ISO 27701 – Klousule 6.15 – Voldoening

Bereiking van voldoening aan ISO 27701 Klousule 6.15: 'n Volledige oorsig

Nakoming is 'n noodsaaklike deel van enige privaatheidsbeskermingsoperasie – organisasies moet kan demonstreer dat hulle hul verpligtinge teenoor PII nakom, en die stelsels wat gebruik word om privaatheidsverwante materiaal te berg en te verwerk.

Wat word gedek in ISO 27701 Klousule 6.15

ISO 27701 6.15 handel oor nakoming op twee hoofareas – voldoening aan wetlike en kontraktuele vereistes, en inligting sekuriteit resensies (laasgenoemde is die hoofvoertuig om gevalle van nie-nakoming te ontdek en enige privaatheidsverwante kwessies op te los).

• ISO 27701 6.15.1.1 – Identifikasie van toepaslike wetgewing en kontraktuele vereistes (ISO 27002 Beheer 5.31)
• ISO 27701 6.15.1.2 – Intellektuele eiendomsregte (ISO 27002 Beheer 5.32)
• ISO 27701 6.15.1.3 – Beskerming van rekords (ISO 27002 Beheer 5.33)
• ISO 27701 6.15.1.4 – Privaatheid en beskerming van persoonlik identifiseerbare inligting (ISO 27002 Beheer 5.34)
• ISO 27701 6.15.1.5 – Regulering van kriptografiese kontroles (ISO 27002 Beheer 5.31)
• ISO 27701 6.15.2.2 – Voldoening aan sekuriteitsbeleide en -standaarde (ISO 27002 Beheer 5.36)
• ISO 27701 6.15.2.3 – Tegniese nakomingsoorsig (ISO 27002 Beheer 5.36)

Vier subklousules bevat inligting wat relevant is vir VK BBP wetgewing – ons het die artikelverwysings onder elke subklousule vir u gerief verskaf:

• ISO 27701 6.15.1.1
• ISO 27701 6.15.1.3
• ISO 27701 6.15.2.1
• ISO 27701 6.15.2.3

ISO 27701 Klousule 6.15.1.1 – Identifikasie van toepaslike wetgewing en kontraktuele vereistes

Verwysings ISO 27002 Beheer 5.31

Organisasies moet aan wetlike, statutêre, regulatoriese en kontraktuele vereistes voldoen wanneer:

• Opstel en/of wysiging van privaatheidsinligtingsekuriteitsprosedures.
• Kategorisering van inligting.
• Begin met risikobeoordelings wat verband hou met privaatheidsinligtingsekuriteitsaktiwiteite.
• Die smee van verskafferverhoudings, insluitend enige kontraktuele verpligtinge regdeur die voorsieningsketting.

Wetgewende en Regulerende Faktore

Organisasies moet prosedures volg wat hulle toelaat identifiseer, analise en verstaan wetgewende en regulatoriese verpligtinge – veral dié wat met privaatheidbeskerming en PII gemoeid is – waar hulle ook al werk.

Organisasies moet voortdurend bewus wees van hul privaatheidsbeskermingsverpligtinge wanneer hulle nuwe ooreenkomste met derdepartye, verskaffers en kontrakteurs aangaan.

Kriptografie

Wanneer enkripsiemetodes ontplooi word om privaatheidbeskerming te versterk en PII te beskerm, moet organisasies:

• Neem enige wette na wat die invoer en uitvoer van hardeware of sagteware reguleer wat die potensiaal het om 'n kriptografiese funksie te vervul.
• Verskaf toegang tot geënkripteerde inligting onder die wette van die jurisdiksie waarbinne hulle werksaam is.
• Gebruik drie sleutelelemente van enkripsie:
• Digitale handtekeninge.
• Seëls.
• Digitale sertifikate.

Toepaslike GDPR-artikels

• Artikel 5 – (1)(f)
• Artikel 28 – (1), (3)(a), (3)(b), (3)(c), (3)(d), (3)(e), (3)(f), ( 3)(g), (3)(h)
• Artikel 30 – (2)(d)
• Artikel 32 – (1)(b)

Relevante ISO 27002-kontroles

• ISO 27002 5.20

ISO 27701 Klousule 6.15.1.2 – Intellektuele Eiendomsregte

Verwysings ISO 27002 Beheer 5.32

Om enige data, sagteware of bates te beskerm wat as intellektuele eiendom (IP) beskou kan word, moet organisasies:

• Voldoen aan 'n "onderwerpspesifieke" beleid wat handel oor IE-regte, wat IE op 'n geval-tot-geval basis in ag neem.
• Voldoen aan prosedures wat bepaal hoe IP-integriteit gehandhaaf kan word terwyl organisatoriese sagteware en produkte gebruik word.
• Gebruik slegs betroubare bronne om sagteware te bekom wanneer sagteware en sagteware-intekeninge gekoop, gehuur of verhuur word.
• Behou bewys van eienaarskap dokumentasie (elektronies of fisies).
• Hou by sagteware gebruik limiete.
• Ondergaan periodieke sagteware-oorsigte om te verhoed dat enige ongemagtigde of potensieel skadelike toepassings gebruik word.
• Maak seker dat sagteware lisensies geldig en op datum is, en dat billike gebruik riglyne nagekom word.
• Konsepprosedures wat die veilige veilige en voldoenende beskikking van sagtewarebates verseker.
• (Waar kommersiële opnames ter sprake is), maak seker dat geen deel van die opname op enige ongemagtigde wyse onttrek, gekopieer of omskep word nie.
• Maak seker dat tekstuele data saam met digitale media oorweeg word.

ISO 27701 Klousule 6.15.1.3 – Beskerming van rekords

Verwysings ISO 27002 Beheer 5.33

Organisasies moet rekordbestuur oor 4 sleutelareas oorweeg:

• Egtheid
• betroubaarheid
• integriteit
• Bruikbaarheid

Om 'n funksionele rekordstelsel te handhaaf wat PII en privaatheidverwante inligting beskerm, moet organisasies:

• Publiseer riglyne wat handel oor:
• Stoor.
• Hantering (ketting van bewaring).
• Beskikking.
• Voorkoming van manipulasie.
• Beskryf hoe lank elke rekordtipe behou moet word.
• Onderhou enige wette wat met rekordhouding handel.
• Voldoen aan kliënte se verwagtinge in hoe organisasies hul rekords moet hanteer.
• Vernietig rekords sodra dit nie meer nodig is nie.
• Klassifiseer rekords op grond van hul sekuriteitsrisiko, bv.
• Rekeningkunde.
• Besigheidstransaksies.
• Personeel rekords.
• Wettig
• Verseker dat hulle in staat is om rekords binne 'n aanvaarbare tydperk te herwin, indien 'n derde party of wetstoepassingsagentskap versoek om dit te doen.
• Volg altyd die vervaardiger se riglyne wanneer u rekords op elektroniese mediabronne berg of hanteer.

Toepaslike GDPR-artikels

• Artikel 5 – (2)
• Artikel 24 – (2)

ISO 27701 Klousule 6.15.1.4 – Privaatheid en beskerming van persoonlik identifiseerbare inligting

Verwysings ISO 27002 Beheer 5.34

Organisasies moet PII as 'n onderwerp-spesifiek konsep wat aangespreek moet word binne die bestek van talle afsonderlike besigheidsfunksies.

In die eerste plek moet organisasies beleide implementeer wat voorsiening maak vir drie hoofaspekte van PII-verwerking en berging:

• Bewaring
• privaatheid
• Beskerming

Organisasies moet verseker dat alle werknemers bewus is van hul verpligtinge teenoor die hantering van PII, nie net diegene wat dit daagliks as deel van hul werk teëkom nie.

Privaatheidsbeamptes

Organisasies moet 'n Privaatheidsbeampte aanstel wie se taak dit is om leiding aan werknemers en derdeparty-organisasies te verskaf oor die onderwerp van PII, tesame met raad aan senior bestuur oor hoe om die integriteit en beskikbaarheid van privaatheidsinligting te handhaaf.

ISO 27701 Klousule 6.15.1.5 – Regulering van kriptografiese kontroles

Verwysings ISO 27002 Beheer 5.31

Sien ISO 27701 Klousule 6.15.1.1

ISO 27701 Klousule 6.15.2.1 – Onafhanklike hersiening van inligtingsekuriteit

Verwysings ISO 27002 Beheer 5.35

Organisasies moet prosesse ontwikkel wat voorsiening maak vir onafhanklike hersiening van hul privaatheidinligtingsekuriteitspraktyke, insluitend beide onderwerpspesifieke beleide en algemene beleide.

Resensies moet uitgevoer word deur:

• Interne ouditeure.
• Onafhanklike departementele bestuurders.
• Gespesialiseerde derdeparty-organisasies.

Resensies moet onafhanklik wees en uitgevoer word deur individue met voldoende kennis van privaatheidsbeskermingsriglyne en die organisasie se eie prosedures.

Beoordelaars moet vasstel of privaatheidinligtingsekuriteitspraktyke voldoen aan die organisasie se “gedokumenteerde doelwitte en vereistes”.

Sowel as gestruktureerde periodieke resensies, kan organisasies die behoefte ondervind om ad hoc-oorsigte te doen wat veroorsaak word deur sekere gebeurtenisse, insluitend:

• Na aanleiding van wysigings aan interne beleide, wette, riglyne en regulasies wat privaatheidsbeskerming beïnvloed.
• Na groot voorvalle wat 'n impak op privaatheidsbeskerming gehad het.
• Wanneer 'n nuwe besigheid geskep word, of groot veranderinge aan die huidige besigheid deurgevoer word.
• Na die aanvaarding van 'n nuwe produk of diens wat op enige manier met privaatheidsbeskerming handel.

Toepaslike GDPR-artikels

• Artikel 32 – (1)(d), (2)

ISO 27701 Klousule 6.15.2.2 – Voldoening aan sekuriteitsbeleide en -standaarde

Verwysings ISO 27002 Beheer 5.36

Organisasies moet verseker dat personeel in staat is om privaatheidsbeleide oor die volle spektrum van sakebedrywighede te hersien.

Bestuur moet tegniese metodes ontwikkel om verslag te doen oor privaatheidsnakoming (insluitend outomatisering en pasgemaakte gereedskap). Verslae moet aangeteken, gestoor en ontleed word om PII-sekuriteit en privaatheidbeskermingspogings verder te verbeter.

Waar voldoeningskwessies ontdek word, moet organisasies:

• Stel die oorsaak vas.
• Besluit op 'n metode van regstellende aksie om gapings in te vul en te voldoen.
• Hersien die probleem na 'n gepaste tydperk om te verseker dat die probleem opgelos is.

Dit is uiters belangrik om so gou as moontlik regstellende maatreëls in te stel. As kwessies nie ten volle opgelos is teen die tyd van die volgende hersiening nie, moet ten minste bewyse verskaf word om te wys dat vordering gemaak word.

ISO 27701 Klousule 6.15.2.3 – Tegniese Voldoeningsoorsig

Verwysings ISO 27002 Beheer 5.36

Sien ISO 27701 Klousule 6.15.2.2

Toepaslike GDPR-artikels

• Artikel 32 – (1)(d), (2)

Ondersteunende kontroles vanaf ISO 27002 en GDPR

Hoe ISMS.online help

ISO 27701 is nie net 'n raamwerk vir organisasies om aan te neem nie; dit beteken die aanpassing van die manier waarop mense data verstaan, koppelvlak en interaksie daarmee het.

By ISMS.online het ons ons stelsel ontwerp sodat jy en jou personeel voordeel kan trek uit ons maklik-om-te gebruik koppelvlak om jou ISO-reis te dokumenteer.

Ons verskaf ook videobronne en toegang tot inligtingsekuriteitspersoneel om jou te help om standaarde in jou maatskappy te integreer.

Vind meer uit deur bespreek 'n praktiese demo.