Beskerming van PII: Beste Praktyke vanaf ISO 27002 Beheer 5.34
Persoonlike inligting (PII) is enige stukkie inligting wat 'n individu se identiteit bevestig.
'n Persoon se PII kan hul:
- Adres
- Nasionale versekeringsnommer of sosiale sekerheidsnommer
- Bestuurs lisensie
- Finansiële inligting, insluitend bankrekeninge
- Mediese rekords
PII vorm 'n sleuteldeel van 'n organisasie se databestuurstrategie en hou 'n aantal unieke regulatoriese, wetgewende en kontraktuele risiko's in.
Beheer 5.34 handel met PII op drie verskillende maniere:
- Bewaring
- privaatheid
- Beskerming
Doel van beheer 5.34
Beheer 5.34 is a voorkomende beheer Wat risiko handhaaf deur riglyne en prosedures te skep wat voldoen aan 'n organisasie se wetlike, statutêre, regulatoriese en kontraktuele vereistes met betrekking tot die stoor, privaatheid en beskerming van PII in al sy vorme.
Eienskappe van beheer 5.34
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Identifiseer | #Inligtingbeskerming | #Beskerming |
| #Integriteit | #Beskerm | #Reg en nakoming | ||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Eienaarskap van beheer 5.34
Beheer 5.34 noem 'n organisasie se gedelegeerde Privaatheidsbeampte (of organisatoriese ekwivalent) uitdruklik as die persoon wat toesig moet hou oor die nakoming van PII.
Algemene riglyne oor beheer 5.34
Organisasies moet PII as 'n onderwerpspesifieke besigheidsfunksie hanteer, en beleid ontwikkel wat uniek is aan hul organisasie, en die kategorieë van PII wat die algemeenste in hul daaglikse bedryf is.
Eerstens moet die organisasie 'n reeks beleide opstel, ontwikkel en implementeer wat voorsiening maak vir die bewaring, privaatheid en beskerming van PII, en verseker dat dit gekommunikeer word aan en gebruik word deur alle werknemers wat PII verwerk - nie net diegene wat verplig is om dit as deel van hul werksrolle hanteer.
PII moet op 'n gestruktureerde, duidelike en bondige wyse bestuur word. Om dit te bereik, vra Control 5.34 organisasies om beleide op te stel wat individuele rolle en verantwoordelikhede in ag neem en datakontroles regdeur hul organisasie.
Die maklikste en doeltreffendste manier om dit te bereik, is om 'n bo-na-onder-benadering aan te neem wat 'n Privaatheidsbeampte bevat, wie se taak dit is om leiding te gee aan werknemers en derdeparty-organisasies oor die onderwerp van PII, en advies aan senior bestuur te gee oor hoe om aan die organisasie se verpligtinge te voldoen.
Benewens regulatoriese, wetgewende en kontraktuele riglyne, 'n organisasie moet ook tegniese en operasionele maatreëls implementeer wat handel oor die praktiese hantering van PII soos dit deur die besigheid gestoor word en deur die besigheid vloei.
Aanvullende leiding
PII-wetgewing verskil van land tot land, selfs binne gebiede wat afgewentelde administrasies of nie-federale regerings bevat.
Organisasies moet oudit hul PII-verwerkingsvereistes en oorweeg enige grensoverschrijdende implikasies wat voortspruit uit die versameling, verwerking of verspreiding van PII binne afsonderlike jurisdiksies.
Terwyl Die ISO 27002: 2022 bied geen bykomende leiding oor hoe om dit te bereik nie, 'n aantal ISO-dokumente gaan in meer besonderhede oor die saak, insluitend:
- ISO/IEC 29100 (beskerming van PII binne IKT-stelsels)
- ISO/IEC 27701 (privaatheidsinligtingbestuurstelsels)
- ISO/IEC 27018 (PII binne openbare wolkinfrastruktuur)
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Veranderinge en verskille vanaf ISO 27002:2013
27002:2022-5.34 vervang 27002:2013-18.1.4 (Privaatheid en beskerming van persoonlik identifiseerbare inligting).
27002:2022-5.34 is amper 'n koolstofkopie van sy 2013-voorganger, met twee noemenswaardige uitsonderings.
- 27002:2022-5.34 vra organisasies om 'n onderwerpspesifieke beleid te oorweeg wanneer PII-beleide en -prosedures geformuleer en geïmplementeer word.
- 27002:2022-5.34 plaas meer klem op die bewaring van PII (soos aangedui in die beheertitel), saam met standaard privaatheid en beskermingsriglyne.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
Ons wolkgebaseerde platform bied jou 'n robuuste raamwerk van inligtingsekuriteitkontroles sodat jy kan kontrolelys jou ISMS-proses soos jy gaan om te verseker dat dit aan die vereistes vir ISO 27k voldoen. Reg gebruik, ISMS. aanlyn kan jou help om sertifisering te behaal met die minimum tyd en hulpbronne.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
