Dit is noodsaaklik dat, voor die implementering van 'n PIBS, organisasies 'n duidelike beeld kry van wat hul spesifieke privaatheidbeskerming/PII-doelwitte is, op alle vlakke van hul inligtingsekuriteitswerking.
Risiko-evaluering behoort 'n sleutelelement van alle organisasiewye privaatheidsbeskermingsprotokolle te wees, insluitend 'n begrip van hoe om risiko's te assesseer en te ontleed, en 'risikobehandeling' - die proses om risiko te wysig deur 'n reeks tegniese maatreëls.
ISO 27701 5.4 handel oor die stappe wat organisasies moet neem wanneer hulle 'n PIMS- of privaatheidsbeskermingsbeleid beplan.
ISO 27701 5.4 is gebaseer op leiding van ISO 27001 6.1 (Optrede om risiko's en geleenthede aan te spreek), en bevat verdere leiding oor vier hoofsubklousules:
Twee subklousules (5.4.1.2 en 5.4.1.3) bevat albei leiding wat direk verband hou met Artikel 32 van BBP, meer spesifiek, artikels (1)(b), (2).
Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.
In algemene terme moet organisasies 'n risiko-spesifieke benadering volg om 'n PIBS te beplan wat:
Wanneer 'n plan opgestel word, moet organisasies:
Die leiding vervat in ISO 27701 5.4.1.1 is nou gekoppel aan 'n organisasie se vermoë om sy vereistes te verstaan, en die verwagtinge van interne en eksterne personeel en PII-vakke wie se data die organisasie hou.
Organisasies moet 'n privaatheidsbeskermingsrisiko-assesseringsproses uitstippel en implementeer wat:
Organisasies moet risiko-assesseringsaktiwiteite fokus wat nie net inligtingsekuriteit aanspreek nie, maar die implementering van 'n PIBS aanvul, en op die verwerking en berging van PII.
Organisasies moet die gevolge in gedagte hou, nie net vir die maatskappy self nie, maar vir enige PII-hoofde, moet en kwessies voorkom.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Organisasies moet 'n privaatheidsbeskerming/PII 'risikobehandelingsproses' opstel en implementeer wat:
Organisatoriese privaatheidsbeskermingsdoelwitte moet:
Gedurende die beplanningsproses moet organisasies die volgende vasstel:
ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27001-vereiste | Geassosieerde GDPR-artikels |
---|---|---|---|
5.4.1.1 | algemene | 6.1.1 – Algemene aspekte in beplanning rondom risiko vir ISO 27001 | Geen |
5.4.1.2 | Inligtingsekuriteitsrisiko-evaluering | 6.1.2 – Inligtingsekuriteitsrisiko-evaluering vir ISO 27001 | Artikel (32) |
5.4.1.3 | Inligtingsekuriteitsrisikobehandeling | 6.1.3 – Inligtingsekuriteitsrisikobehandeling vir ISO 27001 | Artikel (32) |
5.4.2 | Doelwitte vir inligtingsekuriteit en beplanning om dit te bereik | 6.2 – Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik vir ISO 27001 | Geen |
Jy moet 'n Privaatheidsinligtingbestuurstelsel (PIMS) skep om aan ISO 27701 te voldoen. Met ons voorafgeboude Privaatheidsinligtingbestuurstelsel (PIMS) kan jy vinnig en doeltreffend klant-, verskaffer- en werknemerinligting organiseer en hanteer om aan ISO 27701-vereistes te voldoen.
Privaatheidsbeoordelings kan met gemak opgestel en uitgevoer word, wat wissel van databeskermingsimpakbeoordelings tot regulatoriese of voldoeningsgereedheid.
Sien ons volledige reeks kenmerke deur bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo