ISO 27701 Klousule 6.5: Versterking van privaatheid deur batebestuur
Batebestuur is 'n belangrike deel van die handhawing van privaatheidbeskerming, op 'n fisiese en digitale vlak.
Organisasies moet kristalhelder rekords van alle relevante bates handhaaf, om 'n bo-na-onder-oorsig te kry van hoe PII en privaatheidverwante data deur die organisasie vloei.
Personeel wat enige bate binne 'n organisasie se IKT gebruik wat die vermoë het om PII te stoor of te verwerk, moet uitdruklik bewus gemaak word van wat van hulle verwag word in terme van aanvaarbare gebruik en hoe sulke inligting gedurende 'n afstaptydperk bestuur word.
Wat word gedek in ISO 27701 Klousule 6.5
ISO 27701 6.5 bevat vier subklousules wat spesifiek handel oor privaatheidbeskerming, binne die konteks van batebestuur.
Elke subklousule maak staat op leiding vervat binne verskeie subklousules van ISO 27002, met twee subklousules wat presies dieselfde riglyne bevat:
- ISO 27701 6.5.1.1 – Inventaris van bates (Verwysings ISO 27002 Beheer 5.9).
- ISO 27701 6.5.1.2 – Eienaarskap van bates (Verwysings ISO 27002 Beheer 5.9).
- ISO 27701 6.5.1.3 – Aanvaarbare gebruik van bates (Verwysings ISO 27002 Beheer 5.10).
- ISO 27701 6.5.1.4 – Teruggawe van bates (Verwysings ISO 27002 Beheer 5.11).
ISO verskaf geen bykomende leiding vir PIMS-verwante aktiwiteite binne die bestek van batebestuur nie, en daar is ook geen GDPR-gevolge om in ag te neem nie.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 6.5.1.1 – Inventaris van bates
Verwysings ISO 27002 Beheer 5.9
Kategorisering van voorraad
Om privaatheidbeskerming te verhoog, moet organisasies 'n akkurate, bygewerkte, gedokumenteerde lys van inligting en bates handhaaf, insluitend die vermoë om inventarisse regoor die organisasie te verwys.
Daar is verskeie maniere waarop organisasies hul voorraadwerking kan verbeter, insluitend:
- Gereelde hersiening van die inhoud van 'n inventaris teen wat werklik deur die organisasie gehou word.
- Wanneer 'n bate deur die organisasie verander, bekendgestel of verwyder word, implementeer prosedures wat die voorraad outomaties bywerk as deel van die veranderingsproses.
- Verseker dat voorraad 'n 'ligging'-veld bevat, om maklik te identifiseer waar elke bate is.
Voorraad hoef nie een groot lys te wees van elke fisiese en digitale bate wat gehou word nie. In plaas daarvan moedig ISO organisasies aan om voorraad op 'n kategorie-vir-kategorie basis te skei, insluitend aparte voorraad vir:
- Inligtingsbates.
- Hardeware en sagteware.
- Virtuele masjiene (VM'e).
- Fasiliteite toerusting.
- Personeel rekords.
Dit is belangrik om daarop te let dat – in die geval van sekere bates – nie alle inligting gereeld in stand gehou kan word nie, en dat dit nie nodig is om elke laaste bate oor die organisasie se hele fisiese en digitale besit in te sluit nie – bv. kortstondige VM'e wat voer 'n enkele doel vir 'n kort tyd uit voordat dit verwyder word.
Eienaarskap
Alle gekategoriseerde bates moet 'n amptelike 'eienaar' gegee word – of dit nou 'n individu is, of 'n groep (sien ISO 27002 5.12 en 5.13) – wat moet verander wanneer werksrolle begin, ophou of gewysig word.
Bate-eienaars moet verseker dat:
- Alle bates word korrek aangeteken en in 'n voorraad geklassifiseer.
- Klassifikasies is onderhewig aan periodieke hersiening.
- Alle tegnologiekomponente word dienooreenkomstig gelys, en apart van fisiese bates (bv. DB-komponente).
- Die organisasie hou by 'n aanvaarbare gebruiksbeleid (sien ISO 27002 beheer 5.10).
- Beperkings word op sekere bate verduidelikings geplaas, en word op gepaste tye hersien.
- Wanneer die organisasie data uit sy voorraad moet uitvee of verwyder, word daardie data veilig weggedoen.
- Risikobestuur is die middelpunt van alle batehanteringsaktiwiteite.
- Hulle bied voldoende ondersteuning aan enige personeel wat betrokke is by privaatheidsbeskerming en inligtingbestuur.
Relevante ISO 27002-kontroles
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 Klousule 6.5.1.2 – Eienaarskap van bates
Verwysings ISO 27002 Beheer 5.9
Sien ISO 27701 klousule 6.5.1.1
ISO 27701 Klousule 6.5.1.3 – Aanvaarbare gebruik van bates
Verwysings ISO 27002 Beheer 5.10
Alle personeel binne die organisasie wat inligting of fisiese en digitale bates hanteer, moet uitdruklik bewus gemaak word van hul verantwoordelikhede teenoor privaatheidbeskerming, insluitend enige algemene of onderwerpspesifieke sekuriteitsvereistes.
Aanvaarbare gebruikbeleide moet duidelik uiteensit:
- Hoe die organisasie aanvaarbare en onaanvaarbare gedrag klassifiseer, binne die bestek van privaatheidsbeskerming.
- Hoe inligting (spesifiek PII) toegelaat word om oor die netwerk gebruik te word.
- Hoe die organisasie van voorneme is om die gebruik van bates te monitor.
Prosedures moet geïmplementeer word wat die volle lewensiklus van PII in ag neem, insluitend:
- Toegangsbeperkings wat relevant is vir PII.
- 'n Duidelike en bygewerkte rekord van wie toegelaat word om toegang tot PII-data en verwante bates te verkry, en onder watter omstandighede.
- Voldoende vlakke van sekuriteit en berging vir PII-data – insluitend tydelike kopieë.
- Met inagneming van die vervaardigers se aanbevelings wanneer bates geassosieer met privaatheidsbeskerming geberg word (sien ISO 27002 7.8).
- Merk alle stoormedia duidelik met die besonderhede van die gemagtigde gebruiker/ontvanger (sien ISO 27002 7.10).
- Hoe PII-data en gepaardgaande bates van die netwerk verwyder en/of uitgevee en weggedoen word.
Relevante ISO 27002-kontroles
- ISO 27002 7.8
- ISO 27002 7.10
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.5.1.4 – Teruggawe van bates
Verwysings ISO 27002 Beheer 5.11
Batebestuursprosedures moet ook eksplisiete riglyne insluit oor hoe die organisasie die teruggawe van bates bestuur wat betrokke was by die verwerking of berging van PII, en ander privaatheidsverwante inligting.
Of personeel hul eie toestelle gebruik het, of 'n organisatoriese bate toegewys is, prosesse moet in plek gestel word wat PII beskerm deur die data van die betrokke bate te verwyder, en inligting terug na die organisasie oor te dra.
As personeel onderhewig is aan 'n kennisgewingstydperk, moet organisasies stappe doen om te verseker dat PII nie op enige manier deur die werknemer wat buite die boord gaan kompromitteer word nie – insluitend ongemagtigde deel, oordrag of uitvee.
Organisasies moet werkvloeie ontwikkel wat die teruggawe van alle bates dek wat betrokke is by die verwerking of berging van PII, insluitend (maar nie beperk nie tot):
- Toestelle (skootrekenaars, selfone, tablette, ens.).
- USB dryf.
- Stawingsgereedskap en hardeware (VPN-bekragtigingsbates en tokens, deur-/perseeltoegangstoerusting.
- Harde kopieë van PII.
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.5.1.1 | Inventaris van bates |
5.9 – Inventaris van inligting en ander geassosieerde bates vir ISO 27002 |
Geen |
| 6.5.1.2 | Eienaarskap van bates |
5.9 – Inventaris van inligting en ander geassosieerde bates vir ISO 27002 |
Geen |
| 6.5.1.3 | Aanvaarbare gebruik van bates |
5.10 – Aanvaarbare gebruik van inligting en ander verwante bates vir ISO 27002 |
Geen |
| 6.5.1.4 | Teruggawe van bates |
5.11 – Teruggawe van bates vir ISO 27002 |
Geen |
Hoe ISMS.online help
Hoe help ons?
Deur 'n PIMS by jou ISMS op die ISMS.online platform te voeg, bly jou sekuriteitsposisie alles-in-een-plek en jy sal duplisering vermy waar die standaarde oorvleuel.
Met jou PIMS wat onmiddellik toeganklik is vir belangstellendes, was dit nog nooit so maklik om met die klik van 'n knoppie teen ISO 27002 en ISO 27701 te monitor, verslag te doen en te oudit nie.
Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27002- en 27701-sertifisering met behulp van ISMS.online.
Vind meer uit deur bespreek 'n praktiese demo.
