ISO 27701 – Klousule 6.3 – Organisasie van inligtingsekuriteit

ISO 27701 Klousule 6.3 – Organisasie van Inligtingsekuriteit bespreek die belangrikheid van die daarstelling van 'n gestruktureerde raamwerk vir die bestuur van inligtingsekuriteit binne 'n organisasie. Dit dek bestuur, risikobestuur, hulpbrontoewysing en beleidsintegrasie, wat verseker dat sekuriteitsmaatreëls ooreenstem met algehele besigheidsprosesse om sensitiewe data te beskerm en voldoening te handhaaf.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 25 Februarie 2025
LinkedIn Twitter Twitter

Verstaan ​​Klousule 6.3: Inligtingsekerheid doeltreffend organiseer

Privaatheidsbeskerming moet geadministreer word as 'n konsep, sowel as 'n operasionele werklikheid.

Organisasies moet privaatheidbeskerming oorweeg, nie net in terme van die stelsels wat hulle gebruik om data te beskerm nie, maar ook in die manier waarop hulle die individue bestuur wat toegang tot PII verkry, en hoe privaatheidsbeskerming saam met ander besigheidsfunksies, soos projekbestuur, behandel word.

ISO 27701 6.3 gee 'n uiteensetting van hoe organisasies privaatheidbeskerming kan bestuur as 'n end-tot-end proses, wat die bogenoemde faktore insluit.

Wat word gedek in ISO 27701 Klousule 6.3

ISO 27701 6.3 bevat drie subklousules wat privaatheidsbeskermingspesifieke leiding insluit, aangepas vanaf drie ondersteunende klousules in ISO 27002:

  • ISO 27701 6.3.1.1 – Inligtingsekuriteitsrolle en -verantwoordelikhede (Verwysings ISO 27002 beheer 5.2)
  • ISO 27701 6.3.1.2 – Skeiding van pligte (Verwysings ISO 27002 beheer 5.3)
  • ISO 27701 6.3.1.5 – Inligtingsekerheid in projekbestuur (Verwysings ISO 27002 beheer 5.8)

Bykomende PIMS-spesifieke leiding met betrekking tot die verwerking van PII kan gevind word in klousule 6.3.1.1, wat ook gekoppel is aan artikels vervat in GDPR-wetgewing.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.3.1.1 – Inligtingsekuriteitsrolle en -verantwoordelikhede

Verwysings ISO 27002 Beheer 5.2

Organisasies moet rolle en verantwoordelikhede definieer wat spesifiek is vir individuele funksies wat binne hul privaatheidsbeskermingsbeleid vervat is – beide hul algemene beleid en onderwerpspesifieke beleide.

Individue met spesifieke verantwoordelikhede moet vaardig genoeg wees om privaatheidverwante take uit te voer, en moet voortdurende ondersteuning gebied word wat 'n aanvaarbare vlak van bevoegdheid handhaaf.

Verantwoordelikheidsareas moet die volgende insluit:

  1. Die beskerming van PII en enige privaatheidsverwante bates.
  2. Voer privaatheidsbeskermingsprosedures uit.
  3. PII-verwante risikobestuursaktiwiteite, insluitend regstellende aksies.
  4. Enigeen wat die organisasie se inligting en data gebruik, insluitend die gebruik van IKT-bates.
  5. Individue met verantwoordelikheid op die hoogste vlak vir privaatheidsbeskerming wat take aan ander delegeer.

ISO erken dat elke organisasie uniek is in die manier waarop hulle inligting verwerk. Bogenoemde verantwoordelikheidsareas moet vergesel word van terrein- en fasiliteitspesifieke riglyne wat werklike wêreldfaktore in ag neem wat 'n organisasie se PII-verwerkingsoperasie raak.

Al die bogenoemde verantwoordelikhede en sekuriteitsareas moet duidelik gedokumenteer word en aan alle relevante personeellede beskikbaar gestel word.

Bykomende PIMS-spesifieke leiding

Organisasies moet 'n individu nomineer wat kliënte (en eksterne owerhede) as 'n toegewyde kontakpunt vir alle PII-verwante aangeleenthede kan gebruik (sien ISO 27701 7.3.2).

Daarbenewens moet organisasies verantwoordelikheid delegeer aan een of meer individue vir die bou van 'n organisatoriese privaatheidbestuursprogram wat die nakoming van gelokaliseerde en nasionale PII-wette en regulasies versterk.

Toepaslike GDPR-artikels

  • Artikel 27 – (1), (2)(a), (2)(b), (3), (4), (5)
  • Artikel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
  • Artikel 38 – (1), (2), (3), (4), (5), (6)
  • Artikel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)

Ondersteunende klousules

  • ISO 27701 Klousule 7.3.2

ISO 27701 Klousule 6.3.1.2 – Skeiding van pligte

Verwysings ISO 27002 Beheer 5.3

In 'n organisasie met baie verskillende privaatheidsverwante rolle, kan verantwoordelikhede en pligte dikwels in konflik met mekaar kom.

Individue kan dikwels rolle verrig wat die potensiaal het om PII in gedrang te bring, omdat hulle óf die enigste gesag is, óf gebrek aan bestuurstoesig.

Verantwoordelikhede moet geskei word om 'n meer robuuste privaatheidsbeskermingsoperasie te verseker. Voorbeelde van rolle wat konflikte kan bevat, sluit in:

  • Versoek, goedkeuring of implementering van 'n verandering aan die PIBS.
  • Maak wysigings aan toegangsregte, insluitend RBAC.
  • Die skryf of wysiging van kode, of die uitvoering van enige vorm van toepassingsontwikkeling.
  • Gebruik van toepassings of databasisse wat handel oor die verwerking en/of berging van PII.
  • Opstel, goedkeuring en/of hersiening van privaatheidsbeskermingkontroles.

Segregasiekontroles moet ontwikkel word met verskeie faktore in gedagte:

  • Voorkoming van samespanning.
  • Identifisering van konflikte.
  • Moniteringsaktiwiteite.
  • Die skep van ouditroetes.
  • Outomatisering van die proses om konflikte te identifiseer.

ISO erken dat kleiner organisasies dit moeilik kan vind om rolle te skei, gegewe hul beperkte hulpbronne, maar die hele konsep van segregasie moet nietemin nagestreef word so ver as wat kommersieel en operasioneel moontlik is.



Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.3.1.5 – Inligtingsekerheid in projekbestuur

Verwysings ISO 27002 Beheer 5.8

Sowel as daaglikse herhalende inkomste generering, moet privaatheidbeskerming ook uitbrei na projekimplementering en bestuursaktiwiteite.

Projekte sluit dikwels die migrasie, skepping en verandering van groot hoeveelhede PII in, en as sodanig moet voldoende oorweging gegee word sodat organisasies voldoening aan gelokaliseerde en nasionale privaatheidsverwante wette en regulatoriese riglyne kan handhaaf.

'n "Projek" kan enige aktiwiteit wees wat 'n standaardwerkwyse verander, of nuwe proses en/of toerusting en toepassings aan 'n organisasie bekendstel.

Projekbestuuraktiwiteite moet verseker dat:

  1. Privaatheidsbeskermingsrisiko's en -vereistes word vroeg in die projek in ag geneem en word regdeur die projek se lewensiklus gehandhaaf (sien ISO 27002, klousules 5.32 en 8.26).
  2. Privaatheidsbeskerming word voortdurend gemonitor en opgetree – deur middel van formele evaluerings deur geskikte persone of beheerliggame, en gestruktureerde toetse.
  3. Alle rolle wat verband hou met projekspesifieke privaatheidsbeskerming is duidelik omskryf.
  4. Enige produkte of dienste wat as deel van die projek gelewer moet word, moet in ooreenstemming met die organisasie se gepubliseerde privaatheidstandaarde geskep word.
  5. Privaatheidsbeskerming word versterk deur metodes soos bedreigingsmodellering, voorvalbeoordelings, kwesbaarheidsdrempels en gebeurlikheidsbeplanning.

Privaatheidsbeskermingspogings moet nie beperk word tot IKT-projekte nie. Organisasies moet 'n reeks faktore oorweeg wanneer hulle spesifieke PII-verwante vereistes bepaal, insluitend:

  • Die unieke inligtingsveranderlikes, insluitend wat spesifieke data behels, die sekuriteitsbehoeftes daarvan en die gevolge van 'n oortreding of misbruik.
  • Die versekering wat gesoek moet word in terme van vertroulikheid, integriteit en beskikbaarheid.
  • Die voorsiening van toegangsregte en magtigingsprotokolle vir interne en eksterne personeel (insluitend kliënte).
  • Stel duidelike verwagtinge wat gebruikers inlig oor hul verpligtinge.
  • Die vereistes van ander interne sekuriteitskontroles.
  • Enige stelselverwante aksies wat vereis word as gevolg van operasionele aktiwiteite (bv. transaksieaantekening).
  • Handhawing van nakoming van wetlike, regulatoriese en kontraktuele vereistes.
  • Derdeparty kontraktuele verpligtinge wat in lyn is met die organisasie se eie privaatheidstandaarde.

Relevante ISO 27002-kontroles

  • ISO 27002 5.32
  • ISO 27002 8.26

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.3.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.2 – Inligtingsekuriteitsrolle en -verantwoordelikhede vir ISO 27002
 Artikels (27), (37), (38), (39)
6.3.1.2Skeiding van pligte
5.3 – Skeiding van pligte vir ISO 27002
Geen
6.3.1.5Inligtingsekuriteit in projekbestuur
5.8 – Inligtingsekerheid in projekbestuur vir ISO 27002
Geen

Hoe ISMS.online help

Ons ISMS.aanlyn-oplossings maak dit maklik vir organisasies om projektoesig te bereik, en verseker dat die databeheerder en verwerkerbeleide en -prosedures in lyn is met die ISO-standaard.

Ons aanlyn stelsel verseker ook dat stelselimplementeerders 'n enkele plek het vir verwysing en samewerking.

Ons versekerde resultate-metode (ARM) stel jou in staat om vol vertroue te wees dat jy al die blokkies afmerk wat jy nodig het om aan die standaard te voldoen.

Vind meer uit en kry 'n praktiese demonstrasie deur bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!