instandhouding van 'n privaatheidsinligtingbestuurstelsel (PIMS) binne 'n bestaande inligtingsekuriteitbestuurstelsel (ISMS)-raamwerk.

Waarom moet organisasies kyk om ISO 27701 te implementeer? 

Alhoewel dit relatief nuut op die toneel is - dit is in Augustus 2019 bekendgestel - het dit wêreldwyd 'n vinnige toename in gewildheid geniet, met baie organisasies wat verkies het om die standaard te implementeer in die plek van geografiese streekregulasies soos BBP en POPIA wat grootliks binne die ISO 27701-kontroles geakkommodeer kan word.  

Eenvoudiger, die groeikoers van digitale transformasie het daartoe gelei dat meer sensitiewe inligting aanlyn gestoor en gedeel is as ooit tevore. Namate daardie volume data vermeerder, word dit beide 'n winsgewende teiken vir kubermisdadigers en 'n belangrike bekommernis vir verbruikers en besighede om te verseker dat dit veilig gehou word. In dieselfde asem, die groei van globale regulasies, soos GDPR, CCPA en HIPAA, beteken organisasies het ook 'n wetlike verantwoordelikheid om hul kliënte se private data te beskerm. Gesamentlik is daar 'n duidelike beweging na 'n voldoeningslandskap waar u nie meer inligtingsekuriteit kan hê sonder dataprivaatheid nie.

Die voordele van die aanvaarding van ISO 27701 strek ook verder as om organisasies te help om aan regulatoriese en voldoeningsvereistes te voldoen. Dit sluit in die demonstrasie van aanspreeklikheid en deursigtigheid aan belanghebbendes, die verbetering van kliëntevertroue en -lojaliteit, die vermindering van die risiko van privaatheidskendings en gepaardgaande koste, en die verhoging van mededingendheid in die globale mark. 

Hoe ons doeltreffend voorberei het vir ons ISO 27701-oudit 

Voorbereiding, soos met enige projek, is van kritieke belang. Die meerderheid van wat jy as 'n organisasie gedurende hierdie fase doen, sal die sukses van jou finale sertifiseringsoudit beïnvloed. Sam Peters, ons DPO, het dit geweet, nadat hy meer as tien jaar daaraan bestee het om vir ISO 27001 voor te berei en oudits uit te voer. Om tegelykertyd vir 'n nuwe standaard, ISO 27701, en hersertifisering vir ISO 27001 te gaan, was egter nuwe grond vir hom en die organisasie , die ouditeur en die sertifiseringsliggaam. Sam erken vrylik, 'hierdie een was senutergend'. 

• Elke reis begin met 'n eerste stap

Die eerste stap vir Sam was om ooreen te kom op 'n tydlyn vir die projek en die begroting. Vir ons was dit 'n 6-maande tydlyn en 'n noue ommekeer, maar dit het ook verseker dat ons leierskapspan, wat die projek aan die gang gesit het, van die begin af ten volle betrokke was en die belangrikheid van die nakoming van data-privaatheid reg van die bopunt van die besigheid ingesluit. . Dit is ook van mening dat die organisasie steeds 'besigheid soos gewoonlik' moet lewer tydens die projek. Die vestiging van 'n ISMS en PIMS hoef nie 'n voltydse werk te wees nie, veral met die regte tegnologieplatform wat jou mense en prosesse op die reis ondersteun. 

• Die ontdekkingsfase

Die volgende stap vir ons was om die nuwe kontroles vir ISO 27701 in ons bestaande ISMS in te bring. Ons het nie van nuuts af begin nie, want ons het ons produk met al die inhoud van die rak gebruik. Dit was eenvoudig om daardie inhoud aan te pas by ons spesifieke organisasie se behoeftes. Een van die beduidende voordele daarvan om met die ISMS.online-platform te werk, is dat die gereedskap daarin jou reguit voor die spel bring. 

Ons het toe gedetailleerde gesprekke met al die relevante spanne binne ons besigheid begin, van HR, Finansies en Bemarking tot Verkope en Sukses, om die data wat ons gehad het te verstaan, hoe dit deur die maatskappy beweeg en die stelsels wat gebruik word. Omdat ons reeds 'n ISMS gehad het, het ons 'n bate-inventaris gehad wat 'n baie nuttige hulpmiddel was om daardie gesprekke met elke span te begin. Ons het ook reeds aan GDPR voldoen, so ons het 'n stuk aktiwiteit voltooi om 'n rekord van verwerkingsaktiwiteit (ROPA) te skep wat ons weer gehelp het toe ons met al die spanne binne die besigheid gepraat het en vir ons duidelik gemaak het dat ons ROPA ingevolge ISO 27701 benodig meer besonderhede as wat ons tans gehad het, wat ons 'n duidelike werkstroom gee om dadelik op te fokus. 

Die interne gesprekke het ons gehelp om feitlik onmiddellik areas te identifiseer waar ons verbeterings kon aanbring en prosesse vaartbelyn en vereenvoudig, soos waar ons data gestoor het en die stelsels wat ons gebruik het om toegang tot daardie data te verkry en te gebruik. Dit het ook werklik vir ons die bykomende voordele van die gebruik van raamwerke soos ISO 27701 gedryf, aangesien die proses gelei het tot die vaartbelyning van werkvloeie, wat ons bedryfsdoeltreffendheid selfs verder verbeter het. 

• Die akroniem Bietjie

Die opgedateerde ROPA van hierdie stuk werk het ons in staat gestel om aan te beweeg na die data-privaatheid impakbeoordelings (DPIA), waar ons dit ingestel het teen die prosesse wat ons in plek gestel het. Dit het gelei tot 'n paar voordelige leerstellings oor hoe ons dit as 'n organisasie gedoen het, aangesien dit nie iets is wat mense gereeld sal doen nie. Ons het besef om 'n sjabloonbenadering tot hierdie te hê sodat enigiemand wat dit moet doen, die sjabloon kan optel en 'n uitvoerbare en waardevolle DPIA met beperkte ondervinding kan lewer, is noodsaaklik vir sukses. Dit sal ook demokratiseer wie dit kan onderneem en die werklading vir ons breër infosec-spanlede verminder. 

Vir Sam het hierdie proses ook die belangrikheid daarvan aangetoon om so vroeg as moontlik oor privaatheid binne 'n stuk werk of projek te dink. Dit is baie makliker om met privaatheid in gedagte te beplan as om agterna terug te kom en iets te probeer verander of reg te stel wanneer inligting dalk reeds in een stelsel is of jy dalk 'n kontrak met 'n verskaffer geteken het. 

Die idee van privaatheid deur ontwerp is integraal vir enige organisasie wat 'n kultuur van privaatheid en voldoening aan die groeiende reeks privaatheidswetgewing wil insluit. Dit is nou deel van die ISO 27001- en 27701-kontroles.

• Mag aan die mense

Die werk tot op hierdie punt het ons natuurlik tot personeelopleiding gelei. Die ISO 27701-raamwerk, soos met die ISO 27001-raamwerk, is meer as net om tegniese beskerming te verseker. Dit het ten doel om 'n kultuur van privaatheid en sekuriteit binne 'n organisasie te vestig. En inderdaad, as jy die werk gaan doen om 'n PIMS te skep, sal dit 'n aansienlike truuk ontbreek om nie te verseker dat jou werknemers hul rol in die lewering van effektiewe dataprivaatheid verstaan ​​nie. Jy sal waarskynlik ook 'n oudit druip as die ouditeur 'n personeellid oproep om deel te neem en hulle nie met selfvertroue vrae kan beantwoord oor die prosesse wat jy met jou PIMS in werking stel nie. 

Vir Sam was dit 'n integrale deel van sukses om dataprivaatheid relevant te maak vir personeel en hul rolle. Dit was noodsaaklik om personeel te bemagtig om te sien hoe hulle verantwoordelik is en deur dataprivaatheid geraak word. Die kontekstualisering van die organisasie se beleide en prosedures vir die bestuur van privaatheidsinligting en die handhawing van vertroulikheid en privaatheid binne spesifieke rolle was 'n stuk werk wat, terwyl dit tydrowend was, begrip en uitvoering regdeur die besigheid verbeter het. Hierdie aktiwiteit het toe uitgebrei na eksterne onderwys, die opdatering van ons privaatheidsbeleid en die skep van spesifieke privaatheidsbeleide vir personeel en potensiële kandidate tydens werwing. 

• Vertel ons wat jy regtig dink

Die voorlaaste stap wat ons voor-oudit geneem het, was om 'n interne Oudit van ons PIMS. Hierdie proses was noodsaaklik om te verseker dat die PIMS funksioneer soos bedoel, voldoen aan die ISO 27701-standaard se vereistes en gebiede vir verdere verbeterings geïdentifiseer het voor die sertifiseringsoudit. Ons DPO, Sam, het gevra dat die interne ouditeur besonder streng met ons moet wees, en hy was beslis. Dit was 'n waardevolle geleentheid om enige kwessies uit te stryk sodat ons met selfvertroue die sertifiseringsoudit kon benader, wetende dat ons PIMS aan die streng vereistes voldoen en sou lewer waarna die ouditeur sou soek. 

Ten slotte, ter voorbereiding van die oudit, het ons deurgedink presies hoe ons ons PIBS aan die ouditeur sou voorlê en hoe ons ander mense van binne die besigheid in die oudit sou inbring soos nodig, om te verseker dat kritiese lede beskikbaar is, asook om die breër inligting in te lig. geselskap oor wat hulle kan verwag om gevra te word om te doen, om te verseker dat hulle ingelig en voorbereid voel indien hulle gevra word.

Wat om te verwag tydens 'n ISO 27701-oudit 

Tydens die oudit sal die ouditeur 'n paar sleutelareas van jou PIBS wil hersien, soos:

1. Jou organisasie se beleide, prosedures en prosesse vir die bestuur van persoonlike data
2.  Evalueer jou privaatheidsrisiko's en toepaslike kontroles om te bepaal of jou beheermaatreëls doeltreffend is om die geïdentifiseerde risiko's te versag.
3. Evalueer jou privaatheid voorvalbestuur. Is jou vermoë om privaatheidsvoorvalle op te spoor, aan te meld, te ondersoek en daarop te reageer voldoende
4. Ondersoek jou derdeparty-privaatheidsbestuur om te verseker dat voldoende beheermaatreëls in plek is om derdeparty-risiko's te bestuur
5. Kontroleer dat u privaatheidopleidingsprogram u personeel voldoende opvoed oor privaatheidsake
6. Hersien jou organisasie se prestasiemaatstawwe om te bevestig of hulle aan die privaatheidsdoelwitte voldoen.

Sowel as hierdie konsekwente areas vir hersiening, is daar ander punte om te oorweeg, soos hoe jy met die ouditeur werk. Hulle is daar om voldoening te identifiseer, en jy is daar om hulle te wys hoe jy aan daardie vereistes voldoen. Om die gesprek te lei en hulle deur die sleutelareas te lei, sal dus nuttig wees vir die ouditeur en hulle in staat stel om die bykomende roetes en aktiwiteite te identifiseer wat hulle wil hersien. Dit moet 'n samewerkende proses wees. 

Waarom ISO 27701 nooit 'n regmerkie-proses moet wees nie 

Deel van die ISMS.aanlyn etos is dat eenvoudige, volhoubare inligtingsekuriteit en dataprivaatheid bereik word deur mense, prosesse en tegnologie. 'n Alleen-tegnologie-benadering sal nooit suksesvol wees nie. 

Nakoming alleen waarborg nie effektiewe privaatheidsbestuur nie. ’n Slegs tegnologie-benadering fokus daarop om aan die standaard se minimum vereistes te voldoen eerder as om data-privaatheidsrisiko's op lang termyn effektief te bestuur. Jou mense en prosesse, tesame met 'n robuuste tegnologie-opstelling, sal jou voor die groep plaas en jou data-privaatheidsdoeltreffendheid aansienlik verbeter teenoor dié wat op tegnologie staatmaak vir 'n vinnige maar tydelike oplossing. 

Wat 'n regmerkie-benadering genoem kan word, sal dikwels:

• Betrek 'n oppervlakkige risiko-evaluering, wat beduidende privaatheidsrisiko's kan oor die hoof sien
• Ignoreer sleutelbelanghebbendes se privaatheidskwessies 
• Lewer generiese privaatheidsopleiding wat nie by die organisasie se spesifieke behoeftes aangepas is nie
• Voer beperkte monitering en hersiening van privaatheidskontroles uit, wat kan lei tot onopgemerkte privaatheidsvoorvalle

Al hierdie maak organisasies oop vir moontlike skadelike oortredings, finansiële boetes en reputasieskade. 

ISO 27701 Padkaart – Laai nou af

Ons het 'n praktiese padkaart van een bladsy geskep, opgedeel in vyf sleutelfokusareas, om ISO 27701 in jou besigheid te benader en te bereik. Daar is geen vorm om in te vul nie. Laai die PDF vandag af vir 'n eenvoudige wegspring op jou reis na meer effektiewe dataprivaatheid. 

Laai nou af

Die eerste keer ontsluit ons ISO 27701-voldoeningsvoordeel

Om sertifisering teen ISO 27701 en hersertifisering teen ISO 27001 vir die eerste keer te behaal, sonder enige nie-konformiteite, was 'n belangrike oomblik vir ons hier by ISMS.online. Ons het nie net 'n bedryf eerste bereik nie, maar ons was suksesvol met ons splinternuwe platformaanbieding, SPoT. 

Maar dit was nie alles oor ons in hierdie proses nie. Dit het gegaan oor ons 'hoekom'. Hoekom doen ons wat ons doen? Eenvoudige, veilige en volhoubare sekuriteit behoort vir almal moontlik te wees. Dis hoekom. So, watter beter manier om te wys enigiemand daar buite wat meer effektiewe dataprivaatheid en inligtingsekuriteit wil bereik dat dit moontlik is as deur aksie? Ons het die proses geleef en wil daardie ervarings, leerstellings en gereedskap met ander deel.

Ons kan ingaan op die vele maniere waarop SPoT ons voorsien het van al die materiaal en gereedskap wat ons nodig gehad het om suksesvol te wees, van sy 81%-voorsprong, die 'Assured Results Method', die katalogus van dokumentasie wat aangeneem, aangepas of bygevoeg kan word. ons virtuele afrigter altyd-aan-ondersteuning, maar in plaas daarvan nooi ons jou uit om self te sien en die voordele eerstehands te besef - vra vandag 'n oproep met een van ons kundiges.

Praat Met 'n Deskundige