Wat vereis beheer A.3.17?
Personeel van die organisasie en relevante belanghebbende partye moet toepaslike inligtingsekuriteitsbewustheidsopvoeding en -opleiding ontvang, asook gereelde opdaterings van die organisasie se inligtingsekuriteitsbeleid, onderwerpspesifieke beleide en prosedures, soos relevant vir hul werkfunksie, soos dit verband hou met PII-verwerking.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en erken dat selfs die beste tegniese beheermaatreëls faal as die mense wat dit gebruik nie hul verantwoordelikhede verstaan nie. Opleiding moet op elke persoon se rol afgestem word en gereeld opgedateer word, nie as 'n eenmalige oefening aangebied word nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.17) verskaf die volgende riglyne:
- Bewustheid van voorvalrapportering — Verhoog bewustheid oor hoe om potensiële PII-voorvalle te herken en aan te meld, en verseker dat alle personeel die rapporteringskanale en die belangrikheid van tydige eskalasie verstaan
- Gevolge van oortredings — Verseker dat personeel bewus is van die gevolge van die oortreding van privaatheids- en sekuriteitsreëls, wat drie dimensies dek:
- Vir die organisasie — Regssanksies, verlies aan besigheid, reputasieskade
- Vir die personeellid — Dissiplinêre gevolge, insluitend moontlike ontslag
- Vir die PII-hoof — Fisiese, materiële en emosionele skade wat individue kan ly
- Sien ook A.3.19: Duidelike lessenaar en duidelike skerm vir verwante vereistes
- Periodieke opleiding vir PII-toegang — Sluit gepaste periodieke opleiding in spesifiek vir personeel wat toegang tot persoonlike inligting het, wat verder gaan as algemene sekuriteitsbewustheid
Die riglyne beklemtoon dat bewustheid op sigself nie genoeg is nie. Personeel moet die werklike gevolge van die verkeerde hantering van persoonlike inligting verstaan – nie net abstrakte beleidsverklarings nie, maar die tasbare impak op individue wie se data in gevaar gestel word.
Hoe pas dit by die GDPR?
Beheer A.3.17 karteer na BBP Artikel 39(1)(b) (verwante bepaling, nie formeel gekarteer in Aanhangsel D nie), wat die Databeskermingsbeampte die taak opdra om nakoming te monitor, insluitend die toewysing van verantwoordelikhede, bewustmaking en opleiding van personeel betrokke by verwerkingsbedrywighede. Alhoewel nie alle organisasies 'n DPO het nie, die BBP maak dit duidelik dat opleiding 'n kernnakomingsaktiwiteit is.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.4.2.2 (inligtingsekuriteitsbewustheid, -opvoeding en -opleiding). Die 2025-uitgawe behou die kernvereistes as A.3.17, met 'n duideliker skeiding tussen die beheerverklaring en die implementeringsriglyne in B.3.17. Die driedimensionele benadering tot gevolgbewustheid (organisasie, personeellid, PII-prinsipaal) bly 'n onderskeidende kenmerk van die riglyne. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.17 beoordeel word, sal ouditeure tipies kyk na:
- Opleidingsprogram — ’n Gedokumenteerde program wat privaatheids- en sekuriteitsbewustheid dek, met inhoud wat op verskillende rolle en vlakke van PII-toegang afgestem is
- Voltooiingsrekords — Bewyse dat alle relevante personeel die vereiste opleiding voltooi het, met datums, punte (indien van toepassing) en rekords van enige heropleiding
- Gereelde opdaterings — Bewyse dat opleidingsinhoud opgedateer word wanneer beleide verander en dat personeel in kennis gestel word van beleidsopdaterings
- Rolspesifieke opleiding — Bykomende opleiding vir personeel met verhoogde PII-toegang of gespesialiseerde verwerkingsrolle, bo en behalwe algemene bewustheid
- Doeltreffendheidsmeting — Bewyse dat die opleidingsprogram vir doeltreffendheid geëvalueer word, soos deur middel van kennisassesserings, phishing-simulasies of voorvaltendensanalise.
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.11 Beplanning van voorvalbestuur | Opleiding moet dek hoe om PII-voorvalle te herken en aan te meld |
| A.3.18 Vertroulikheidsooreenkomste | Opleiding versterk die vertroulikheidsverpligtinge wat personeel onderteken het |
| A.3.9 Toegangsregte | Personeel met PII-toegang benodig gerigte opleiding oor hul toegangsverantwoordelikhede. |
| A.3.16 Nakoming van beleide | Bevindinge van nakomingsevaluering kan opleidingsgapings openbaar wat aangespreek moet word |
| A.3.12 Reaksie op voorvalle | Opleiding in reaksie op voorvalle verseker dat personeel hul rol ken wanneer 'n oortreding plaasvind |
Op wie is hierdie beheer van toepassing?
A.3.17 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Alle personeel wat PII verwerk of wat die sekuriteit van PII kan beïnvloed, benodig toepaslike opleiding. Dit sluit nie net permanente werknemers in nie, maar ook kontrakteurs, tydelike personeel en relevante belanghebbende partye wat met persoonlike data of die stelsels wat dit verwerk, omgaan.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir privaatheidsbewustheidsopleiding?
ISMS.aanlyn bied praktiese gereedskap vir die bou en instandhouding van 'n privaatheidsbewuste werksmag:
- Bestuur van opleidingsmodules — Skep, ken toe en volg die voltooiing van opleidingsmodules wat aangepas is vir verskillende rolle en vlakke van PII-toegang
- Outomatiese skedulering — Stel opleidingsfrekwensies volgens rol, met outomatiese herinneringe vir aanvanklike voltooiing en periodieke opknappingskursusse
- Beleidserkenningsopsporing — Verseker dat alle personeel opgedateerde privaatheidsbeleide lees en erken, met voltooiingsdashboards en eskalasie vir nie-reageerders
- Voltooiingsverslagdoening — Genereer ouditgereed verslae wat wys wie opleiding voltooi het, wanneer, en enige uitstaande vereistes
- Integrasie met voorvalbestuur — Koppel opleidingsrekords aan voorvaldata, sodat u kan identifiseer of opleidingsgapings tot PII-voorvalle bygedra het
- Nuwe beginner aanboord — Ken outomaties privaatheidsopleiding aan nuwe personeel toe as deel van die aanboordwerkvloei
Vrae & Antwoorde
Hoe gereeld moet opleiding oor privaatheidsbewustheid opgedateer word?
Die standaard vereis gereelde opdaterings, maar skryf nie 'n spesifieke frekwensie voor nie. Die meeste organisasies bied jaarlikse opknappingsopleiding vir alle personeel aan, met bykomende opleiding wanneer beduidende beleidsveranderinge plaasvind. Personeel in hoërisiko-rolle wat sensitiewe persoonlike inligting hanteer, benodig moontlik meer gereelde opleiding. Die sleutel is om te demonstreer dat opleiding deurlopend is en reageer op veranderinge, nie 'n eenmalige gebeurtenis nie.
Moet opleiding die gevolge vir PII-hoofde dek?
Ja. Die implementeringsriglyne vereis spesifiek dat personeel die gevolge van privaatheidskendings oor drie dimensies verstaan: vir die organisasie, vir hulself en vir die PII-prinsipaal. Deur werklike voorbeelde van skade aan individue in te sluit – soos identiteitsdiefstal, finansiële verlies of emosionele nood – help dit personeel om te verstaan waarom privaatheidsbeheer verder as abstrakte voldoeningsvereistes saak maak.
Geld dit vir kontrakteurs en tydelike personeel?
Ja. Die beheer is van toepassing op personeel van die organisasie en relevante belanghebbende partye. Dit sluit in kontrakteurs, tydelike werkers, konsultante en enige ander individue wat toegang tot PII of stelsels wat PII verwerk, verkry. Opleiding moet aangebied word voordat hulle PII begin verwerk en moet gepas wees vir hul rol en die duur van hul aanstelling.
Sluit opleidingsvereistes in jou Verklaring van toepaslikheid en koppel dit aan spesifieke beheerverpligtinge.
Onvoldoende opleiding is een van die mees algemene implementeringsfoute — vermy dit deur van die begin af bewustheid in jou PIMS in te sluit.
