BBP Artikel 32 stel die behoefte vir organisasies om verskeie maatreëls te implementeer wat 'n voldoende vlak van sekuriteit in hul dataverwerkingsaktiwiteit bereik.
Om dit te bereik, moet organisasies in ag neem:
Sekuriteit van verwerking
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, sal die beheerder en die verwerker implementeer toepaslike tegniese en organisatoriese maatreëls om 'n vlak van sekuriteit te verseker wat geskik is vir die risiko, insluitend onder andere, soos toepaslik:
- Die pseudonimisering en enkripsie van persoonlike data.
- Die vermoë om die deurlopende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van verwerkingstelsels en -dienste te verseker.
- Die vermoë om die beskikbaarheid en toegang tot persoonlike data betyds te herstel in die geval van 'n fisiese of tegniese voorval.
- 'n Proses om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te assesseer en te evalueer om die sekuriteit van die verwerking te verseker.
- By die beoordeling van die toepaslike vlak van sekuriteit sal veral rekening gehou word met die risiko's wat deur verwerking ingehou word, veral van toevallige of onwettige vernietiging, verlies, verandering, ongemagtigde openbaarmaking van of toegang tot persoonlike data wat versend, gestoor of andersins verwerk is.
- Nakoming van 'n goedgekeurde gedragskode soos bedoel in Artikel 40 of 'n goedgekeurde sertifiseringsmeganisme soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die vereistes uiteengesit in paragraaf 1 van hierdie Artikel bewys kan word.
- Die kontroleerder en verwerker sal stappe doen om te verseker dat enige natuurlike persoon wat onder die gesag van die kontroleerder of die verwerker optree wat toegang tot persoonlike data het, dit nie verwerk nie behalwe in opdrag van die kontroleerder, tensy hy of sy verplig word om dit te doen deur Unie- of lidstaatreg.
Sekuriteit van verwerking
- Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, sal die beheerder en die verwerker implementeer toepaslike tegniese en organisatoriese maatreëls om 'n vlak van sekuriteit te verseker wat geskik is vir die risiko, insluitend onder andere, soos toepaslik:
- Die pseudonimisering en enkripsie van persoonlike data.
- Die vermoë om die deurlopende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van verwerkingstelsels en -dienste te verseker.
- Die vermoë om die beskikbaarheid en toegang tot persoonlike data betyds te herstel in die geval van 'n fisiese of tegniese voorval.
- 'n Proses om gereeld die doeltreffendheid van tegniese en organisatoriese maatreëls te toets, te assesseer en te evalueer om die sekuriteit van die verwerking te verseker.
- By die beoordeling van die toepaslike vlak van sekuriteit sal veral rekening gehou word met die risiko's wat deur verwerking ingehou word, veral van toevallige of onwettige vernietiging, verlies, verandering, ongemagtigde openbaarmaking van of toegang tot persoonlike data wat versend, gestoor of andersins verwerk is.
- Nakoming van 'n goedgekeurde gedragskode soos bedoel in Artikel 40 of 'n goedgekeurde sertifiseringsmeganisme soos bedoel in Artikel 42 kan gebruik word as 'n element waardeur voldoening aan die vereistes uiteengesit in paragraaf 1 van hierdie Artikel bewys kan word.
- Die kontroleerder en verwerker sal stappe doen om te verseker dat enige natuurlike persoon wat onder die gesag van die kontroleerder of die verwerker optree wat toegang tot persoonlike data het, dit nie verwerk nie behalwe in opdrag van die kontroleerder, tensy hy of sy verplig word om dit te doen deur binnelandse reg.
Sedert ons migreer kon ons die tyd wat aan administrasie bestee word, verminder.
GDPR Artikel 32 vra organisasies om 'n risiko-gebaseerde benadering tot dataverwerking te volg wat verskeie sleutelveranderlikes in ag neem:
Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.
Die organisasie moet in staat wees om te verstaan hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan van die beveiliging van PII moet geïdentifiseer en aangespreek word.
Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.
Dit sluit in:
ISO beveel 'n deeglike omvang-oefening aan, sodat organisasies in staat is om 'n PIMS te produseer wat eerstens aan sy privaatheidsbeskermingsvereistes voldoen, en tweedens nie inkruip in areas van die besigheid wat nie aandag nodig het nie.
Organisasies moet vasstel en dokumenteer:
Alle omvangsoefeninge wat 'n PIMS-implementering uitbeeld, moet 'n deeglike assessering van PII-verwerking en bergingsaktiwiteite insluit.
Organisasies moet poog om 'n Privaatheidsinligtingbestuurstelsel (PIMS) te implementeer, te bestuur en te optimaliseer, in lyn met gepubliseerde ISO-standaarde.
Organisasies moet 'n privaatheidsbeskermingsrisiko-assesseringsproses uitstippel en implementeer wat:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Organisasies moet 'n privaatheidsbeskerming/PII 'risikobehandelingsproses' opstel en implementeer wat:
Toepassingsekuriteitsprosedures moet saam met breër privaatheidsbeskermingsbeleide ontwikkel word, gewoonlik via 'n gestruktureerde risiko-evaluering wat verskeie veranderlikes in ag neem.
Toepassingsekuriteitsvereistes moet die volgende insluit:
Transaksionele dienste wat die vloei van privaatheiddata tussen die organisasie en 'n derdeparty-organisasie, of vennootorganisasie fasiliteer, moet:
Vir enige aansoeke wat elektroniese bestelling en/of betaling behels, moet organisasies:
Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.
Sodoende moet organisasies:
Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
In hierdie afdeling praat ons oor GDPR Artikels 32 (1)(b), 32 (1)(d), 32 (2)
Organisasies moet prosesse ontwikkel wat voorsiening maak vir onafhanklike hersiening van hul privaatheidinligtingsekuriteitspraktyke, insluitend beide onderwerpspesifieke beleide en algemene beleide.
Resensies moet uitgevoer word deur:
Resensies moet onafhanklik wees en uitgevoer word deur individue met voldoende kennis van privaatheidsbeskermingsriglyne en die organisasie se eie prosedures.
Beoordelaars moet vasstel of privaatheidinligtingsekuriteitspraktyke voldoen aan die organisasie se “gedokumenteerde doelwitte en vereistes”.
Sowel as gestruktureerde periodieke resensies, kan organisasies die behoefte ondervind om ad hoc-oorsigte te doen wat veroorsaak word deur sekere gebeurtenisse, insluitend:
Organisasies moet verseker dat personeel in staat is om privaatheidsbeleide oor die volle spektrum van sakebedrywighede te hersien.
Bestuur moet tegniese metodes ontwikkel om verslag te doen oor privaatheidsnakoming (insluitend outomatisering en pasgemaakte gereedskap). Verslae moet aangeteken, gestoor en ontleed word om PII-sekuriteit en privaatheidbeskermingspogings verder te verbeter.
Waar voldoeningskwessies ontdek word, moet organisasies:
Dit is uiters belangrik om so gou as moontlik regstellende maatreëls in te stel. As kwessies nie ten volle opgelos is teen die tyd van die volgende hersiening nie, moet ten minste bewyse verskaf word om te wys dat vordering gemaak word.
Eerder as om alle inligting op gelyke voet te plaas, moet organisasies inligting op 'n onderwerpspesifieke basis klassifiseer.
Inligtingseienaars moet vier sleutelfaktore oorweeg wanneer hulle data klassifiseer (veral met betrekking tot PII), wat periodiek hersien moet word, of wanneer sulke faktore verander:
Om 'n duidelike operasionele raamwerk te verskaf, moet inligtingkategorieë benoem word in ooreenstemming met die inherente risikovlak, sou enige voorvalle plaasvind wat enige van die bogenoemde faktore in gevaar stel.
Om kruisplatform-versoenbaarheid te verseker, moet organisasies hul inligtingkategorieë beskikbaar stel aan enige eksterne personeel met wie hulle inligting deel, en verseker dat die organisasie se eie klassifikasieskema wyd deur alle relevante partye verstaan word.
Organisasies moet versigtig wees om data te onderklassifiseer of omgekeerd te oorklassifiseer. Eersgenoemde kan lei tot foute met die groepering van PII met minder sensitiewe datatipes, terwyl eersgenoemde dikwels lei tot ekstra koste, 'n groter kans op menslike foute en verwerkingsafwykings.
Wanneer organisasies beleid ontwikkel wat die hantering van mediabates wat betrokke is by die berging van PII reguleer, moet organisasies:
Wanneer bergingsmedia herdoel, hergebruik of weggedoen word, moet robuuste prosedures in plek gestel word om te verseker dat PII nie op enige manier geraak word nie, insluitend:
As toestelle wat gebruik is om PII te stoor beskadig raak, moet organisasies sorgvuldig oorweeg of dit meer gepas is om sulke media te vernietig of nie vir herstel te stuur (fout aan die kant van eersgenoemde).
ISO waarsku organisasies teen die gebruik van ongeënkripteerde bergingstoestelle vir 'n PII-verwante aktiwiteite.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Sien afdeling hierbo oor ISO 27701 Klousule 6.5.3.1
As media ontslae geraak wil word van daardie PII wat voorheen gehou is, moet organisasies prosedures implementeer wat die vernietiging van PII en privaatheidverwante data dokumenteer, insluitend kategoriese versekering dat dit nie meer beskikbaar is nie.
Organisasies moet enkripsie gebruik om die vertroulikheid, egtheid en integriteit van PII en privaatheidverwante inligting, en om te voldoen aan hul verskillende kontraktuele, wetlike of regulatoriese verpligtinge.
Enkripsie is 'n verreikende konsep – daar is geen 'one size fits all'-benadering nie. Organisasies moet hul behoeftes assesseer en 'n kriptografiese oplossing kies wat aan hul unieke kommersiële en operasionele doelwitte voldoen.
Organisasies moet oorweeg:
Sleutelbestuursprosedures moet oor 7 hooffunksies versprei word:
Organisatoriese sleutelbestuurstelsels moet:
Organisasies moet onderwerpspesifieke beleide opstel wat direk aanspreek hoe die organisasie die relevante areas van sy netwerk rugsteun om PII te beskerm en veerkragtigheid teen privaatheidsverwante voorvalle te verbeter.
BUDR-prosedures moet opgestel word om die primêre doelwit te bereik om dit te verseker almal besigheidskritiese data, sagteware en stelsels kan volgende herwin word verlies van data, inbraak, besigheidsonderbreking en kritieke mislukkings.
As 'n prioriteit moet BUDR-planne:
Organisasies moet aparte prosedures ontwikkel wat uitsluitlik met PII handel (al is dit vervat in hul hoof-BUDR-plan).
Streeksafwykings in PII BUDR-standaarde (kontraktueel, wetlik en regulatories) moet in ag geneem word wanneer 'n nuwe werk geskep word, poste gewysig word of nuwe PII-data by die BUDR-roetine gevoeg word.
Wanneer die behoefte ontstaan om PII te herstel na 'n BUDR-voorval, moet organisasies baie versigtig wees om die PII na sy oorspronklike toestand terug te bring, en herstelaktiwiteite te hersien om enige probleme met die nuwe data op te los.
Organisasies moet 'n log van herstelaktiwiteit hou, insluitend enige personeel wat by die herstel betrokke is, en 'n beskrywing van die PII wat herstel is.
Organisasies moet met enige wetgewende of regulatoriese agentskappe nagaan en verseker dat hul PII-herstelprosedures in ooreenstemming is met wat van hulle as 'n PII-verwerker en kontroleerder verwag word.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Organisasies moet eers identifiseer en dan rekord die spesifieke redes vir die verwerking van die PII wat hulle gebruik.
PII-prinsipale moet ten volle vertroud wees met al die verskillende redes waarom hul PII verwerk word.
Dit is die verantwoordelikheid van die organisasie om hierdie redes aan PII-hoofde oor te dra, saam met 'n 'duidelike verklaring' oor hoekom hulle hul inligting moet verwerk.
Alle dokumentasie moet duidelik, omvattend en maklik verstaanbaar wees deur enige PII-prinsipaal wat dit lees – insluitend enigiets wat met toestemming verband hou, sowel as afskrifte van interne prosedures (sien ISO 27701 Klousules 7.2.3, 7.3.2 en 7.2.8).
Organisasies moet óf enige PII wat nie meer 'n doel vervul, heeltemal vernietig nie, óf dit verander op 'n manier wat enige vorm van hoofidentifikasie verhoed.
Sodra die organisasie vasstel dat PII nie te eniger tyd in die toekoms verwerk hoef te word nie, moet die inligting geskrap or de-geïdentifiseer, soos die omstandighede dit voorskryf.
Van die begin af moet PII slegs in ooreenstemming met die kliënt se instruksies verwerk word.
Kontrakte moet SLA's insluit wat verband hou met wedersydse doelwitte, en enige gepaardgaande tydskale waarbinne dit voltooi moet word.
Organisasies moet hul reg erken om die afsonderlike metodes te kies wat gebruik word om PII te verwerk, wat wettiglik bereik waarna die kliënt soek, maar sonder dat dit nodig is om gedetailleerde toestemmings te verkry oor hoe die organisasie te werk gaan op 'n tegniese vlak.
GDPR artikel | ISO 27701-klousule | ISO 27002-kontroles |
---|---|---|
EU GDPR Artikel 32 (3) | 5.2.1 | Geen |
EU GDPR Artikel 32 (2) | 5.2.3 | Geen |
EU GDPR Artikel 32 (2) | 5.2.4 | Geen |
EU GDPR artikels 32 (1)(b) en 32 (2) | 5.4.1.2 | Geen |
EU GDPR Artikel 32 (1)(b) | 5.4.1.3 | Geen |
EU GDPR Artikel 32 (1)(a) | 6.11.1.2 | 5.17 8.2 8.5 |
EU GDPR artikels 32 (1)(b) en 32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
EU GDPR artikels 32 (1)(b), 32 (1)(d) en 32 (2) | 6.15.2.1 | Geen |
EU GDPR artikels 32 (1)(d) en (32)(2) | 6.15.2.3 | Geen |
EU GDPR Artikel 32 (2) | 6.5.2.1 | Geen |
EU GDPR Artikel 32 (1)(a) | 6.5.3.1 | 5.14 |
EU GDPR Artikel 32 (1)(a) | 6.5.3.3 | 5.14 |
EU GDPR Artikel 32 (1)(a) | 6.7.1.1 | 5.31 8.24 |
EU GDPR Artikel 32 (1)(c) | 6.9.3.1 | 5.30 8.1 8.10 |
EU GDPR Artikel 32 (4) | 7.2.1 7.2.3 7.3.2 7.2.8 | Geen |
EU GDPR Artikel 32 (1)(a) | 7.4.5 | Geen |
EU GDPR Artikel 32 (4) | 8.2.2 | Geen |
Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word. Jy SAL trek voordeel uit 'n reeks kragtige tydbesparende kenmerke.
ISMS.online maak dit ook maklik vir jou om reguit in jou pad na GDPR-voldoening te spring en om maklik vlak van beskerming te demonstreer wat verder gaan as 'redelik', alles op een veilige, altyd-aan plek.
Vind meer uit deur bespreek 'n kort 30 minute demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Ontdek die beste manier om ISMS-sukses te behaal
Kry jou gratis gids