ISO 27701 – Klousule 5.2 – Konteks van die organisasie

Verstaan ​​ISO 27701 Klousule 5.2: Konteks van die organisasie

Privaatheidsbeskerming is 'n ingewikkelde wetgewende onderwerp wat nie-geregtelike en geregtelike leiding uit 'n wye verskeidenheid bronne insluit.

Gedurende sy hele reeks kontroles verwys ISO voortdurend na die unieke kommersiële, privaatheid-gebaseerde en logistieke behoeftes van enige organisasie wat met PII te doen het.

ISO 27701 5.2 dek wat in die breë beskryf kan word as 'n reeks karteringsoefeninge vir organisasies wat hul verpligtinge teenoor interne en eksterne werknemers wil verstaan, en hoe hulle met derdeparty-organisasies van 'n nakoming en PII-perspektief.

Wat word gedek in ISO 27701 Klousule 5.2

ISO 27701 5.2 bevat vier subklousules wat verband hou met privaatheidbeskerming en die verwerking/beheer van PII, wat elk ooreenstem met 'n gekoppelde klousule binne ISO 27001 (wat dien as die meesterleidingsdokument).

Daarbenewens bevat ISO 27701 ekstra riglyne vir organisasies wat 'n PIMS wil implementeer, met wenke oor hoe om beide die ISO 27701- en ISO 27001-riglyne op hierdie spesifieke onderwerp toe te pas.

Organisasies moet ISO 27701 sien en implementeer saam met die artikels vervat in die regering BBP riglyne. Waar van toepassing, het ons die relevante GDPR-artikels saam met hul aangrensende subklousules uitgelig.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.

ISO 27701 Klousule 5.2.1 – Verstaan ​​die organisasie en die konteks daarvan

Verwysings ISO 27001 Beheer 4.1

Organisasies moet 'n karteringsoefening ondergaan wat beide interne en eksterne faktore wat verband hou met die implementering van 'n PIBS lys.

Die organisasie moet in staat wees om te verstaan ​​hoe dit sy privaatheidsbeskermingsuitkomste gaan bereik, en enige kwessies wat in die pad staan ​​van die beveiliging van PII moet geïdentifiseer en aangespreek word.

Bykomende PIMS- en PII-leiding

Voordat hulle probeer om privaatheidbeskerming aan te spreek en 'n PII te implementeer, moet organisasies eers 'n begrip kry van hul verpligtinge as 'n enkelvoudige of gesamentlike PII-beheerder en/of verwerker.

Dit sluit in:

1. Hersiening van enige heersende privaatheidswette, regulasies of 'geregtelike besluite';
2. Met inagneming van die organisasie se unieke stel vereistes met betrekking tot die soort produkte en diens wat hulle verkoop, en maatskappyspesifieke bestuursdokumente, -beleide en -prosedures;
3. Enige administratiewe faktore, insluitend die daaglikse bestuur van die maatskappy;
4. Derdeparty-ooreenkomste of dienskontrakte wat die potensiaal het om 'n impak op PII en privaatheidbeskerming te hê.

Toepaslike GDPR-artikels

• Artikel 24 – Verantwoordelikheid van die kontroleerder
• Toepaslike afdeling – (3)
• Artikel 25 – Databeskerming deur ontwerp en verstek
• Toepaslike afdeling – (3)
• Artikel 28 – Verwerker
• Toepaslike afdelings – (5), (6), (10)
• Artikel 32 – Sekuriteit van verwerking
• Toepaslike afdeling – (2)
• Artikel 40 – Gedragskodes
• Toepaslike afdelings – (1), (2)(a), (2)(b), (2)(c), (2)(d), (2)(e), (2)(f), ( 2)(g), (2)(h), (2)(i), (2)(j), (2)(k), (3), (4), (5), (6), (7), (8), (9), (10), (11)
• Artikel 41 – Monitering van goedgekeurde gedragskodes
• Toepaslike afdelings – (1), (2)(a), (2)(b), (2)(c), (2)(d), (3), (4), (5), (6)
• Artikel 42 – Sertifisering
• Toepaslike afdelings – (1), (2), (3), (4), (5), (6), (7), (8)

ISO 27701 Klousule 5.2.2 – Verstaan ​​die behoeftes en verwagtinge van belanghebbende partye

Verwysings ISO 27001 Beheer 4.2

PII en privaatheidsbeskerming het die potensiaal om 'n groot aantal werknemers, gebruikers, kliënte, beide intern en ekstern te beïnvloed.

Organisasies moet 'n vaste begrip kry van die behoeftes van enige geaffekteerde personeel en wat ISO as 'belanghebbende partye' beskou.

Organisasie se behoefte om vas te stel en te dokumenteer:

• Enige 'belanghebbende partye' wat die breër onderwerp van privaatheidsbeskerming relevant is;
• Wat die unieke vereistes van genoemde individue binne die bestek van 'n PIBS is;

Organisasies moet ook enige wetlike, regulatoriese of kontraktuele verpligtinge in ag neem, naas praktiese en operasionele vereistes.

Bykomende PIMS- en PII-leiding

Wanneer 'n PIBS geïmplementeer word, moet organisasies 'n lys van belangstellende partye uitstippel wat óf deur 'n PIBS geraak word, óf 'n rol het om te speel in die verwerking van PII.

Wat PII betref, kan 'n belanghebbende party een van die volgende wees (maar nie beperk nie tot):

1. N werknemer;
2. N kliënt;
3. Regulerende, geregtelike of toesighoudende owerhede;
4. Ander PII-beheerders en verwerkers.

Dit is belangrik om daarop te let dat PII-vereistes – soos verwant aan 'n PIMS – dikwels uit 'n wye reeks bronne spruit, insluitend:

1. Interne prosesse en doelwitte;
2. Regerings- en/of regulerende liggame;
3. Kontraktuele verpligtinge met derdeparty-organisasies.

Dit kan dikwels moeilik wees vir regerende en regulatoriese organisasies om nakoming van gepubliseerde privaatheidsbeskermingstandaarde aan die kant van 'n organisasie te bevestig, in sy rol as 'n PII-verwerker en kontroleerder.

As sodanig moet organisasies van sulke liggame verwag om onafhanklike hersiening van enige relevante bestuurstelsel te vra om aan hul eie ouditvereistes te voldoen.

Toepaslike GDPR-artikels

• Artikel 31 – Samewerking met die toesighoudende owerheid
• Artikel 35 – Databeskermingsimpakbeoordeling
• Toepaslike afdeling – (9)
• Artikel 36 – Voorafgaande konsultasie
• Toepaslike afdelings – (1), (2), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)( f), (5)

ISO 27701 Klousule 5.2.3 – Bepaling van die omvang van die inligtingsekuriteitbestuurstelsel

Verwysings ISO 27001 Beheer 4.3

ISO beveel 'n deeglike omvang-oefening aan, sodat organisasies 'n PIMS kan produseer wat eerstens aan sy privaatheidsbeskermingsvereistes voldoen, en tweedens nie inkruip in areas van die besigheid wat nie aandag nodig het nie.

Organisasies moet vasstel en dokumenteer:

1. Enige eksterne of interne kwessies, soos uiteengesit in ISO 27001 4.1;
2. Derdeparty-vereistes soos uiteengesit in ISO 27001 4.2;
3. Hoe die organisasie interaksie het met beide homself en eksterne liggame (bv. klante raakpunte, IKT-koppelvlakke).

Bykomende PIMS- en PII-leiding

Alle omvangsoefeninge wat 'n PIMS-implementering uitbeeld, moet 'n deeglike assessering van PII-verwerking en bergingsaktiwiteite insluit.

Toepaslike GDPR-artikels

• Artikel 32 – Sekuriteit van verwerking
• Toepaslike afdeling – (2)

ISO 27701 Klousule 5.2.4 – Bestuurstelsel vir inligtingsekuriteit

Verwysings ISO 27001 Beheer 4.4

Organisasies moet poog om 'n PIMS te implementeer, te bestuur en te optimaliseer, in lyn met gepubliseerde ISO-standaarde.

Toepaslike GDPR-artikels

• Artikel 32 – Sekuriteit van verwerking
• Toepaslike afdeling – (2)

Ondersteunende kontroles vanaf ISO 27001 en GDPR

Hoe om ISO 27701-voldoening te bereik deur ISMS.online

Die ISMS.online platform bied 'n aanpasbare PIMS-fasiliteit wat met die klik van 'n knoppie teen beide ISO 27001 en ISO 27701 moniteer, rapporteer en oudits.

Ons oplossing beskik oor 'n dinamiese Rekords van Verwerkingsaktiwiteit-instrument wat die hoofpyn verwyder wat verband hou met datakartering, data-opname en ouditering, met 'n ingeboude risikobank wat praktiese bystand deur die assesserings- en bestuursproses bied.

ISO 27701 5.2 bevat 'n reeks riglyne oor derdeparty-privaatheidstandaarde en die verhouding tussen 'n PII-beheerder en 'n datasubjek, via 'n gemandateerde Data Subjects Rights Request (DRR). Ons DRR-bestuurstelsel bied 'n gesentraliseerde administrasie-hub wat handel oor alles van versoeke tot verslagdoening en ontleding.

Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27001- en 27701-sertifisering gebruik ISMS.online deur 'n demo te bespreek.