Wat vereis beheer A.3.12?
Reaksies op inligtingsekuriteitsvoorvalle wat verband hou met PII-verwerking moet volgens die gedokumenteerde prosedures wees.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en werk hand aan hand met A.3.11 Voorvalbestuur, wat beplanning en voorbereiding dek. Waar A.3.11 Voorvalbestuur verseker dat jy 'n plan het, A.3.12 verseker dat jy dit volg wanneer 'n werklike voorval plaasvind.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.12) verskaf afsonderlike riglyne vir beheerders en verwerkers:
Vir PII-beheerders
- Oortredingsassessering — ’n PII-voorval moet ’n hersiening veroorsaak om te bepaal of ’n oortreding wat ’n formele reaksie vereis, plaasgevind het
- Vee kennisgewings uit — Kennisgewings aan toesighoudende owerhede en betrokke individue moet duidelik wees, 'n kontakpunt vir verdere inligting insluit, die aard en gevolge van die oortreding beskryf, en die maatreëls wat geneem of voorgestel is, uiteensit.
- Omvattende oortredingsrekord — Hou 'n rekord by wat die volgende bevat: beskrywing van die oortreding, tydperk, gevolge, wie dit aangemeld het, stappe wat geneem is om dit aan te spreek, en die persoonlike inligting wat gekompromitteer is.
Vir PII-verwerkers
- Kontrakgedrewe kennisgewing — Volg die kennisgewingbepalings wat in die kliënt (beheerder se) kontrak ooreengekom is
- Omvangbeperkings — Die kennisgewingsverpligting strek nie tot oortredings wat deur die kliënt (beheerder) self veroorsaak word nie
- Gedefinieerde reaksietye — Stem ooreen en dokumenteer reaksietydlimiete vir kennisgewing van oortredings aan die beheerder
Hoe pas dit by die GDPR?
Beheer A.3.12 karteer na BBP Artikels 33(1-5) wat die kennisgewing van persoonlike data-oortredings aan toesighoudende owerhede dek, en Artikels 34(1-2) wat die kommunikasie van oortredings aan data-onderwerpe dek. BBP vereis dat kennisgewings van oortredings die aard van die oortreding, kategorieë en benaderde aantal datasubjekte wat geraak word, die waarskynlike gevolge, en die maatreëls wat geneem is om die oortreding aan te spreek, insluit.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.13.1.5, wat die reaksie op inligtingsekuriteitsvoorvalle aangespreek het. Die 2025-uitgawe behou die kernvereistes as A.3.12 met duideliker skeiding van beheerder- en verwerkerverantwoordelikhede in die B.3.12-riglyne. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.12 beoordeel word, sal ouditeure tipies kyk na:
- Oortredingsregister — 'n Gehoue logboek van alle PII-voorvalle, insluitend dié wat geassesseer is en nie as 'n aanmeldbare oortreding bevind is nie
- Kennisgewingrekords — Kopieë van kennisgewings wat aan toesighoudende owerhede en betrokke individue gestuur is, met tydstempels wat voldoening aan vereiste sperdatums toon
- Assesseringsdokumentasie — Rekords wat toon hoe elke voorval vir erns beoordeel is en of dit die drempel vir kennisgewing bereik het
- Lesse geleer — Bewyse dat voorvalle na oplossing hersien word en dat verbeterings teruggevoer word na die voorvalbestuursproses
- Verwerkerkennisgewings — Waar van toepassing, rekords van kennisgewings van oortredings wat van verwerkers ontvang is of aan hulle gestuur is, met bewys dat kontraktuele tydlyne nagekom is.
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.11 Voorvalbeplanning | Stel die gedokumenteerde prosedures vas wat A.3.12 vereis dat u moet volg |
| A.3.14 Beskerming van rekords | Oortredingsrekords moet beskerm word teen verlies, vernietiging of ongemagtigde toegang |
| A.3.13 Wetlike en kontraktuele vereistes | Kennisgewingsverpligtinge word gedryf deur toepaslike wetlike vereistes |
| A.3.10 Verskafferooreenkomste | Tydlyne vir kennisgewing van oortredings van verwerker moet in verskafferooreenkomste gedefinieer word |
| A.3.15 Onafhanklike hersiening | Oorsigte moet bepaal of voorvalreaksieprosedures effektief is |
Op wie is hierdie beheer van toepassing?
A.3.12 is 'n gedeelde beheer Dit geld vir beide PII-beheerders en PII-verwerkers, hoewel met verskillende verantwoordelikhede. Beheerders is verantwoordelik vir die beoordeling van die erns van oortredings, die kennisgewing van toesighoudende owerhede en die kommunikasie met geaffekteerde datasubjekte. Verwerkers moet hul beheerders stiptelik en binne ooreengekome tydlyne in kennis stel, maar is tipies nie verantwoordelik om toesighoudende owerhede of datasubjekte direk in kennis te stel nie, hoewel sommige jurisdiksies van verwerkers mag vereis om regulerende owerhede van PII-oortredings in kennis te stel.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir PII-insidentrespons?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van PII-oortredings van opsporing tot oplossing:
- Begeleide voorvalwerkvloeie — Stap-vir-stap reaksiewerkvloei wat verseker dat niks gemis word nie, van aanvanklike triage tot assessering, kennisgewing en afsluiting
- Oortredingsregister — 'n Omvattende logboek wat aan die standaard se rekordhoudingvereistes voldoen, insluitend die beskrywing van die oortreding, tydlyn, gevolge, PII wat geraak word en remediërende stappe.
- Spooring van kennisgewingsperdatums — Outomatiese aftel-timers teen regulatoriese sperdatums soos GDPR se 72-uur-venster, met eskalasie-waarskuwings
- Bewyse versameling — Heg ondersteunende dokumente, skermkiekies en kommunikasie aan elke voorvalrekord vir 'n volledige ouditspoor
- Na-voorval hersiening — Neem lesse wat geleer is vas en koppel korrektiewe aksies aan jou risikoregister en verbeteringsplan
- Beheerder-verwerker koördinering — Gestruktureerde kennisgewingswerkvloei tussen beheerders en verwerkers met tydstempelopsporing
Vrae & Antwoorde
Wat is die verskil tussen 'n PII-voorval en 'n PII-oortreding?
'n PII-insident is enige gebeurtenis wat die sekuriteit van persoonlike data kan beïnvloed. 'n PII-oortreding is 'n bevestigde voorval waar PII gekompromitteer is deur ongemagtigde toegang, openbaarmaking, verandering, verlies of vernietiging. Nie elke voorval lei tot 'n oortreding nie. Die assesseringstap in A.3.12 is spesifiek ontwerp om te bepaal of 'n voorval die drumpel van 'n aanmeldbare oortreding oorskry het.
Wat moet 'n kennisgewing van 'n oortreding insluit?
Volgens die implementeringsriglyne en GDPR Artikel 33(3), moet 'n kennisgewing van 'n oortreding die volgende insluit: 'n beskrywing van die aard van die oortreding, 'n aangewese kontakpunt vir verdere inligting, 'n beskrywing van die waarskynlike gevolge, en 'n beskrywing van die maatreëls wat geneem of voorgestel is om die oortreding aan te spreek. Inligting kan in fases verskaf word indien dit nie alles beskikbaar is ten tyde van die aanvanklike kennisgewing nie.
Moet 'n verwerker datasubjekte direk in kennis stel?
Nee. Die verwerker se verpligting is om die beheerder sonder onnodige vertraging in kennis te stel. Die beheerder beoordeel dan die oortreding en bepaal of kennisgewing aan toesighoudende owerhede en datasubjekte vereis word. Die verwerker moet egter die oortreding en die kennisgewing wat aan die beheerder gestuur is, dokumenteer, en moet ooreengekome reaksietydsbeperkings in die verwerkingskontrak hê.
Verstaan die volle koste-implikasies van privaatheidsvoorvalle in ons koste van nie-nakoming teenoor sertifisering analise.
sien ons gids vir vereistes vir ouditbewyse vir die voorvaldokumentasie wat ouditeure verwag.
