בסוף 2022, עברנו תהליך של השגת הסמכה בו-זמנית עבור ISO 27701, תקן פרטיות הנתונים, והסמכה מחדש עבור ISO 27001, תקן אבטחת המידע. את התעודה האחרונה מחזיקים בהצלחה למעלה מעשר שנים. ועכשיו אנחנו שמחים לשתף שהשגנו בהצלחה את שני האישורים ללא אי-התאמות.
מדוע חיפשנו לספק ולהשיג שניים מהסטנדרטים המאתגרים ביותר שיש בו זמנית? אנחנו שומעים אותך שואל! החלטנו לשים את הכסף שלנו במקום שבו הפה שלנו נמצא ולהשתמש בהצעת הפלטפורמה החדשה שלנו, SPoT. תכננו את SPoT לעשות עבודה קלה של הטמעת ISO 27001 ו-ISO 27701 באמצעות שילוב חלק של מערכת ניהול אבטחת מידע (ISMS) ומערכת ניהול מידע פרטיות (PIMS) לכדי 'נקודת אמת אחת', או בקיצור SPoT. אתה יכול לברר עוד על SPoT אצלנו בלוג קודם.
במהלך מסירת הפרויקט והביקורת, הצוות שלנו ניהל יומנים על חוויותיהם ומחשבותיו על הקמת ה-PIMS ואישור מחדש של ה-ISMS שלנו, אז החלטנו לשתף אתכם בחוויות אלו. אנו מקווים שתמצא את זה מועיל ותובנות, ואם יש לך שאלות, אנא צור קשר; אנחנו אוהבים לשוחח על כל מה שקשור לציות.
מה זה ISO 27701
לפני שניכנס לחוויות החיים של בנייה, הכנה וביקורת של ISMS ו-PIMS, עדיף לקבוע את הסצינה ולפרט בדיוק מה זה ISO 27701.
ISO 27701 הוא הרחבת פרטיות לתקן ISO 27001, מסגרת מוכרת בינלאומית לניהול אבטחת מידע. תקן ISO 27701 מספק הנחיות ודרישות להטמעה ותחזוקה של מערכת ניהול מידע פרטיות (PIMS) במסגרת קיימת מערכת ניהול אבטחת מידע (ISMS).
מדוע ארגונים צריכים לנסות ליישם את ISO 27701?
למרות שהוא חדש יחסית בזירה - הוא הוצג באוגוסט 2019 - הוא נהנה מעלייה מהירה בפופולריות ברחבי העולם, כאשר ארגונים רבים בחרו ליישם את התקן במקום תקנות אזוריות גיאוגרפיות כמו GDPR ו-POPIA שניתן להכיל במידה רבה בתוך בקרות ISO 27701.
פשוט יותר, קצב הצמיחה של הטרנספורמציה הדיגיטלית הביא לאחסן ושיתוף של מידע רגיש יותר באינטרנט מאי פעם. ככל שנפח הנתונים הזה מתרבה, הוא הופך גם למטרה משתלמת עבור פושעי סייבר וגם לדאגה מרכזית עבור צרכנים ועסקים כדי להבטיח שהוא נשמר. באותה נשימה, צמיחת הרגולציות העולמיות, כגון GDPR, CCPA ו HIPAA, פירושו שלארגונים יש גם אחריות משפטית להגן על הנתונים הפרטיים של הלקוחות שלהם. באופן קולקטיבי, ישנה תנועה ברורה לעבר נוף תאימות שבו לא תוכל עוד לקבל אבטחת מידע ללא פרטיות נתונים.
היתרונות של אימוץ ISO 27701 מתרחבים גם מעבר לסיוע לארגונים לעמוד בדרישות הרגולציה והתאימות. אלה כוללים הפגנת אחריות ושקיפות לבעלי עניין, שיפור אמון ונאמנות הלקוחות, הפחתת הסיכון להפרות פרטיות ועלויות נלוות, והגברת התחרותיות בשוק העולמי.
כיצד התכוננו ביעילות לביקורת ISO 27701 שלנו
הכנה, כמו בכל פרויקט, היא קריטית. רוב מה שאתה עושה כארגון בשלב זה ישפיע על הצלחת ביקורת ההסמכה הסופית שלך. סם פיטרס, ה-DPO שלנו, ידע זאת, לאחר שבילה למעלה מעשר שנים בהכנות וביצוע ביקורות עבור ISO 27001. עם זאת, ללכת על תקן חדש, ISO 27701, והסמכה מחדש עבור ISO 27001 בו זמנית היו קרקע חדשה עבורו ועבור הארגון , המבקר וגוף ההסמכה. סם מודה בחופשיות, 'המאמר הזה היה מורט עצבים'.
כל מסע מתחיל בצעד ראשון
הצעד הראשון של סם היה להסכים על לוח זמנים לפרויקט ולתקציב. עבורנו, זה היה ציר זמן של 6 חודשים ותפנית הדוקה, אבל זה גם הבטיח שצוות ההנהגה שלנו, שהניע את הפרויקט, היה מעורב במלואו מההתחלה תוך הטמעת החשיבות של תאימות לפרטיות נתונים ממש מהראש של העסק. . היא גם חשבה שהארגון עדיין צריך לספק 'עסקים כרגיל' במהלך הפרויקט. הקמת ISMS ו-PIMS לא צריכה להיות עבודה במשרה מלאה, במיוחד עם הפלטפורמה הטכנולוגית הנכונה שתומכת באנשים ובתהליכים שלך במסע.
שלב הגילוי
השלב הבא עבורנו היה להביא את הפקדים החדשים עבור ISO 27701 לתוך ה-ISMS הקיים שלנו. לא התחלנו מאפס כי השתמשנו במוצר שלנו עם כל תוכן המדף בתוכו. זה היה פשוט להתאים את התוכן לצרכים הספציפיים של הארגון שלנו. אחד היתרונות המשמעותיים בעבודה עם פלטפורמת ISMS.online הוא שהכלים בתוכה מקדימים אותך ישירות מהקופסה.
לאחר מכן התחלנו בשיחות מפורטות עם כל הצוותים הרלוונטיים בעסק שלנו, מ-HR, פיננסים ושיווק ועד מכירות והצלחה, כדי להבין את הנתונים שבידינו, איך זה עובר בחברה והמערכות שבהן נעשה שימוש. מכיוון שכבר היה לנו ISMS, היה לנו מלאי נכסים שהיה כלי שימושי מאוד להתחיל את השיחות האלה עם כל צוות. גם אנחנו כבר היינו תואמים ל-GDPR, אז השלמנו חתיכת פעילות ליצירת תיעוד של פעילות עיבוד (ROPA) ששוב עזר לנו כשדיברנו עם כל הצוותים בעסק והבהיר לנו שתחת ISO 27701, ה-ROPA שלנו צריך יותר פרטים ממה שהיה לנו כרגע, מה שנותן לנו זרם עבודה ברור להתמקד בו מיד.
השיחות הפנימיות עזרו לנו לזהות כמעט מיד תחומים שבהם נוכל לבצע שיפורים ולייעל ולפשט תהליכים, כגון היכן אחסנו נתונים והמערכות בהן השתמשנו כדי לגשת לנתונים האלה ולהשתמש בהם. זה גם באמת הביא לנו את היתרונות הנוספים של שימוש במסגרות כגון ISO 27701, שכן התהליך הביא לייעול זרימות העבודה, לשיפור היעילות התפעולית שלנו עוד יותר.
ראשי התיבות ביט
ה-ROPA המעודכן מעבודה זו אפשרה לנו לעבור להערכות ההשפעה על פרטיות הנתונים (DPIA), שם קבענו אותן כנגד התהליכים שהקמנו. זה הביא לכמה למידה מועילה על האופן שבו עשינו את זה כארגון, מכיוון שזה לא משהו שאנשים יעשו לעתים קרובות. הבנו שיש לנו גישה תבניתית לאלה כך שכל מי שנדרש לעשות זאת יוכל להרים את התבנית ולספק DPIA בר-פעולה ובעל ערך עם ניסיון מוגבל היה חיוני להצלחה. זה גם יביא לדמוקרטיזציה של מי שיכול לבצע אותם ולהפחית את עומס העבודה עבור חברי צוות ה-infosec הרחב יותר שלנו.
עבור סם, תהליך זה גם העלה את החשיבות של חשיבה על פרטיות בתוך יצירה או פרויקט מוקדם ככל האפשר. הרבה יותר קל לתכנן מתוך מחשבה על פרטיות מאשר לחזור לאחר מכן ולנסות לשנות או לתקן משהו כאשר מידע כבר נמצא במערכת אחת או שחתמת על חוזה עם ספק.
הרעיון של פרטיות לפי עיצוב הוא אינטגרלי עבור כל ארגון המבקש להטמיע תרבות של פרטיות ועמידה בשורה ההולכת וגדלה של חקיקת הפרטיות. כעת הוא חלק מבקרי ה-ISO 27001 ו-27701.
כוח לעם
העבודה עד לנקודה זו הובילה אותנו באופן טבעי להכשרת צוות. מסגרת ISO 27701, כמו מסגרת ISO 27001, היא יותר מסתם הבטחת הגנות טכניות. המטרה היא להטמיע תרבות של פרטיות ואבטחה בתוך ארגון. ואכן, אם אתה מתכוון לעשות את העבודה כדי ליצור PIMS, יהיה חסר לך טריק לא מבוטל כדי להבטיח שהעובדים שלך יבינו את תפקידם באספקת פרטיות נתונים יעילה. סביר להניח שגם תיכשל בביקורת אם המבקר יקרא לאיש צוות להשתתף והוא לא יוכל לענות בביטחון על שאלות על התהליכים שאתה מפעיל עם ה-PIMS שלך.
עבור סם, הפיכת פרטיות הנתונים לרלוונטית לצוות ולתפקידיהם הייתה חלק בלתי נפרד מההצלחה. זה היה חיוני להעצים את הצוות לראות כיצד הם אחראים ומושפעים מפרטיות הנתונים. הקונטקסטואליזציה של המדיניות והנהלים של הארגון לניהול מידע פרטיות ושמירה על סודיות ופרטיות במסגרת תפקידים ספציפיים הייתה עבודת עבודה שאמנם גוזלת זמן, שיפרה את ההבנה והביצוע ברחבי העסק. לאחר מכן, פעילות זו התרחבה לחינוך חיצוני, תוך עדכון מדיניות הפרטיות שלנו ויצירת מדיניות פרטיות ספציפית עבור צוות ומועמדים פוטנציאליים במהלך הגיוס.
ספר לנו מה אתה באמת חושב
הצעד הלפני אחרון שעשינו לפני הביקורת היה ביצוע ביקורת פנימית של PIMS שלנו. תהליך זה היה חיוני כדי להבטיח שה-PIMS פעל כמתוכנן, עומד בדרישות תקן ISO 27701 וזיהה אזורים לשיפורים נוספים לפני ביקורת ההסמכה. ה-DPO שלנו, סם, ביקש שהמבקר הפנימי יהיה נוקשה במיוחד כלפינו, והוא בהחלט היה. זו הייתה הזדמנות שלא יסולא בפז לברר כל בעיה כדי שנוכל לגשת בביטחון לביקורת ההסמכה, בידיעה שה-PIMS שלנו עומד בדרישות הקפדניות ויספק את מה שהמבקר יחפש.
לבסוף, כהכנה לביקורת, חשבנו איך בדיוק נציג את ה-PIMS שלנו למבקר וכיצד נביא אנשים אחרים מתוך העסק לביקורת לפי הצורך, תוך הבטחת שחברים קריטיים יהיו זמינים וכן לתדרוך את הרחב. חברה לגבי מה שהם עשויים לצפות שיתבקשו לעשות, תוך הבטחה שהם מרגישים מודיעים ומוכנים אם יפנו אליהם.
למה לצפות במהלך ביקורת ISO 27701
במהלך הביקורת, המבקר ירצה לסקור כמה תחומים מרכזיים ב-PIMS שלך, כגון:
- המדיניות, הנהלים והתהליכים של הארגון שלך לניהול נתונים אישיים
- הערך את סיכוני הפרטיות שלך ואת הבקרות המתאימות כדי להעריך אם הבקרות שלך יעילות בהפחתת הסיכונים שזוהו.
- העריכו את הפרטיות שלכם ניהול אירועים. האם היכולת שלך לזהות, לדווח, לחקור ולהגיב לאירועי פרטיות מספיקה
- בדוק את ניהול הפרטיות של צד שלישי שלך כדי לוודא שקיימים בקרות נאותות לניהול סיכונים של צד שלישי
- בדוק שתוכנית ההדרכה שלך לפרטיות מחנכת כראוי את הצוות שלך בענייני פרטיות
- סקור את מדדי הביצועים של הארגון שלך כדי לוודא שהם עומדים ביעדי הפרטיות.
בנוסף לאזורים עקביים אלה לסקירה, ישנן נקודות נוספות שיש לקחת בחשבון, כגון אופן העבודה עם המבקר. הם שם כדי לזהות תאימות, ואתה שם כדי להראות להם איך אתה עומד בדרישות האלה. לכן הובלת השיחה והדרכתם בתחומי המפתח יועילו למבקר ויאפשרו לו לזהות את המסלולים והפעילויות הנוספים שהם רוצים לסקור. זה צריך להיות תהליך שיתופי.
מדוע ISO 27701 לעולם לא צריך להיות תהליך של תווית
חלק מ ISMS.online האתוס הוא שאבטחת מידע פשוטה ובת קיימא ופרטיות נתונים מושגות באמצעות אנשים, תהליכים וטכנולוגיה. גישה טכנולוגית בלבד לעולם לא תצליח.
תאימות לבדה אינה מבטיחה ניהול פרטיות יעיל. גישה טכנולוגית בלבד מתמקדת בעמידה בדרישות המינימום של התקן במקום בניהול יעיל של סיכוני פרטיות הנתונים בטווח הארוך. האנשים והתהליכים שלך, לצד מערך טכנולוגיה חזק, יציבו אותך לפני החבילה וישפרו משמעותית את יעילות פרטיות הנתונים שלך לעומת אלה המסתמכים על טכנולוגיה לפתרון מהיר אך זמני.
מה שניתן לכנות גישת תיבת סימון תהיה לרוב:
- כרוך בהערכת סיכונים שטחית, שעלולה להתעלם מסיכוני פרטיות משמעותיים
- התעלם מדאגות הפרטיות של בעלי עניין מרכזיים
- העבירו הדרכת פרטיות גנרית שאינה מותאמת לצרכים הספציפיים של הארגון
- בצע ניטור וסקירה מוגבלת של בקרות הפרטיות, מה שעלול לגרום לאירועי פרטיות שלא אותרו
כל אלה פותחים ארגונים בפני הפרות פוטנציאליות, קנסות כספיים ופגיעה במוניטין.
ISO 27701 מפת דרכים - הורד עכשיו
יצרנו מפת דרכים מעשית בת עמוד אחד, המחולקת לחמישה תחומי מיקוד מרכזיים, להתקרבות והשגת ISO 27701 בעסק שלך. אין טופס למלא. הורד את קובץ ה-PDF היום עבור התחלה פשוטה במסע שלך לפרטיות נתונים יעילה יותר.
ביטול נעילה של יתרון התאימות שלנו ל-ISO 27701 בפעם הראשונה
השגת הסמכה נגד ISO 27701 והסמכה מחדש נגד ISO 27001 בפעם הראשונה, ללא אי-התאמות, הייתה רגע משמעותי עבורנו כאן ב-ISMS.online. לא רק שהשגנו תעשייה ראשונה, אלא שהצלחנו באמצעות היצע הפלטפורמה החדש שלנו, SPoT.
אבל לא הכל היה עלינו בתהליך הזה. זה היה על ה'למה' שלנו. למה אנחנו עושים את מה שאנחנו עושים? אבטחה פשוטה, מאובטחת ובר קיימא צריכה להיות אפשרית לכולם. בגלל זה. אז, איזו דרך טובה יותר להראות לכל מי שמעוניין להשיג פרטיות נתונים ואבטחת מידע יעילה יותר מאשר באמצעות פעולה? חיינו את התהליך ורוצים לחלוק את החוויות, הלמידה והכלים האלה עם אחרים.
נוכל להיכנס לדרכים הרבות שבהן SPoT סיפקה לנו את כל החומרים והכלים הדרושים לנו כדי להצליח, החל מהראשון של 81%, 'שיטת התוצאות המובטחות', קטלוג התיעוד שניתן לאמץ, להתאים או להוסיף או המאמן הוירטואלי שלנו תומך תמיד, אך במקום זאת אנו מזמינים אותך לראות בעצמך ולהבין את היתרונות ממקור ראשון - בקש שיחה עם אחד המומחים שלנו עוד היום.
