ISO 27701, Klousule 5.4 – Beplanning

ISO 27701 Kontroles en klousules verduidelik

Bespreek 'n demo

silhoeëtte,van,mense,sit,by,die,tafel.,'n,span,van

Dit is noodsaaklik dat, voor die implementering van 'n PIBS, organisasies 'n duidelike beeld kry van wat hul spesifieke privaatheidbeskerming/PII-doelwitte is, op alle vlakke van hul inligtingsekuriteitswerking.

Risiko-evaluering behoort 'n sleutelelement van alle organisasiewye privaatheidsbeskermingsprotokolle te wees, insluitend 'n begrip van hoe om risiko's te assesseer en te ontleed, en 'risikobehandeling' - die proses om risiko te wysig deur 'n reeks tegniese maatreëls.

Wat word gedek in ISO 27701 Klousule 5.4

ISO 27701 5.4 handel oor die stappe wat organisasies moet neem wanneer hulle 'n PIMS- of privaatheidsbeskermingsbeleid beplan.

ISO 27701 5.4 is gebaseer op leiding van ISO 27001 6.1 (Optrede om risiko's en geleenthede aan te spreek), en bevat verdere leiding oor vier hoofsubklousules:

  • ISO 27701 Klousule 5.4.1.1 (Verwysings ISO 27001 Beheer 6.1.1)

  • ISO 27701 Klousule 5.4.1.2 (Verwysings ISO 27001 Beheer 6.1.2)

  • ISO 27701 Klousule 5.4.1.3 (Verwysings ISO 27001 Beheer 6.1.3)

  • ISO 27701 Klousule 5.4.2 (Verwysings ISO 27001 Beheer 6.2)

Twee subklousules (5.4.1.2 en 5.4.1.3) bevat albei leiding wat direk verband hou met Artikel 32 van BBP, meer spesifiek, artikels (1)(b), (2).

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.

Spring na Onderwerp
Bereik ISO 27701-sukses

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISO 27701 Klousule 5.4.1.1 – Algemeen

Verwysings ISO 27001 Beheer 6.1.1

In algemene terme moet organisasies 'n risiko-spesifieke benadering volg om 'n PIBS te beplan wat:

  1. Werk aan die bou van 'n PIMS wat 'n stel spesifieke privaatheidsbeskermingsdoelwitte bereik.

  2. Poog om enige nadelige effekte óf heeltemal uit te roei óf te verminder.

  3. Streef na die voortdurende ontwikkeling en inkrementele verbetering van PII en privaatheidsbeskermingverwante aktiwiteite.

Wanneer 'n plan opgestel word, moet organisasies:

  1. Wees bedag op die spesifieke aksies wat nodig is om enige risiko's aan te spreek, en implementeer dit in 'n PIBS.

  2. Evalueer voortdurend hul benadering.

Relevante ISO 27001-kontroles

Die leiding vervat in ISO 27701 5.4.1.1 is nou gekoppel aan 'n organisasie se vermoë om sy vereistes te verstaan, en die verwagtinge van interne en eksterne personeel en PII-vakke wie se data die organisasie hou.

  • ISO 27001 4.1 – Begrip van die organisasie en sy konteks.

  • ISO 27001 4.2 – Begrip van die behoeftes en verwagtinge van belangstellendes.

ISO 27701 Klousule 5.4.1.2 – Inligtingsekuriteitsrisiko-evaluering

Verwysings ISO 27001 Beheer 6.1.2

Organisasies moet 'n privaatheidsbeskermingsrisiko-assesseringsproses uitstippel en implementeer wat:

  • Sluit risiko-aanvaardingskriteria in vir die doeleindes van die uitvoering van privaatheidsbeskermingsbeoordelings.

  • Verskaf 'n raamwerk vir die vergelykbare ontleding van alle privaatheidsbeskermingsbeoordelings.

  • Wys privaatheidsbeskermingsrisiko's (en hul eienaars) vas.

  • Oorweeg die gevare en risiko's wat inherent is aan die verlies van 'vertroulikheid, beskikbaarheid en integriteit' van PII.

  • Ontleed privaatheidsbeskermingsrisiko's saam met drie faktore:

    • Hul potensiële gevolge.

    • Die waarskynlikheid dat hulle sal plaasvind.

    • Hulle erns.

  • Ontleed en prioritiseer enige geïdentifiseerde risiko's in ooreenstemming met hul risikovlak.

Bykomende PIMS- en PII-leiding

Organisasies moet risiko-assesseringsaktiwiteite fokus wat nie net inligtingsekuriteit aanspreek nie, maar die implementering van 'n PIBS aanvul, en op die verwerking en berging van PII.

Organisasies moet die gevolge in gedagte hou, nie net vir die maatskappy self nie, maar vir enige PII-hoofde, moet en kwessies voorkom.

Toepaslike GDPR-artikels

  • Artikel 32 – Sekuriteit van verwerking

    • Toepaslike afdelings – (1)(b), (2)

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe maklik ISO 27701 is met ISMS.online
Kry jou kwotasie

ISO 27701 Klousule 5.4.1.3 – Inligtingsekuriteitsrisikobehandeling

Verwysings ISO 27001 Beheer 6.1.3

Organisasies moet 'n privaatheidsbeskerming/PII 'risikobehandelingsproses' opstel en implementeer wat:

  1. 'n 'risikobehandelingsplan' vir privaatheidbeskerming implementeer.

  2. identifiseer hoe 'n PIMS individuele risikovlakke moet hanteer, gebaseer op 'n stel assesseringsresultate.

  3. beklemtoon 'n reeks kontroles wat nodig is om privaatheidsbeskermingsrisikobehandeling te implementeer.

  4. kruisverwysing enige kontroles geïdentifiseer met die omvattende lys verskaf deur ISO in Bylae A van ISO 27001.

  5. dokumenteer en regverdig die gebruik van enige kontroles wat in 'n formele 'Verklaring van Toepaslikheid' gebruik word.

  6. soek goedkeuring van enige risiko-eienaars voordat 'n privaatheidsbeskermingsrisikobehandelingsplan gefinaliseer word wat enige 'oorblywende' privaatheidsbeskerming en PII-risiko's insluit.

Toepaslike GDPR-artikels

  • Artikel 32 – Sekuriteit van verwerking

    • Toepaslike afdelings – (1)(b), (2)

ISO 27701 Klousule 5.4.2 – Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik

Verwysings ISO 27001 Beheer 6.2

Organisatoriese privaatheidsbeskermingsdoelwitte moet:

  • Wees in lyn met ander inligtingsekuriteitsbeleide.

  • Wees kwantifiseerbaar vir verslagdoening en assesseringsdoeleindes.

  • Inkorporeer data van risikobeoordelings en risikobehandelings.

  • Word beskikbaar gestel aan alle relevante personeellede en datasubjekte.

  • Word voortdurend verbeter en bygewerk in ooreenstemming met operasionele resultate en werklike gebeure.

  • Word gedokumenteer.

Gedurende die beplanningsproses moet organisasies die volgende vasstel:

  1. Enige hulpbronne wat benodig word.

  2. Wie sal eienaarskap kry van die doelwitte, hulle ten volle of gedeeltelik.

  3. Wanneer 'n organisasie se gestelde doelwitte bereik sal word.

  4. Hoe enige data ontleed moet word.

Ondersteunende kontroles vanaf ISO 27001 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27001-vereisteGeassosieerde GDPR-artikels
5.4.1.1algemene6.1.1 – Algemene aspekte in beplanning rondom risiko vir ISO 27001Geen
5.4.1.2Inligtingsekuriteitsrisiko-evaluering6.1.2 – Inligtingsekuriteitsrisiko-evaluering vir ISO 27001Artikel (32)
5.4.1.3Inligtingsekuriteitsrisikobehandeling6.1.3 – Inligtingsekuriteitsrisikobehandeling vir ISO 27001Artikel (32)
5.4.2Doelwitte vir inligtingsekuriteit en beplanning om dit te bereik6.2 – Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik vir ISO 27001Geen

Hoe ISMS.online help

Jy moet 'n Privaatheidsinligtingbestuurstelsel (PIMS) skep om aan ISO 27701 te voldoen. Met ons voorafgeboude Privaatheidsinligtingbestuurstelsel (PIMS) kan jy vinnig en doeltreffend klant-, verskaffer- en werknemerinligting organiseer en hanteer om aan ISO 27701-vereistes te voldoen.

Privaatheidsbeoordelings kan met gemak opgestel en uitgevoer word, wat wissel van databeskermingsimpakbeoordelings tot regulatoriese of voldoeningsgereedheid.

Sien ons volledige reeks kenmerke deur bespreek 'n demo.

Sien ons platform
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind