Wat vereis beheer A.3.3?
Inligtingsekuriteitsbeleide met betrekking tot PII-verwerking moet gedefinieer, goedgekeur word deur bestuur, gepubliseer word, gekommunikeer word aan en erken word deur relevante personeel en relevante belanghebbende partye, en hersien word met beplande tussenposes en indien beduidende veranderinge plaasvind.
Dit is die eerste beheermaatreël in die gedeelde sekuriteitskontroles (Tabel A.3), wat van toepassing is op organisasies wat as PII-beheerders, PII-verwerkers of albei optree. Dit brei die ISO 27001-vereiste vir inligtingsekuriteitsbeleide uit om privaatheid en PII-beskerming eksplisiet te dek.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.3.3) verskaf die volgende riglyne:
- Ontwikkel aparte privaatheidsbeleide of bestaande inligtingsekuriteitsbeleide aanvul om PII-verwerkingsvereistes aan te spreek
- Sluit 'n verbintenis tot voldoening met toepaslike PII-beskermingswetgewing en kontraktuele bepalings
- Oorweeg wetlike vereistes tydens beleidsontwikkeling, goedkeuring en deurlopende instandhouding
- Beleide moet gepas wees vir die aard, omvang en konteks van PII-verwerkingsaktiwiteite
- Hersien beleide met beplande tussenposes en wanneer beduidende veranderinge plaasvind, soos nuwe wetgewing, nuwe verwerkingsaktiwiteite of organisatoriese herstrukturering
- Sien ook A.3.13: Wetlike en Regulatoriese Vereistes vir verwante vereistes
- Sien ook A.3.15: Onafhanklike Hersiening van Inligtingsekuriteit vir verwante vereistes
Die riglyne gee organisasies buigsaamheid in hoe hulle hul beleide struktureer. 'n Enkele geïntegreerde beleid wat beide inligtingsekuriteit en privaatheid dek, is aanvaarbaar, asook 'n reeks afsonderlike maar gekoppelde dokumente. Wat belangrik is, is dat PII-verwerking eksplisiet aangespreek word en dat die beleide aantoonbaar gekommunikeer en erken word.
Hoe pas dit by die GDPR?
Beheer A.3.3 karteer na BBP Artikel 5(1)(f) (integriteits- en vertroulikheidsbeginsel) en Artikel 32(2) (vereiste om toepaslike tegniese en organisatoriese maatreëls te implementeer). Die BBP skryf nie die presiese vorm van sekuriteitsbeleide voor nie, maar verwag dat organisasies gedokumenteerde maatreëls in plek sal hê wat in verhouding tot die risiko is.
Hierdie GDPR-artikels word gekarteer oor die breër B.3.5–B.3.16-groep van gedeelde kontroles, wat weerspieël dat beleid die fondament is waaruit alle ander sekuriteitsmaatreëls vloei.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
As 'n gedeelde sekuriteitsbeheer ondersteun A.3.3 die breër raamwerk van ISO 29100 beginsels. Goed gedefinieerde inligtingsekuriteitsbeleide wat PII-verwerking aanspreek, bied die grondslag vir die implementering van beginsels soos inligtingsekuriteit, aanspreeklikheid en nakoming.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.3 beoordeel word, sal ouditeure tipies kyk na:
- Goedgekeurde beleidsdokumente — Inligtingsekuriteitsbeleide wat eksplisiet PII-verwerking aanspreek, met bewys van bestuursgoedkeuring (handtekeninge, direksienotules, goedkeuringsrekords)
- Kommunikasie rekords — Bewyse dat beleide gepubliseer en aan alle relevante personeel en belanghebbende partye gekommunikeer is
- Erkenningsrekords — Getekende of elektroniese erkennings van personeel wat bevestig dat hulle die beleide gelees en verstaan het
- Hersien rekords — Bewyse van beplande hersienings met datums, hersieners en enige veranderinge wat aangebring is
- Verbintenis tot nakoming van wetlike vereistes — 'n Eksplisiete verklaring in die beleid wat verbind tot voldoening aan toepaslike PII-beskermingswetgewing en kontraktuele bepalings
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.4 Inligtingsekuriteitsrolle en -verantwoordelikhede | Beleide definieer verwagtinge; rolle en verantwoordelikhede verseker dat iemand verantwoordelik is vir die implementering daarvan. |
| A.3.5 Klassifikasie van inligting | Klassifikasiebeleide moet eksplisiet PII aanspreek soos vereis deur A.3.3 |
| A.3.6 Etikettering van inligting | Etiketteringsprosedures implementeer die beleidsvereistes vir die identifisering van persoonlike inligting (PII) |
| A.3.7 Inligtingsoordrag | Oordragreëls moet gegrond wees in die oorkoepelende sekuriteitsbeleid |
| A.1.2.9 Rekords van Verwerking van PII | Beleide bepaal die bestuursraamwerk waarbinne verwerkingsrekords gehou word |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste verdeel oor Klousules 6.2.1.1 en 6.2.1.2. Klousule 6.2.1.1 het die algemene vereiste gedek dat inligtingsekuriteitsbeleide PII-verwerking moet oorweeg, terwyl 6.2.1.2 die bestuursverbintenis-aspek aangespreek het. Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.3) met verenigde implementeringsriglyne in B.3.3. Die inhoud is dieselfde, maar die struktuur is skoner. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir die bestuur van inligtingsekuriteitsbeleide?
ISMS.aanlyn gee jou alles wat jy nodig het om voldoenende beleide te skep, te kommunikeer en te handhaaf:
- Voorafgeboude beleidsjablone — Begin met sjablone wat in lyn is met ISO 27001 en ISO 27701, en pas hulle dan aan vir jou organisasie se PII-verwerkingsaktiwiteite.
- Weergawe beheer — Volg elke verandering aan elke beleid met volledige weergawegeskiedenis, sodat jy altyd weet wat van krag was en wanneer
- Erkenningsopsporing — Ken beleide toe aan personeel en hou dop wie dit gelees en erken het, met outomatiese herinneringe vir uitstaande erkennings.
- Geskeduleerde resensies — Stel hersieningsdatums vir elke polis vas en ontvang waarskuwings wanneer hersienings verskuldig is, om te verseker dat polisse nooit verouderd raak nie
- Gekoppelde bewyse — Verbind beleide met die beheermaatreëls wat hulle ondersteun, en skep 'n duidelike ouditroete van beleid tot implementering
Vrae & Antwoorde
Moet ons 'n aparte privaatheidsbeleid skep of bestaande sekuriteitsbeleide opdateer?
Die standaard laat beide benaderings toe. 'n Afsonderlike privaatheidsbeleid werk goed vir organisasies met komplekse PII-verwerking, aangesien dit privaatheidspesifieke onderwerpe in detail kan aanspreek. Die aanvulling van bestaande beleide is meer prakties vir kleiner organisasies of dié met eenvoudiger verwerkingsaktiwiteite. Die belangrikste vereiste is dat PII-verwerking eksplisiet en voldoende aangespreek word, watter benadering jy ook al kies.
Wie moet die beleide erken?
Alle relevante personeel en relevante belanghebbende partye. “Relevante personeel” sluit enigiemand in wat PII verwerk of toegang het tot stelsels wat PII verwerk. “Relevante belanghebbende partye” kan kontrakteurs, tydelike personeel, derdeparty-verwerkers of selfs kliënte insluit waar kontraktuele verpligtinge bewustheid van die organisasie se sekuriteitsbeleide vereis. Die omvang moet gedefinieer word op grond van die organisasie se konteks.
Hoe gereeld moet beleide hersien word?
Met beplande tussenposes (gewoonlik jaarliks) en wanneer beduidende veranderinge plaasvind. Beduidende veranderinge sluit in nuwe PII-verwerkingsaktiwiteite, veranderinge aan toepaslike wetgewing, organisatoriese herstrukturering, sekuriteitsvoorvalle wat beleidsgapings openbaar, of veranderinge aan die tegnologie-omgewing. 'n Vaste jaarlikse hersiening gekombineer met 'n sneller-gebaseerde hersieningsproses is die mees algemene benadering.
KISO's verantwoordelik vir privaatheidsbeleidbestuur moet ons CISO-gids tot ISO 27701:2025.
jou Verklaring van toepaslikheid moet verwys na die beleide wat elke gekose kontrole ondersteun.
