Dit lyk dalk voor die hand liggend om inligtingsekuriteit saam met dataprivaatheid te oorweeg, maar wat presies bepaal die nuwe, komende, Algemene Databeskermingsregulasie (GDPR)?
Eintlik bevat die GDPR nie spesifieke sekuriteitsvereistes nie. Ingevolge artikel 32, getiteld "Sekuriteit”, net 135 woorde beskryf hulle:
“Met inagneming van die stand van die kuns, die koste van implementering en die aard, omvang, konteks en doeleindes van verwerking sowel as die risiko van wisselende waarskynlikheid en erns vir die regte en vryhede van natuurlike persone, sal die kontroleerder en die verwerker toepaslik implementeer tegniese en organisatoriese maatreëls om 'n toepaslike vlak van sekuriteit te verseker tot die risiko, insluitend onder andere soos toepaslik:
(a) die pseudonimisering en enkripsie van persoonlike data;
(b) die vermoë om die deurlopende vertroulikheid, integriteit, beskikbaarheid en veerkragtigheid van verwerkingstelsels en -dienste te verseker;
(c) die vermoë om die beskikbaarheid en toegang tot persoonlike data betyds in die geval van 'n fisiese of tegniese voorval;
(d) 'n proses vir gereelde toetsing, assessering en evaluering van die doeltreffendheid van tegniese en organisatoriese maatreëls vir die versekering van die sekuriteit van die verwerking.”
Die woord 'gepas' word 3 keer hier genoem. Alhoewel dit 'n sekere mate van buigsaamheid gee in die opstel van die organisasie s'n sekuriteitskontroles, hou dit ook die risiko in dat 'n reguleerder se siening van joune kan verskil wanneer dit kom by die veiligheidsmaatreëls wat jy ingestel het.
Dit beteken dat jy gereed moet wees om demonstreer en verdedig jou benadering en die operasionele doeltreffendheid van die sekuriteitskontroles wat in plek is.
Chris Zoladz*, stigter van inligting- en privaatheidsadviseurs, Navigate LLC, en voormalige voorsitter van die International Association of Privacy Professionals (IAPP) bied ...
ISMS.online sal jou tyd en geld spaar vir ISO 27001-sertifisering en dit maklik maak om te onderhou.
Bestuurder van inligtingsekuriteit, Kamperfoelie Gesondheid
Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
1. Gebruik 'n erkende sekuriteitsraamwerk — As jou organisasie nie reeds 'n sekuriteitsraamwerk soos ISO 27001/2 gebruik nie om jou sekuriteitsprogram te lei, kies 'n raamwerk, of kombinasie van bekende raamwerke wat die komponente van die algehele sekuriteitsprogram sal inlig.
2. Bestuur sekuriteitrisiko — Nie alle sekuriteitsrisiko's is gelyk nie en nie alle risiko kan of behoort uitgeskakel te word nie. Dit is eenvoudig nie realisties, koste-effektief of nodig nie. Gelukkig het die BBP erken daardie werklikheid. Jy moet egter steeds evalueer sekuriteitsrisiko's en redelike stappe te neem om beduidende risiko's te versag, vergoedingskontroles te implementeer of te regverdig waarom 'n onverminderde risiko aanvaar sal word. Elke organisasie moet 'n risikoraamwerk gebruik en 'n proses hê om risiko te evalueer en te bestuur. As jou organisasie nie tans 'n formele proses het om te identifiseer nie, dokumenteer en sekuriteit bestuur risiko's, gebruik ISO 27001, NIST of 'n ander raamwerk om verbeterings aan te bring. Dit beteken nie dat jou organisasie se behoeftes om elke element in enige spesifieke raamwerk te implementeer, maar in plaas daarvan sal dit dien as 'n beginpunt of verwysing om te help verseker dat die nodige elemente van risikobestuur aangespreek word.
3. Dokumentasie is jou vriend — Wanneer daar 'n kwessie is wat 'n ondersoek of oudit tot gevolg het, sal die sukses van die organisasie se verdediging direk verband hou met die sterkte van die "wys en vertel" wat aan die reguleerder of ouditeur voorgelê word. Dokumentasie is die "wys"-stuk van die verdediging wat gebruik kan word om te demonstreer dat sekuriteitskontroles in plek is (bv. 'n lys van alle werknemers wat die sekuriteitsopleiding voltooi) en doeltreffend werk (bv. toegangsbeheer logs wys dat 'n ongemagtigde toegangspoging tot 'n stelsel met persoonlike data geïdentifiseer en ondersoek is). Handhaaf 'n redelike vlak van dokumentasie om die sekuriteitskontroles in plek te demonstreer en te verdedig.
4. Deurlopend "lees en reageer" — Tegnologie, besigheidsvereistes en wetlike vereistes sal voortdurend oor tyd verander. Gevolglik sal nuwe risiko's na vore kom, en nuwe of ander sekuriteitskontroles sal nodig wees. Dit sal 'n eindelose siklus wees en vereis dat die organisasie sy voortdurend aanpas en verfyn sekuriteitsposisie om te reageer op nuwe risiko's. Sekuriteit, soos privaatheid, is 'n deurlopende proses, nie 'n eenmalige projek nie.
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Standaarde soos ISO 27001:2013 moedig voortdurende aan verbetering. Deur eksterne ouditering, met onafhanklike sertifisering, sal jy jou kliënte die vertroue gee wat hulle nodig het om te sien dat jy die ISMS handhaaf en aan die vereiste vir gereelde hersiening en deurlopende bestuur voldoen.
Met kliënte wat waarskynlik ook verskillende sienings sal hê oor watter sekuriteitskontroles toepaslik is, sal die implementering van een goed erkende standaard help om te voorkom dat hulle in verskillende rigtings getrek word.
ISMS.online maak dit maklik om jou data privaatheid te beskryf, te demonstreer en te verdedig en inligtingsekuriteitspraktyke en kontroles.
Gebruik ons voorafgeboude GDPR en ISO 27001 raamwerke, ISO 27001-beleide en -kontroles Saam met instrumente vir risikobestuur en gereedskap vir die bestuur van ander werkprosesse vereis deur die GDPR.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering