Hoe om voldoening aan GDPR Artikel 32 te demonstreer

Tegniese Kommentaar

GDPR Artikel 32 vra organisasies om 'n risiko-gebaseerde benadering tot dataverwerking te volg wat verskeie sleutelveranderlikes in ag neem:

• 'n Deeglike risiko-evaluering wat die toevallige of onwettige vernietiging of verandering van persoonlike data, toegang tot data en hoe data bestuur word, in ag neem.
• Navorsing oor tegniese maatreëls wat risiko oor die hele organisasie versag.
• Die implementering van tegnieke en maatreëls wat handel oor enige risiko's wat is heel waarskynlik sal voorkom.
• Gedragskodes wat die organisasie en individue daarin aanspreeklik hou vir hul optrede wanneer data hanteer word.
• Waarborg aan datasubjekte dat enigiemand wat met hul data interaksie het, dit op 'n gepaste en wettige manier doen.

ISO 27701 Klousule 5.2.1 (Verstaan ​​die organisasie en die konteks daarvan) en EU GDPR Artikel 32 (3)

Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.

Die organisasie moet in staat wees om te verstaan ​​hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan ​​van die beveiliging van PII moet geïdentifiseer en aangespreek word.

Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.

Dit sluit in:

• Hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite'.
• Met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures.
• Enige administratiewe faktore, insluitend die daaglikse bestuur van die maatskappy.
• Derdeparty-ooreenkomste of dienskontrakte wat die potensiaal het om 'n impak op PII en privaatheidbeskerming te hê.

ISO 27701 Klousule 5.2.3 (Bepaling van die omvang van die Inligtingsekuriteitsbestuurstelsel) en EU GDPR Artikel 32 (2)

ISO beveel 'n deeglike omvang-oefening aan, sodat organisasies in staat is om 'n PIMS te produseer wat eerstens aan sy privaatheidsbeskermingsvereistes voldoen, en tweedens nie inkruip in areas van die besigheid wat nie aandag nodig het nie.

Organisasies moet vasstel en dokumenteer:

1. Enige eksterne of interne kwessies, soos uiteengesit in ISO 27001 4.1.
2. Derdeparty-vereistes soos uiteengesit in ISO 27001 4.2.
3. Hoe die organisasie interaksie het met beide homself en eksterne liggame (bv. klante raakpunte, IKT-koppelvlakke).

Alle omvangsoefeninge wat 'n PIMS-implementering uitbeeld, moet 'n deeglike assessering van PII-verwerking en bergingsaktiwiteite insluit.

ISO 27701 Klousule 5.2.4 (Inligtingsekuriteitbestuurstelsel) en EU GDPR Artikel 32 (2)

Organisasies moet poog om 'n Privaatheidsinligtingbestuurstelsel (PIMS) te implementeer, te bestuur en te optimaliseer, in lyn met gepubliseerde ISO-standaarde.

ISO 27701 Klousule 5.4.1.2 (Inligtingsekuriteitsrisiko-evaluering) en EU GDPR Artikel 32 (1)(b) en 32 (2)

Organisasies moet 'n privaatheidsbeskermingsrisiko-assesseringsproses uitstippel en implementeer wat:

• Sluit risiko-aanvaardingskriteria in vir die doeleindes van die uitvoering van privaatheidsbeskermingsbeoordelings.
• Verskaf 'n raamwerk vir die vergelykbare ontleding van alle privaatheidsbeskermingsbeoordelings.
• Wys privaatheidsbeskermingsrisiko's (en hul eienaars) vas.
• Oorweeg die gevare en risiko's wat inherent is aan die verlies van 'vertroulikheid, beskikbaarheid en integriteit' van PII.
• Ontleed privaatheidsbeskermingsrisiko's saam met drie faktore:
• Hul potensiële gevolge.
• Die waarskynlikheid dat hulle sal plaasvind.
• Hulle erns.
• ontleed en prioritiseer enige geïdentifiseerde risiko's in ooreenstemming met hul risikovlak.

ISO 27701 Klousule 5.4.1.3 (Inligtingsekerheidsrisikobehandeling) en EU GDPR-artikel (32)(1)(b)

Organisasies moet 'n privaatheidsbeskerming/PII 'risikobehandelingsproses' opstel en implementeer wat:

• Implementeer 'n 'risikobehandelingsplan' vir privaatheidbeskerming.
• Identifiseer hoe 'n PIMS individuele risikovlakke moet hanteer, gebaseer op 'n stel assesseringsresultate.
• Beklemtoon 'n reeks kontroles wat nodig is om privaatheidsbeskermingsrisikobehandeling te implementeer.
• Kruisverwysing enige kontroles geïdentifiseer met die omvattende lys verskaf deur ISO in Bylae A van ISO 27001.
• Dokumenteer en regverdig die gebruik van enige kontroles wat in 'n formele 'Verklaring van Toepaslikheid' gebruik word.
• Soek goedkeuring van enige risiko-eienaars voordat 'n privaatheidsbeskermingsrisikobehandelingsplan gefinaliseer word wat enige 'oorblywende' privaatheidsbeskerming en PII-risiko's insluit.

ISO 27701 Klousule 6.11.1.2 (Sekuriteit in ontwikkeling en ondersteuningsprosesse) en EU GDPR Artikel 32 (1)(a)

Toepassingsekuriteitsprosedures moet saam met breër privaatheidsbeskermingsbeleide ontwikkel word, gewoonlik via 'n gestruktureerde risiko-evaluering wat verskeie veranderlikes in ag neem.

Toepassingsekuriteitsvereistes moet die volgende insluit:

• Die vlakke van vertroue wat inherent is binne alle netwerkentiteite (sien ISO 27002 Kontroles 5.17, 8.2 en 8.5).
• Die klassifikasie van data wat die toepassing opgestel is om te verwerk (insluitend PII).
• Enige segregasievereistes.
• Beskerming teen interne en eksterne aanvalle, en/of kwaadwillige gebruik.
• Enige heersende wetlike, kontraktuele of regulatoriese vereistes.
• Robuuste beskerming van vertroulike inligting.
• Data wat tydens vervoer beskerm moet word.
• Enige kriptografiese vereistes.
• Veilige invoer- en uitsetkontroles.
• Minimale gebruik van onbeperkte invoervelde – veral dié wat die potensiaal het om persoonlike data te stoor.
• Die hantering van foutboodskappe, insluitend duidelike kommunikasie van foutkodes.

Transaksionele dienste wat die vloei van privaatheiddata tussen die organisasie en 'n derdeparty-organisasie, of vennootorganisasie fasiliteer, moet:

1. Vestig 'n gepaste vlak van vertroue tussen organisatoriese identiteite.
2. Sluit meganismes in wat kontroleer vir vertroue tussen gevestigde identiteite (bv. hashing en digitale handtekeninge).
3. Skets robuuste prosedures wat bepaal wat werknemers in staat is om sleutel-transaksiedokumente te bestuur.
4. Bevat dokument- en transaksionele bestuursprosedures wat die vertroulikheid, integriteit, bewys van versending en ontvangs van sleuteldokumente en transaksies dek.
5. Sluit spesifieke leiding in oor hoe om transaksies vertroulik te hou.

Vir enige aansoeke wat elektroniese bestelling en/of betaling behels, moet organisasies:

• Skets streng vereistes vir die beskerming van betalings- en besteldata.
• Verifieer betalingsinligting voordat 'n bestelling geplaas word.
• Berg transaksionele en privaatheidverwante data veilig op 'n manier wat ontoeganklik is vir die publiek.
• Gebruik vertroude owerhede wanneer jy digitale handtekeninge implementeer, met privaatheidsbeskerming te alle tye in gedagte.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 Klousule 6.12.1.2 (Aanspreek sekuriteit binne Verskaffersooreenkomste) en EU GDPR Artikel 32 (1)(b)

Wanneer sekuriteit binne verskafferverhoudings aangespreek word, moet organisasies verseker dat beide partye bewus is van hul verpligtinge teenoor privaatheidsinligtingsekuriteit, en mekaar.

Sodoende moet organisasies:

• Bied 'n duidelike beskrywing wat die privaatheidsinligting wat toegang moet kry, en hoe toegang tot daardie inligting verkry gaan word, uiteensit.
• Klassifiseer die privaatheidsinligting waartoe toegang verkry moet word in ooreenstemming met 'n aanvaarde klassifikasieskema (sien ISO 27002 Kontroles 5.10, 5.12 en 5.13).
• Gee voldoende oorweging aan die verskaffer se eie klassifikasieskema.
• Kategoriseer regte in vier hoofareas – wetlik, statutêr, regulatories en kontraktueel – met 'n gedetailleerde beskrywing van verpligtinge per gebied.
• Verseker dat elke party verplig is om 'n reeks beheermaatreëls in te stel wat privaatheidsinligtingsekuriteitrisikovlakke monitor, assesseer en bestuur.
• Skets die behoefte aan verskafferspersoneel om aan 'n organisasie se inligtingsekuriteitstandaarde te voldoen (sien ISO 27002 Beheer 5.20).
• Fasiliteer 'n duidelike begrip van wat beide aanvaarbare en onaanvaarbare gebruik van privaatheidsinligting en fisiese en virtuele bates van enige party uitmaak.
• Stel magtigingskontroles in wat vereis word vir verskafferkantpersoneel om toegang tot 'n organisasie se privaatheidsinligting te verkry of dit te bekyk.
• Gee oorweging aan wat gebeur in die geval van 'n kontrakbreuk, of enige versuim om aan individuele bepalings te voldoen.
• Gee 'n uiteensetting van 'n Voorvalbestuurprosedure, insluitend hoe groot gebeurtenisse gekommunikeer word.
• Verseker dat personeel opleiding in sekuriteitsbewustheid ontvang.
• (As die verskaffer toegelaat word om subkontrakteurs te gebruik) voeg vereistes by om te verseker dat subkontrakteurs in lyn is met dieselfde stel privaatheidsinligtingsekuriteitstandaarde as die verskaffer.
• Oorweeg hoe verskafferspersoneel gekeur word voor interaksie met privaatheidsinligting.
• Bepaal die behoefte aan derdeparty-attesters wat die verskaffer se vermoë om te voldoen aan organisatoriese privaatheidinligtingsekuriteitvereistes aanspreek.
• Het die kontraktuele reg om 'n verskaffer se prosedures te oudit.
• Vereis dat verskaffers verslae lewer wat die doeltreffendheid van hul eie prosesse en prosedures uiteensit.
• Fokus daarop om stappe te neem om die tydige en deeglike oplossing van enige gebreke of konflikte te beïnvloed.
• Verseker dat verskaffers met 'n voldoende BUDR-beleid werk om die integriteit en beskikbaarheid van PII en privaatheidverwante bates te beskerm.
• Vereis 'n verskaffer-kant veranderingsbestuurbeleid wat die organisasie inlig oor enige veranderinge wat die potensiaal het om privaatheidbeskerming te beïnvloed.
• Implementeer fisiese sekuriteitskontroles wat eweredig is aan die sensitiwiteit van die data wat gestoor en verwerk word.
• (Waar data oorgedra moet word) vra verskaffers om te verseker dat data en bates teen verlies, skade of korrupsie beskerm word.
• Skets 'n lys van aksies wat deur enige party geneem moet word in die geval van beëindiging.
• Vra die verskaffer om te verduidelik hoe hulle van voorneme is om privaatheidinligting te vernietig na beëindiging, of van die data word nie meer benodig nie.
• Neem stappe om minimale besigheidsonderbreking tydens 'n oorhandigingstydperk te verseker.

Organisasies moet ook 'n register van ooreenkomste, wat alle ooreenkomste wat met ander organisasies gehou word, lys.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 Klousule 6.15.2.1 (Onafhanklike Oorsig van Inligtingsekuriteit) en EU GDPR Artikel 32

In hierdie afdeling praat ons oor GDPR Artikels 32 (1)(b), 32 (1)(d), 32 (2)

Organisasies moet prosesse ontwikkel wat voorsiening maak vir onafhanklike hersiening van hul privaatheidinligtingsekuriteitspraktyke, insluitend beide onderwerpspesifieke beleide en algemene beleide.

Resensies moet uitgevoer word deur:

• Interne ouditeure.
• Onafhanklike departementele bestuurders.
• Gespesialiseerde derdeparty-organisasies.

Resensies moet onafhanklik wees en uitgevoer word deur individue met voldoende kennis van privaatheidsbeskermingsriglyne en die organisasie se eie prosedures.

Beoordelaars moet vasstel of privaatheidinligtingsekuriteitspraktyke voldoen aan die organisasie se “gedokumenteerde doelwitte en vereistes”.

Sowel as gestruktureerde periodieke resensies, kan organisasies die behoefte ondervind om ad hoc-oorsigte te doen wat veroorsaak word deur sekere gebeurtenisse, insluitend:

• Na aanleiding van wysigings aan interne beleide, wette, riglyne en regulasies wat privaatheidsbeskerming beïnvloed.
• Na groot voorvalle wat 'n impak op privaatheidsbeskerming gehad het.
• Wanneer 'n nuwe besigheid geskep word, of groot veranderinge aan die huidige besigheid deurgevoer word.
• Na die aanvaarding van 'n nuwe produk of diens wat op enige manier met privaatheidsbeskerming handel.

ISO 27701 Klousule 6.15.2.3 (Tegniese Voldoeningsoorsig) en EU GDPR Artikels 32 (1)(d) en (32)(2)

Organisasies moet verseker dat personeel in staat is om privaatheidsbeleide oor die volle spektrum van sakebedrywighede te hersien.

Bestuur moet tegniese metodes ontwikkel om verslag te doen oor privaatheidsnakoming (insluitend outomatisering en pasgemaakte gereedskap). Verslae moet aangeteken, gestoor en ontleed word om PII-sekuriteit en privaatheidbeskermingspogings verder te verbeter.

Waar voldoeningskwessies ontdek word, moet organisasies:

• Stel die oorsaak vas.
• Besluit op 'n metode van regstellende aksie om gapings in te vul en te voldoen.
• Hersien die probleem na 'n gepaste tydperk om te verseker dat die probleem opgelos is.

Dit is uiters belangrik om so gou as moontlik regstellende maatreëls in te stel. As kwessies nie ten volle opgelos is teen die tyd van die volgende hersiening nie, moet ten minste bewyse verskaf word om te wys dat vordering gemaak word.

ISO 27701 Klousule 6.5.2.1 (Klassifikasie van Inligting) en EU GDPR Artikel (32)(2)

Eerder as om alle inligting op gelyke voet te plaas, moet organisasies inligting op 'n onderwerpspesifieke basis klassifiseer.

Inligtingseienaars moet vier sleutelfaktore oorweeg wanneer hulle data klassifiseer (veral met betrekking tot PII), wat periodiek hersien moet word, of wanneer sulke faktore verander:

1. Die vertroulikheid van die data.
2. Die integriteit van die data.
3. data beskikbaarheid vlakke.
4. Die organisasie se wetlike verpligtinge na PII.

Om 'n duidelike operasionele raamwerk te verskaf, moet inligtingkategorieë benoem word in ooreenstemming met die inherente risikovlak, sou enige voorvalle plaasvind wat enige van die bogenoemde faktore in gevaar stel.

Om kruisplatform-versoenbaarheid te verseker, moet organisasies hul inligtingkategorieë beskikbaar stel aan enige eksterne personeel met wie hulle inligting deel, en verseker dat die organisasie se eie klassifikasieskema wyd deur alle relevante partye verstaan ​​word.

Organisasies moet versigtig wees om data te onderklassifiseer of omgekeerd te oorklassifiseer. Eersgenoemde kan lei tot foute met die groepering van PII met minder sensitiewe datatipes, terwyl eersgenoemde dikwels lei tot ekstra koste, 'n groter kans op menslike foute en verwerkingsafwykings.

ISO 27701 Klousule 6.5.3.1 (Bestuur van verwyderbare media) en EU GDPR Artikel 32 (1)(a)

Wanneer organisasies beleid ontwikkel wat die hantering van mediabates wat betrokke is by die berging van PII reguleer, moet organisasies:

• Ontwikkel unieke onderwerpspesifieke beleide gebaseer op departementele of posgebaseerde vereistes.
• Verseker dat behoorlike magtiging gesoek en verleen word, voordat personeel in staat is om bergingsmedia van die netwerk te verwyder (insluitend die hou van 'n akkurate en op datum rekord van sulke aktiwiteite).
• Berg media in ooreenstemming met die vervaardiger se spesifikasies, vry van enige omgewingskade.
• Oorweeg dit om enkripsie te gebruik as 'n voorvereiste om toegang te verkry, of waar dit nie moontlik is nie, om bykomende fisiese sekuriteitsmaatreëls te implementeer.
• Verminder die risiko dat PII beskadig word deur inligting tussen bergingsmedia oor te dra, soos vereis word.
• Stel PII-oortolligheid bekend deur beskermde inligting op verskeie bates op dieselfde tyd te stoor.
• Magtig slegs die gebruik van bergingsmedia op goedgekeurde insette (dws SD-kaarte en USB-poorte), op 'n bate-vir-bate basis.
• Monitor die oordrag van PII na stoormedia noukeurig, vir enige doel.
• Neem die risiko's wat inherent is aan die fisiese oordrag van bergingsmedia (en by volmag, die PII daarop vervat) in ag wanneer bates tussen personeel of persele verskuif word (sien ISO 27002 Beheer 5.14).

Wanneer bergingsmedia herdoel, hergebruik of weggedoen word, moet robuuste prosedures in plek gestel word om te verseker dat PII nie op enige manier geraak word nie, insluitend:

• Formatering van die stoormedia, en verseker dat alle PII verwyder word voor hergebruik (sien ISO 27002 Beheer 8.10), insluitend die handhawing van voldoende dokumentasie van al sulke aktiwiteite.
• Veilig wegdoen van enige media waarvoor die organisasie geen verdere gebruik het nie, en gebruik is om PII te stoor.
• Indien wegdoening die betrokkenheid van 'n derdeparty vereis, moet organisasies groot sorg dra om te verseker dat hulle 'n geskikte en gepaste vennoot is om sulke pligte uit te voer, in lyn met die organisasie se verantwoordelikheid teenoor PII en privaatheidbeskerming.
• Implementering van prosedures wat identifiseer watter bergingsmedia beskikbaar is vir hergebruik, of dienooreenkomstig weggedoen kan word.

As toestelle wat gebruik is om PII te stoor beskadig raak, moet organisasies sorgvuldig oorweeg of dit meer gepas is om sulke media te vernietig of nie vir herstel te stuur (fout aan die kant van eersgenoemde).

ISO waarsku organisasies teen die gebruik van ongeënkripteerde bergingstoestelle vir 'n PII-verwante aktiwiteite.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.14

ISO 27701 Klousule 6.5.3.3 (Fisiese Media-oordrag) en EU GDPR Artikel 32 (1)(a)

Sien afdeling hierbo oor ISO 27701 Klousule 6.5.3.1

Ekstra inligting

As media ontslae geraak wil word van daardie PII wat voorheen gehou is, moet organisasies prosedures implementeer wat die vernietiging van PII en privaatheidverwante data dokumenteer, insluitend kategoriese versekering dat dit nie meer beskikbaar is nie.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.14

ISO 27701 Klousule 6.7.1.1 (Beleid oor die gebruik van kriptografiese kontroles) en EU GDPR Artikel 32 (1)(a)

Organisasies moet enkripsie gebruik om die vertroulikheid, egtheid en integriteit van PII en privaatheidverwante inligting, en om te voldoen aan hul verskillende kontraktuele, wetlike of regulatoriese verpligtinge.

Enkripsie is 'n verreikende konsep – daar is geen 'one size fits all'-benadering nie. Organisasies moet hul behoeftes assesseer en 'n kriptografiese oplossing kies wat aan hul unieke kommersiële en operasionele doelwitte voldoen.

Organisasies moet oorweeg:

• Ontwikkel 'n onderwerp-spesifiek benadering tot kriptografie, wat verskeie departementele, rolgebaseerde en operasionele vereistes in ag neem.
• Die toepaslike vlak van beskerming (saam met die tipe inligting wat geënkripteer moet word).
• Mobiele toestelle en bergingsmedia.
• Kriptografiese sleutelbestuur (berging, verwerking ens.).
• Gespesialiseerde rolle en verantwoordelikhede vir kriptografiese funksies, insluitend implementering en en sleutelbestuur (sien ISO 27002 Beheer 8.24).
• Die tegniese enkripsiestandaarde wat aangeneem moet word, insluitend algoritmes, syfersterkte, beste praktykriglyne.
• Hoe enkripsie saam met ander kubersekuriteitspogings sal werk, soos wanwarebeskerming en poortsekuriteit.
• Oorgrens- en oor-jurisdiksionele wette en riglyne (sien ISO 27002 Beheer 5.31).
• Kontrakte met derdeparty-kriptografievennote wat alle of gedeeltelike aanspreeklikheid, betroubaarheid en reaksietye dek.

Sleutelbestuur

Sleutelbestuursprosedures moet oor 7 hooffunksies versprei word:

1. Generasie.
2. Stoor.
3. Argiveer.
4. Herwinning.
5. Verspreiding.
6. Aftree.
7. Vernietiging.

Organisatoriese sleutelbestuurstelsels moet:

• Bestuur sleutelgenerering vir alle enkripsiemetodes.
• Implementeer publieke sleutelsertifikate.
• Maak seker dat alle relevante menslike en nie-menslike entiteite met die vereiste sleutels uitgereik word.
• Stoor sleutels.
• Wysig sleutels, soos vereis.
• Het prosedures in plek om potensieel gekompromitteerde sleutels te hanteer.
• Stel sleutels uit, of herroep toegang op 'n gebruiker-vir-gebruiker-basis.
• Herwin verlore sleutels of sleutels wat nie funksioneer nie, hetsy van rugsteun en sleutelargiewe.
• Vernietig sleutels wat nie meer nodig is nie.
• Bestuur die aktiverings- en deaktiveringslewensiklus, sodat sekere sleutels slegs beskikbaar is vir die tydperk wat dit benodig word.
• Verwerk amptelike versoeke vir toegang, van wetstoepassingsagentskappe of, in sekere omstandighede, regulerende agentskappe.
• Bevat toegangskontroles wat fisiese toegang tot sleutels en geënkripteerde inligting beskerm.
• Oorweeg die egtheid van publieke sleutels, voor implementering (sertifikaatowerhede en publieke sertifikate).

Ondersteun ISO 27002-kontroles

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 Klousule 6.9.3.1 (Inligtingrugsteun) en EU GDPR Artikel 32 (1)(c)

Organisasies moet onderwerpspesifieke beleide opstel wat direk aanspreek hoe die organisasie die relevante areas van sy netwerk rugsteun om PII te beskerm en veerkragtigheid teen privaatheidsverwante voorvalle te verbeter.

BUDR-prosedures moet opgestel word om die primêre doelwit te bereik om dit te verseker almal besigheidskritiese data, sagteware en stelsels kan volgende herwin word verlies van data, inbraak, besigheidsonderbreking en kritieke mislukkings.

As 'n prioriteit moet BUDR-planne:

• Skets herstelprosedures wat alle kritieke stelsels en dienste dek.
• In staat wees om werkbare kopieë te produseer van enige stelsels, data of toepassings wat deel is van 'n rugsteunwerk.
• Dien die kommersiële en operasionele vereistes van die organisasie (sien ISO 27002 Beheer 5.30).
• Berg rugsteun op 'n omgewingsbeskermde plek wat fisies apart van die brondata is (sien ISO 27002 Beheer 8.1).
• Toets en evalueer gereeld rugsteuntake teen die organisasies se opdrag vir hersteltye, om die beskikbaarheid van data te waarborg.
• Enkripteer alle PII-verwante rugsteundata.
• Kontroleer dubbel vir enige dataverlies voordat 'n rugsteuntaak uitgevoer word.
• Voldoen aan 'n verslagdoeningstelsel wat personeel waarsku oor die status van rugsteuntake.
• Probeer om data van wolkgebaseerde platforms wat nie direk deur die organisasie bestuur word nie, in interne rugsteuntake in te sluit.
• Berg rugsteun in ooreenstemming met 'n toepaslike PII-behoudbeleid (sien ISO 27002 Beheer 8.10).

Organisasies moet aparte prosedures ontwikkel wat uitsluitlik met PII handel (al is dit vervat in hul hoof-BUDR-plan).

Streeksafwykings in PII BUDR-standaarde (kontraktueel, wetlik en regulatories) moet in ag geneem word wanneer 'n nuwe werk geskep word, poste gewysig word of nuwe PII-data by die BUDR-roetine gevoeg word.

Wanneer die behoefte ontstaan ​​om PII te herstel na 'n BUDR-voorval, moet organisasies baie versigtig wees om die PII na sy oorspronklike toestand terug te bring, en herstelaktiwiteite te hersien om enige probleme met die nuwe data op te los.

Organisasies moet 'n log van herstelaktiwiteit hou, insluitend enige personeel wat by die herstel betrokke is, en 'n beskrywing van die PII wat herstel is.

Organisasies moet met enige wetgewende of regulatoriese agentskappe nagaan en verseker dat hul PII-herstelprosedures in ooreenstemming is met wat van hulle as 'n PII-verwerker en kontroleerder verwag word.

Ondersteun ISO 27002-kontroles

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 Klousule 7.2.1 (Identifiseer en Dokument Doel) en EU GDPR Artikel 32 (4)

Organisasies moet eers identifiseer en dan rekord die spesifieke redes vir die verwerking van die PII wat hulle gebruik.

PII-prinsipale moet ten volle vertroud wees met al die verskillende redes waarom hul PII verwerk word.

Dit is die verantwoordelikheid van die organisasie om hierdie redes aan PII-hoofde oor te dra, saam met 'n 'duidelike verklaring' oor hoekom hulle hul inligting moet verwerk.

Alle dokumentasie moet duidelik, omvattend en maklik verstaanbaar wees deur enige PII-prinsipaal wat dit lees – insluitend enigiets wat met toestemming verband hou, sowel as afskrifte van interne prosedures (sien ISO 27701 Klousules 7.2.3, 7.3.2 en 7.2.8).

Ondersteun ISO 27701-kontroles

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 Klousule 7.4.5 (PII de-identifikasie en uitvee aan die einde van verwerking) en EU GDPR Artikel 32 (1)(a)

Organisasies moet óf enige PII wat nie meer 'n doel vervul, heeltemal vernietig nie, óf dit verander op 'n manier wat enige vorm van hoofidentifikasie verhoed.

Sodra die organisasie vasstel dat PII nie te eniger tyd in die toekoms verwerk hoef te word nie, moet die inligting geskrap or de-geïdentifiseer, soos die omstandighede dit voorskryf.

ISO 27701 Klousule 8.2.2 (Organisatoriese doeleindes) en EU GDPR Artikel 32 (4)

Van die begin af moet PII slegs in ooreenstemming met die kliënt se instruksies verwerk word.

Kontrakte moet SLA's insluit wat verband hou met wedersydse doelwitte, en enige gepaardgaande tydskale waarbinne dit voltooi moet word.

Organisasies moet hul reg erken om die afsonderlike metodes te kies wat gebruik word om PII te verwerk, wat wettiglik bereik waarna die kliënt soek, maar sonder dat dit nodig is om gedetailleerde toestemmings te verkry oor hoe die organisasie te werk gaan op 'n tegniese vlak.

Ondersteun ISO 27701-klousules en ISO 27002-kontroles

Hoe ISMS.online help

Die ISMS.online platform het ingeboude leiding by elke stap gekombineer met ons 'Aanneem, pas aan, voeg by' implementeringsbenadering sodat die moeite wat nodig is om jou benadering tot GDPR te demonstreer, aansienlik verminder word. Jy SAL trek voordeel uit 'n reeks kragtige tydbesparende kenmerke.

ISMS.online maak dit ook maklik vir jou om reguit in jou pad na GDPR-voldoening te spring en om maklik vlak van beskerming te demonstreer wat verder gaan as 'redelik', alles op een veilige, altyd-aan plek.

Vind meer uit deur bespreek 'n kort 30 minute demo.