Verseker veilige inligtingoordragte: ISO 27701 Klousule 6.10.2 Verduidelik
Inligting is dikwels op sy kwesbaarste wanneer dit van een plek na 'n ander oorgedra word – hetsy fisies, digitaal of verbaal.
Organisasies moet PII wat in transito is, beskerm en werknemers en verskaffers voorsien van 'n duidelike stel riglyne oor hoe om hulself op te tree wanneer inligting van een bron na 'n ander verskuif word.
Wat word gedek in ISO 27701 Klousule 6.10.2
ISO 27701 klousule 6.10.2 bevat 4 subklousules wat privaatheidsbeskerming binne die bestek van inligtingoordragte aanspreek. Elke subklousule is afhanklik van leidinginligting van ISO 27002:
- ISO 27701 6.10.2.1 – Inligtingsoordragbeleide en -prosedures (ISO 27002 Beheer 5.14).
- ISO 27701 6.10.2.2 – Ooreenkomste vir inligtingoordrag (ISO 27002 Beheer 5.14).
- ISO 27701 6.10.2.3 – Elektroniese boodskappe (ISO 27002 Beheer 5.14).
- ISO 27701 6.10.2.4 – Vertroulikheids- of nie-openbaarmakingsooreenkomste (ISO 27002 Beheer 6.6).
Twee subklousules bevat leiding wat binne die VK van toepassing is BBP wetgewing – (klousule 6.10.2.1 en 6.10.2.4), met geen bykomende PIMS of PII-verwante leiding wat buite die algemene riglyne wat reeds gestel is, aangebied word nie.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 6.10.2.1 – Inligtingsoordragbeleide en -prosedures
Verwysings ISO 27002 Beheer 5.14
Inligtingsoordragbedrywighede moet:
- Fokus op kontroles wat voorkom dat die onderskepping, ongemagtigde toegang, kopiëring, verandering, verkeerde roetes, vernietiging en ontkenning van diens van PII en privaatheidverwante inligting (sien ISO 27002 Beheer 8.24).
- Maak seker dat inligting naspeurbaar is.
- Kategoriseer 'n lys van kontakte – dws eienaars, risiko-eienaars ens.
- Skets verantwoordelikhede in die geval van 'n veiligheidsvoorval.
- Sluit duidelike en bondige etiketteringstelsels in (sien ISO 27002 Beheer 5.13).
- Verseker 'n betroubare oordragfasiliteit, insluitend onderwerpspesifieke beleide oor die oordrag van data (sien ISO 27002 Beheer 5.10).
- Skets riglyne vir bewaring en wegdoening, insluitend enige streek- of sektorspesifieke wette en riglyne.
Elektroniese oordrag
Wanneer elektroniese oordragfasiliteite gebruik word, moet organisasies:
- Poging om kwaadwillige programme op te spoor en te beskerm (sien ISO 27002 Beheer 8.7).
- Fokus op die beskerming van aanhangsels.
- Wees baie versigtig om inligting na die korrekte adres te stuur.
- Mandaat vir 'n goedkeuringsproses, voordat werknemers in staat is om inligting via 'eksterne openbare dienste' (bv. kitsboodskappe) oor te dra en groter beheer oor sulke metodes uit te oefen.
- Vermy die gebruik van SMS-dienste en faksmasjiene, waar moontlik.
Fisiese oordragte (insluitend bergingsmedia)
Wanneer fisiese media (insluitend papierdokumente) tussen persele of eksterne liggings oorgedra word, moet organisasies:
- Skets duidelike verantwoordelikhede vir versending en ontvangs.
- Wees baie versigtig om die korrekte adresbesonderhede in te voer.
- Gebruik verpakking wat beskerming bied teen fisiese skade of gepeuter.
- Werk met 'n lys van gemagtigde koeriers en derdeparty-afsenders, insluitend robuuste identifikasiestandaarde.
- Hou deeglike logboeke van alle fisiese oordragte, insluitend ontvangerbesonderhede, datums en tye van oordragte, en enige fisiese beskermingsmaatreëls.
Verbale oordragte
Die verbale oordra van sensitiewe inligting hou 'n unieke sekuriteitsrisiko in, veral waar PII en privaatheidsbeskerming ter sprake is.
Organisasies moet werknemers herinner om:
- Vermy sulke gesprekke in 'n openbare plek, of onbeveiligde interne plek.
- Vermy die verlaat van stemposboodskappe wat sensitiewe of beperkte inligting bevat.
- Maak seker dat die persoon met wie hulle praat op 'n gepaste vlak is om genoemde inligting te ontvang, en lig hulle in oor wat gesê gaan word voordat inligting bekend gemaak word.
- Wees bedag op hul omgewing en maak seker dat kamerkontroles nagekom word.
Toepaslike GDPR-artikels
- Artikel 5 – (1)(f)
Relevante ISO 27002-kontroles
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Klousule 6.10.2.2 – Ooreenkomste vir inligtingoordrag
Verwysings ISO 27002 Beheer 5.14
Sien ISO 27701 Klousule 6.10.2.1
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.10.2.3 – Elektroniese boodskappe
Verwysings ISO 27002 Beheer 5.14
Sien ISO 27701 Klousule 6.10.2.1
ISO 27701 Klousule 6.10.2.4 – Vertroulikheid of nie-openbaarmakingsooreenkomste
Verwysings ISO 27002 Beheer 6.6
Organisasies moet nie-openbaarmakingsooreenkomste (NDA's) en vertroulikheidsooreenkomste gebruik om die opsetlike of toevallige bekendmaking van sensitiewe inligting aan ongemagtigde personeel te beskerm.
By die opstel, implementering en instandhouding van sulke ooreenkomste, moet organisasies:
- Bied 'n definisie vir die inligting wat beskerm moet word.
- Skets die verwagte duur van die ooreenkoms duidelik.
- Noem duidelik enige vereiste aksies sodra 'n ooreenkoms beëindig is.
- Enige verantwoordelikhede wat deur bevestigde ondertekenaars ooreengekom word.
- Eienaarskap van inligting (insluitend IP en handelsgeheime).
- Hoe ondertekenaars toegelaat word om die inligting te gebruik.
- Beskryf die organisasie se reg om vertroulike inligting te monitor duidelik.
- Enige reperkussies wat sal ontstaan as gevolg van nie-nakoming.
- Hersien gereeld hul vertroulikheidsbehoeftes en pas enige toekomstige ooreenkomste dienooreenkomstig aan.
Vertroulikheidswette verskil van jurisdiksie tot jurisdiksie, en organisasies moet hul eie wetlike en regulatoriese verpligtinge in ag neem wanneer hulle NDA's en vertroulikheidsooreenkomste opstel (sien ISO 27002 kontroles 5.31, 5.32, 5.33 en 5.34).
Toepaslike GDPR-artikels
- Artikel 5 – (1)
- Artikel 25 – (1)(f)
- Artikel 28 – (3)(b)
- Artikel 38 – (5)
Relevante ISO 27002-kontroles
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.10.2.1 | Inligtingsoordragbeleide en -prosedures |
5.14 – Inligtingoordrag vir ISO 27002 |
Artikel (5) |
| 6.10.2.2 | Ooreenkomste vir inligtingoordrag |
5.14 – Inligtingoordrag vir ISO 27002 |
Geen |
| 6.10.2.3 | Elektroniese boodskappe |
5.14 – Inligtingoordrag vir ISO 27002 |
Geen |
| 6.10.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.6 – Vertroulikheid of nie-openbaarmakingsooreenkomste vir ISO 27002 |
Artikel (5), (25), (28), (38) |
Hoe ISMS.online help
Of jy nou net na dataprivaatheid begin kyk, of 'n kenner wat verskeie standaarde en regulasies wil integreer, ons kenmerke is maklik om te gebruik en jy sal vordering maak sodra jy aanmeld.
- Ingeboude risikobank
- ROPA maklik gemaak
- Veilige spasie vir DRR
Vind meer uit deur bespreek 'n demo.
