Die bereiking van regulatoriese voldoening aan ISO 27701

Die skep van 'n ISO 27701-gebaseerde PIMS om voldoening aan privaatheidsregulasies te bereik

Ons ISO 27701-oplossing is 'n vooraf-gekonfigureerde PIMS. Dit sal seker maak dat jou privaatheidswerk ooreenstem met en aan die behoeftes van elke afdeling van die standaard voldoen. En omdat dit regulering agnosties is, kan jy dit karteer op enige regulasie of regulasies wat jy nodig het.

Jou PIMS sal ISO 27701 volg en jou help om GDPR-voldoening te bereik deur:

Reageer op die groot prentjie

Jy sal die PIMS-ontwikkelingsproses begin deur die konteks waarin jou PIMS sal werk te verstaan. Jy sal definieer of jou organisasie 'n PII-beheerder is, PII-verwerker of albei. En jy sal maak seker jy is bewus van:

• Regsfaktore, soos privaatheidswetgewing, regulasies of geregtelike besluite
• Organisatoriese faktore, soos die konteks, bestuur, beleid en prosedures
• Praktiese faktore, soos enige administratiewe besluite en kontraktuele vereistes

Dan sal jy seker maak jy die behoeftes en verwagtinge van enigiemand met 'n belang te verstaan ​​en in ag te neem in hoe jy PII verwerk. Dit kan 'n lang lys wees, insluitend almal van u kliënte en verskaffers tot reguleerders en handelsliggame.

Sodra jy dit alles deurgewerk het, sal jy jou PIMS kan omvang. As jy jou bestaande ISMS uitbrei om ook PIMS-vereistes aan te spreek, sal jy dalk moet heroorweeg jou ISMS se omvang ook. En as jy albei op dieselfde tyd implementeer, sal jy seker maak dat hulle saamwerk.

Om jou leierskap aan boord te kry

Jou hele organisasie moet jou PIMS verstaan ​​en daaraan voldoen. Om dit te bereik, sal jy jou senior leierskap ten volle aan boord moet hê. ISO 27701 wys jou terug na ISO 27001 vir leiding. As jy reeds 'n ISO 27001 ISMS geskep het, sal dit 'n bekende proses wees.

• Jy sal seker moet maak dat jou topbestuur leierskap van en toewyding tot jou PIMS toon deur: Duidelike privaatheidsdoelwitte te stel, seker te maak dat jou PIMS dit bereik, hulpbronne toe te ken om dit te skep en in stand te hou, dit met breër organisatoriese prosesse te integreer en dit voortdurend te help verbeter

Hulle sal ook jou breër privaatheidsbeleide stel. Hulle moet:

• Ondersteun en dra by tot jou organisasie se breër strategie en doel, stel duidelike privaatheidsdoelwitte of beskryf hoe om dit te skep en sluit 'n verbintenis in om beide aan sy privaatheidsbehoeftes te voldoen en om jou PIMS voortdurend te verbeter

En natuurlik sal jy hulle moet dokumenteer, en seker maak dat enigiemand wat hulle moet verstaan ​​vinnig en maklik toegang daartoe kan kry.

Ten slotte sal jou topbestuurders die mense moet aanstel wat verantwoordelik sal wees vir en in beheer van jou PIMS. Hulle sal dit in lyn met die standaard hou en terug rapporteer oor die status, vordering en prestasies soos en wanneer nodig.

Word noukeurig beplan

Sodra jy die konteks waarin jy werk verstaan ​​het en senior bestuur heeltemal agter jou het, kan jy jou PIMS begin beplan. Ook hier stuur ISO 27701 jou terug na ISO 27001 vir leiding, maar dit voeg 'n paar privaatheidspesifieke verfynings van sy eie by.

U moet:

• Evalueer die risiko's jou PII-gesigte, stel duidelike beleide en kontroles uiteen vir die hantering van sommige of al daardie risiko's en regverdig hoekom jy gekies het om enige van hulle te ignoreer
• Dokumenteer jou beleid, kontroles en enige besluite daaroor in 'n maklike toegang, lees manier, en maak seker dat enige opdaterings akkuraat en tydig is

Weereens, as jy reeds 'n ISO 27001-gebaseerde ISMS dit sal 'n baie bekende proses wees. En as jy 'n PIMS en 'n ISMS saam ontwikkel, sal jy waarskynlik jou werkstrome kan saamsmelt.

Met al die ondersteuning wat dit nodig het

Ook hier is ISO 27001 en ISO 27701 baie nou verwant. ISO 27701 vra jou om ISO 27001 se ondersteuningsriglyne te volg.

• Jy moet seker maak jy het al die hulpbronne wat jy nodig het om jou PIMS op te stel, te implementeer, in stand te hou en voortdurend te ontwikkel beskikbaar wanneer jy dit nodig het
• Die mense wat aan jou PIMS werk, moet al die bevoegdhede wat hul rolle vereis – as hulle dit nie doen nie, moet jy opleiding of onderwys vir hulle instel
• Jy moet seker maak dat almal wat deur jou PIMS geraak word, verstaan ​​hoekom dit so belangrik is, wat dit beskerm en hoe om daaraan te voldoen
• Jy sal jou PIMS volledig moet dokumenteer (presies wat dit beteken hang af van jou organisasie se grootte en tipe), en beplan hoe jy jou dokumentasie sal opdateer

Ondergaan gereelde evaluering

'n Onondersoekte PIMS is nie die moeite werd om te hê nie. Jy sal duidelik moet wees hoe jy jou PIMS sal monitor, meet, analiseer en evalueer om seker te maak dit bereik alles wat dit behoort te bereik. Die standaard verwys jou na ISO 27001 vir leiding oor hoe om dit te doen.

Dit spesifiseer dat jy gereelde interne oudits en bestuursoorsig moet uitvoer. Beide moet met beplande tussenposes gebeur en streng gedokumenteerde prosesse volg. Jy sal ook 'n duidelike plan nodig hê om op te reageer nie-konformiteite en die neem van regstellende stappe.

Jy sal jou ISO 27701-gebaseerde PIMS en ISO 27001-gebaseerde ISMS op baie soortgelyke maniere evalueer. Soos altyd, as jy reeds 'n ISO 27001 ISMS het, sal jy die hele proses baie bekend vind.

Voortdurend ontwikkel en verbeter

Jy sal ISO 27001-gebaseerde prosesse volg om jou PIMS te ontwikkel en te verbeter. Dit beteken dat jy vinnig en doeltreffend sal reageer op enige nie-nakominge. En jy sal beide die nie-konformiteite self en die aksies wat jy geneem het om dit reg te stel, dokumenteer.

Jy sal ook probeer om jou PIMS voortdurend te verbeter. Dit is 'n baie belangrike punt om te onthou. 'n PIMS is nie 'n vuur-en-vergeet stel dokumente wat – sodra dit geskep is – êrens op 'n hardeskyf gelaat kan word nie.

Dit is 'n dinamiese beskermende stelsel wat sal ontwikkel met enige veranderinge aan jou organisasie en die omgewing waarin dit werk. Jy sal dus moet seker maak dat jy deurlopende stappe doen om die geskiktheid, toereikendheid en doeltreffendheid van jou PIMS te bevorder.