כיצד להוכיח ציות ל-GDPR סעיף 32

פרשנות טכנית

סעיף 32 של GDPR מבקש מארגונים לנקוט בגישה מבוססת סיכונים לעיבוד נתונים הלוקחת בחשבון מספר משתנים מרכזיים:

• הערכת סיכונים יסודית שלוקחת בחשבון הרס או שינוי בשוגג או בלתי חוקי של נתונים אישיים, גישה לנתונים ואופן ניהול הנתונים.
• חקר אמצעים טכניים המפחיתים סיכונים בכל הארגון.
• יישום טכניקות ואמצעים המתמודדים עם כל סיכונים שיש סביר ביותר להתרחש.
• קודים של התנהגות המחייבים את הארגון והיחידים בתוכו אחראים לפעולותיהם בעת הטיפול בנתונים.
• מבטיח לנושאי המידע שכל מי שמקיים אינטראקציה עם הנתונים שלהם עושה זאת בצורה הולמת וחוקית.

ISO 27701 סעיף 5.2.1 (הבנת הארגון וההקשר שלו) ו-EU GDPR סעיף 32 (3)

ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.

הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.

לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.

זה כולל:

• סקירת כל חוקי הפרטיות, התקנות או 'החלטות שיפוטיות' הרווחות.
• תוך התחשבות במערך הדרישות הייחודי של הארגון הנוגע לסוג המוצרים והשירות שהם מוכרים, ומסמכי ממשל, מדיניות ונהלים ספציפיים לחברה.
• כל הגורמים האדמיניסטרטיביים, לרבות התנהלות שוטפת של החברה.
• הסכמי צד שלישי או חוזי שירות שיש להם פוטנציאל להשפיע על PII והגנת הפרטיות.

ISO 27701 סעיף 5.2.3 (קביעת היקף מערכת ניהול אבטחת המידע) ו-EU GDPR סעיף 32 (2)

ISO ממליצה על תרגיל scoping יסודי, כך שארגונים יוכלו לייצר PIMS שתחילה עומד בדרישות ההגנה על הפרטיות שלו, ושנית לא יתגנב לאזורים בעסק שאינם זקוקים לתשומת לב.

ארגונים צריכים להקים ולתעד:

1. כל בעיה חיצונית או פנימית, כמתואר ב-ISO 27001 4.1.
2. דרישות צד שלישי כמתואר ב-ISO 27001 4.2.
3. כיצד הארגון מקיים אינטראקציה הן עם עצמו והן עם גופים חיצוניים (למשל נקודות מגע של לקוחות, ממשקי ICT).

כל תרגילי ה-scoping הממפים יישום PIMS צריכים לכלול הערכה יסודית של פעילויות עיבוד ואחסון PII.

ISO 27701 סעיף 5.2.4 (מערכת ניהול אבטחת מידע) ו-EU GDPR סעיף 32 (2)

ארגונים צריכים לשאוף ליישם, לנהל ולייעל מערכת ניהול מידע פרטיות (PIMS), בהתאם לתקני ISO שפורסמו.

ISO 27701 סעיף 5.4.1.2 (הערכת סיכוני אבטחת מידע) ו-EU GDPR סעיף 32 (1)(ב) ו-32 (2)

ארגונים צריכים למפות וליישם תהליך הערכת סיכוני הגנת הפרטיות ש:

• כולל קריטריונים לקבלת סיכונים, למטרות ביצוע הערכות הגנת הפרטיות.
• מספק מסגרת לניתוח בר השוואה של כל הערכות הגנת הפרטיות.
• מצביע על סיכוני הגנת הפרטיות (ועליהם).
• שוקל את הסכנות והסיכונים הכרוכים באובדן 'הסודיות, הזמינות והשלמות' של PII.
• מנתח סיכוני הגנת הפרטיות לצד שלושה גורמים:
• ההשלכות האפשריות שלהם.
• ההסתברות שיתרחשו.
• החומרה שלהם.
• מנתח ומתעדף כל סיכונים שזוהו בהתאם לרמת הסיכון שלהם.

ISO 27701 סעיף 5.4.1.3 (טיפול בסיכוני אבטחת מידע) וסעיף GDPR של האיחוד האירופי (32)(1)(ב)

ארגונים צריכים לנסח וליישם "תהליך טיפול בסיכונים" להגנת פרטיות/PII ש:

• יישום 'תוכנית טיפול בסיכון' להגנת הפרטיות.
• מזהה כיצד PIMS צריך להתייחס לרמות סיכון אינדיבידואליות, בהתבסס על סט של תוצאות הערכה.
• מדגיש סדרה של בקרות הנדרשות כדי ליישם טיפול בסיכוני הגנת הפרטיות.
• הצלבה לכל פקדים המזוהים עם הרשימה המקיפה שסופקה על ידי ISO ב נספח A של ISO 27001.
• תיעוד והצדק את השימוש בכל הפקדים המשמשים ב'הצהרה על תחולה' רשמית.
• בקש אישור מבעלי סיכונים כלשהם לפני סיום תוכנית טיפול בסיכוני הגנת הפרטיות הכוללת כל הגנה על פרטיות וסיכוני PII.

ISO 27701 סעיף 6.11.1.2 (אבטחה בתהליכי פיתוח ותמיכה) ו-EU GDPR סעיף 32 (1)(א)

יש לפתח נהלי אבטחת יישומים לצד מדיניות הגנה רחבה יותר על פרטיות, בדרך כלל באמצעות הערכת סיכונים מובנית הלוקחת בחשבון משתנים מרובים.

דרישות אבטחת האפליקציה צריכות לכלול:

• רמות האמון הטבועות בכל ישויות הרשת (ראה ISO 27002 בקרות 5.17, 8.2 ו-8.5).
• סיווג הנתונים שהאפליקציה מוגדרת לעבד (כולל PII).
• כל דרישות הפרדה.
• הגנה מפני התקפות פנימיות וחיצוניות ו/או שימוש זדוני.
• כל דרישות משפטיות, חוזיות או רגולטוריות רווחות.
• הגנה חזקה על מידע סודי.
• נתונים שאמורים להיות מוגנים במעבר.
• כל דרישות קריפטוגרפיות.
• בקרות קלט ופלט מאובטחות.
• שימוש מינימלי בשדות קלט בלתי מוגבלים - במיוחד כאלו שיש להם פוטנציאל לאחסן נתונים אישיים.
• טיפול בהודעות שגיאה, כולל תקשורת ברורה של קודי שגיאה.

שירותים עסקיים המקלים על זרימת נתוני הפרטיות בין הארגון לבין ארגון צד שלישי, או ארגון שותף, צריכים:

1. ביסוס רמת אמון מתאימה בין זהויות ארגוניות.
2. כלול מנגנונים הבודקים אמון בין זהויות מבוססות (למשל hashing וחתימות דיגיטליות).
3. הגדר נהלים חזקים המסדירים את מה שהעובדים מסוגלים לנהל מסמכי עסקה מרכזיים.
4. מכיל נהלי ניהול מסמכים ועסקאות המכסים את הסודיות, היושרה, הוכחת השליחה והקבלה של מסמכים ועסקאות מפתח.
5. כלול הנחיות ספציפיות כיצד לשמור על סודיות עסקאות.

עבור כל יישום הכרוך בהזמנה אלקטרונית ו/או תשלום, ארגונים צריכים:

• הגדר דרישות מחמירות להגנה על נתוני תשלום והזמנה.
• אמת את פרטי התשלום לפני ביצוע הזמנה.
• אחסן בצורה מאובטחת נתונים הקשורים לעסקאות ופרטיות באופן שאינו נגיש לציבור.
• השתמש ברשויות מהימנות בעת יישום חתימות דיגיטליות, תוך מחשבה על הגנת הפרטיות בכל עת.

תמיכה בבקרות ISO 27002

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 סעיף 6.12.1.2 (טיפול באבטחה במסגרת הסכמי ספקים) ו-EU GDPR סעיף 32 (1)(ב)

כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.

בעשותם זאת, ארגונים צריכים:

• הציעו תיאור ברור המפרט את פרטי הפרטיות שאליו יש לגשת, וכיצד יש לגשת למידע זה.
• סווגו את פרטי הפרטיות שאליהם יש לגשת בהתאם לתכנית סיווג מקובלת (ראה ISO 27002 בקרות 5.10, 5.12 ו-5.13).
• תנו שיקול נאות לתכנית הסיווג של הספקים עצמו.
• סיווג זכויות לארבעה תחומים עיקריים - משפטיים, סטטוטוריים, רגולטוריים וחוזיים - עם תיאור מפורט של חובות לכל תחום.
• ודא שכל צד מחויב לחוקק סדרה של בקרות המנטרות, מעריכות ומנהלות את רמות הסיכון של אבטחת מידע פרטיות.
• תאר את הצורך של אנשי ספקים לעמוד בתקני אבטחת המידע של ארגון (ראה ISO 27002 בקרה 5.20).
• הקל על הבנה ברורה של מה מהווה שימוש מקובל ובלתי מקובל במידע פרטיות ובנכסים פיזיים ווירטואליים משני הצדדים.
• קבע בקרות הרשאות הנדרשות לאנשי צד הספק כדי לגשת או להציג מידע פרטיות של ארגון.
• קחו בחשבון מה קורה במקרה של הפרת חוזה, או כל אי עמידה בתנאים פרטניים.
• תאר נוהל ניהול תקריות, כולל איך מועברים אירועים גדולים.
• ודא כי הצוות מקבל הדרכה למודעות אבטחה.
• (אם הספק מורשה להשתמש בקבלני משנה) הוסיפו דרישות כדי להבטיח שקבלני המשנה יהיו מיושרים עם אותה סט של תקני אבטחת מידע פרטיות כמו הספק.
• שקול כיצד צוות הספק נבדק לפני אינטראקציה עם מידע פרטיות.
• לקבוע את הצורך באישורים של צד שלישי המתייחסים ליכולתו של הספק למלא את דרישות אבטחת המידע של פרטיות ארגונית.
• בעלי הזכות החוזית לבקר את נהלי הספק.
• לדרוש מהספקים לספק דוחות המפרטים את האפקטיביות של התהליכים והנהלים שלהם.
• התמקד בנקיטת צעדים כדי להשפיע על פתרון בזמן ויסודי של כל ליקוי או קונפליקטים.
• ודא שספקים פועלים עם מדיניות BUDR נאותה, כדי להגן על היושרה והזמינות של PII ונכסים הקשורים לפרטיות.
• דרשו מדיניות ניהול שינויים בצד הספק המיידעת את הארגון על כל שינוי שיש לו פוטנציאל להשפיע על הגנת הפרטיות.
• הטמע בקרות אבטחה פיזיות פרופורציונליות לרגישות הנתונים המאוחסנים ומעובדים.
• (לאן יש להעביר נתונים) בקש מהספקים לוודא שהנתונים והנכסים מוגנים מפני אובדן, נזק או שחיתות.
• ציין רשימה של פעולות שיש לנקוט על ידי כל אחד מהצדדים במקרה של סיום.
• בקש מהספק לתאר כיצד הוא מתכוון להשמיד מידע פרטיות לאחר סיום, או שהנתונים אינם נדרשים עוד.
• נקוט בצעדים כדי להבטיח הפרעה עסקית מינימלית במהלך תקופת מסירה.

ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.

תמיכה בבקרות ISO 27002

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 סעיף 6.15.2.1 (סקירה עצמאית של אבטחת מידע) ו-EU GDPR סעיף 32

בסעיף זה אנו מדברים על GDPR סעיפים 32 (1)(ב), 32 (1)(ד), 32 (2)

ארגונים צריכים לפתח תהליכים המספקים סקירות עצמאיות של נוהלי אבטחת מידע הפרטיות שלהם, כולל מדיניות ספציפית לנושא ומדיניות כללית.

ביקורות צריכות להתבצע על ידי:

• מבקרים פנימיים.
• מנהלי מחלקות עצמאיים.
• ארגוני צד שלישי מיוחדים.

הביקורות צריכות להיות עצמאיות ולהתבצע על ידי אנשים בעלי ידע מספק בהנחיות הגנת הפרטיות ובנהלים של הארגון.

על הבודקים לקבוע אם נוהלי אבטחת מידע פרטיות תואמים את "יעדי הארגון והדרישות המתועדות".

בנוסף לביקורות תקופתיות מובנות, ארגונים עשויים להיתקל בצורך לבצע ביקורות אד-הוק המופעלות על ידי אירועים מסוימים, כולל:

• בעקבות תיקונים במדיניות פנימית, חוקים, הנחיות ותקנות המשפיעים על הגנת הפרטיות.
• לאחר תקריות גדולות שהשפיעו על הגנת הפרטיות.
• בכל פעם שנוצר עסק חדש, או נחקקים שינויים גדולים בעסק הנוכחי.
• בעקבות אימוץ מוצר או שירות חדש העוסק בהגנת הפרטיות בכל דרך שהיא.

ISO 27701 סעיף 6.15.2.3 (סקירת תאימות טכנית) וסעיפים GDPR של האיחוד האירופי 32 (1)(ד) ו-(32)(2)

ארגונים צריכים להבטיח שאנשי הצוות יוכלו לעיין במדיניות הפרטיות על פני כל הספקטרום של הפעילות העסקית.

ההנהלה צריכה לפתח שיטות טכניות לדיווח על תאימות לפרטיות (כולל אוטומציה וכלים מותאמים אישית). יש לתעד, לאחסן ולנתח דוחות כדי לשפר עוד יותר את מאמצי האבטחה והגנת הפרטיות של PII.

כאשר מתגלות בעיות ציות, ארגונים צריכים:

• קבע את הסיבה.
• החליטו על שיטה לפעולה מתקנת כדי לסתום פערים ותאימות.
• בדוק שוב את הנושא לאחר פרק זמן מתאים, כדי להבטיח שהבעיה נפתרה.

חשוב מאוד לנקוט באמצעי תיקון בהקדם האפשרי. אם הבעיות לא נפתרו במלואן עד למועד הסקירה הבאה, לכל הפחות, יש לספק ראיות המוכיחות שמתבצעת התקדמות.

ISO 27701 סעיף 6.5.2.1 (סיווג מידע) ומאמר GDPR של האיחוד האירופי (32)(2)

במקום להעמיד את כל המידע על בסיס שווה, על הארגון לסווג מידע על בסיס נושא ספציפי.

בעלי מידע צריכים לשקול ארבעה גורמים מרכזיים, בעת סיווג נתונים (במיוחד לגבי PII), אשר יש לבחון מעת לעת, או כאשר גורמים כאלה משתנים:

1. השמיים סודיות של הנתונים.
2. השמיים שלמות של הנתונים.
3. נתונים זמינות רמות.
4. של הארגון התחייבויות משפטיות לכיוון PII.

כדי לספק מסגרת תפעולית ברורה, יש למנות קטגוריות מידע בהתאם לרמת הסיכון המובנית, אם יתרחשו תקריות הפוגעות באחד מהגורמים לעיל.

כדי להבטיח תאימות בין פלטפורמות, ארגונים צריכים להעמיד את קטגוריות המידע שלהם לזמינות לכל צוות חיצוני שאיתו הם חולקים מידע, ולהבטיח שסכימת הסיווג של הארגון עצמו מובנת באופן נרחב על ידי כל הצדדים הרלוונטיים.

ארגונים צריכים להיזהר מסיווג חסר או להיפך, סיווג יתר של נתונים. הראשון יכול להוביל לטעויות בקיבוץ PII עם סוגי נתונים פחות רגישים, בעוד שהראשון מוביל לעתים קרובות להוצאות נוספות, סיכוי גדול יותר לטעות אנוש וחריגות בעיבוד.

ISO 27701 סעיף 6.5.3.1 (ניהול של מדיה נשלפת) ו-EU GDPR סעיף 32 (1)(א)

בעת פיתוח מדיניות המסדירה את הטיפול בנכסי מדיה המעורבים באחסון PII, ארגונים צריכים:

• פתח מדיניות ייחודית ספציפית לנושא המבוססת על דרישות מחלקתיות או מבוססות עבודה.
• ודא שמבקשים ומעניקים אישור מתאים, לפני שאנשי הצוות יוכלו להסיר מדיית אחסון מהרשת (כולל שמירה על רישום מדויק ועדכני של פעילויות כאלה).
• אחסן את המדיה בהתאם למפרטי היצרן, ללא כל נזק סביבתי.
• שקול להשתמש בהצפנה כתנאי מוקדם לגישה, או אם הדבר אינו אפשרי, ליישם אמצעי אבטחה פיזיים נוספים.
• צמצם למינימום את הסיכון לפגיעה ב-PII על ידי העברת מידע בין מדיית אחסון, לפי הצורך.
• הצג יתירות PII על ידי אחסון מידע מוגן על מספר נכסים בו זמנית.
• אשר רק את השימוש באמצעי אחסון בכניסות מאושרות (כלומר כרטיסי SD ויציאות USB), על בסיס נכס אחר נכס.
• עקוב מקרוב אחר העברת PII על מדיית אחסון, לכל מטרה.
• קח בחשבון את הסיכונים הטמונים בהעברה פיזית של אמצעי אחסון (ובאמצעות proxy, ה-PII הכלול בו), בעת העברת נכסים בין כוח אדם או מתחם (ראה ISO 27002 בקרה 5.14).

בעת שימוש מחדש, שימוש חוזר או השלכה של מדיית אחסון, יש לנקוט נהלים חזקים כדי להבטיח ש-PII לא יושפע בשום אופן, כולל:

• פירמוט מדיית האחסון והבטחה שכל הפרטים האישיים יוסרו לפני שימוש חוזר (ראה ISO 27002 בקרה 8.10), כולל שמירה על תיעוד הולם של כל הפעילויות הללו.
• השלכה מאובטחת של כל מדיה שאין לארגון שימוש נוסף בה, והיא שימשה לאחסון PII.
• אם סילוק מצריך מעורבות של צד שלישי, על הארגון לדאוג מאוד לוודא שהם שותפים ראויים ומתאימים לביצוע חובות כאלה, בהתאם לאחריות הארגון כלפי PII והגנה על הפרטיות.
• יישום נהלים המזהים אילו אמצעי אחסון זמינים לשימוש חוזר, או שניתן להיפטר מהם בהתאם.

אם מכשירים ששימשו לאחסון PII נפגעים, על הארגון לשקול היטב אם נכון יותר להרוס מדיה כזו או לא לשלוח אותה לתיקון (שגוי בצד הראשון).

ISO מזהיר ארגונים מפני שימוש בהתקני אחסון לא מוצפנים עבור כל פעילויות הקשורות ל-PII.

תמיכה בבקרות ISO 27002

• ISO 27002 5.14

ISO 27701 סעיף 6.5.3.3 (העברת מדיה פיזית) ו-EU GDPR סעיף 32 (1)(א)

ראה סעיף לעיל על ISO 27701 סעיף 6.5.3.1

מידע נוסף

אם יש להשליך מדיה מאותו PII שהוחזק בעבר, ארגונים צריכים ליישם נהלים המתעדים את השמדת ה-PII ונתונים הקשורים לפרטיות, כולל הבטחות קטגוריות שהם אינם זמינים עוד.

תמיכה בבקרות ISO 27002

• ISO 27002 5.14

ISO 27701 סעיף 6.7.1.1 (מדיניות על השימוש בבקרה קריפטוגרפית) וסעיף GDPR של האיחוד האירופי 32 (1)(א)

ארגונים צריכים להשתמש בהצפנה כדי להגן על סודיות, אותנטיות ו שלמות של PII ומידע הקשור לפרטיות, ולעמוד בהתחייבויות החוזיות, החוקיות או הרגולטוריות השונות שלהם.

הצפנה היא מושג מרחיק לכת - אין גישה של 'גודל אחד מתאים לכולם'. ארגונים צריכים להעריך את הצרכים שלהם ולבחור בפתרון קריפטוגרפי העונה על היעדים המסחריים והתפעוליים הייחודיים שלהם.

ארגונים צריכים לשקול:

• פיתוח א ספציפי לנושא גישה לקריפטוגרפיה, הלוקחת בחשבון דרישות מחלקתיות, מבוססות תפקידים ותפעוליות שונות.
• רמת ההגנה המתאימה (יחד עם סוג המידע שיש להצפין).
• מכשירים ניידים ומדיה אחסון.
• ניהול מפתחות קריפטוגרפיים (אחסון, עיבוד וכו').
• תפקידים ואחריות מיוחדים עבור פונקציות קריפטוגרפיות, כולל הטמעה וניהול מפתחות (ראה ISO 27002 בקרה 8.24).
• תקני ההצפנה הטכניים שיש לאמץ, כולל אלגוריתמים, חוזק צופן, הנחיות שיטות עבודה מומלצות.
• כיצד תעבוד ההצפנה לצד מאמצי אבטחת סייבר אחרים, כגון הגנה מפני תוכנות זדוניות ואבטחת שער.
• חוקים והנחיות חוצי גבולות ותחומי שיפוט (ראה ISO 27002 בקרה 5.31).
• חוזים עם שותפי הצפנה של צד שלישי המכסים אחריות, אמינות וזמני תגובה כולה או חלקית.

ניהול מפתח

נהלי ניהול מפתח צריכים להתפרס על פני 7 פונקציות עיקריות:

1. דוֹר.
2. אחסון.
3. אחסון בארכיון.
4. שְׁלִיפָה.
5. הפצה.
6. פורש לגמלאות.
7. הֶרֶס.

מערכות ניהול מפתחות ארגוניות צריכות:

• נהל יצירת מפתחות עבור כל שיטות ההצפנה.
• הטמעת אישורי מפתח ציבורי.
• ודא שכל הישויות האנושיות והלא אנושיות הרלוונטיות מקבלות את המפתחות הנדרשים.
• אחסן מפתחות.
• תקן מפתחות, לפי הצורך.
• יש לנהל נהלים להתמודדות עם מפתחות שעלולים להיפגע.
• השבת מפתחות, או ביטול גישה על בסיס משתמש למשתמש.
• שחזר מפתחות שאבדו או לא תקינים, בין אם מגיבויים וארכיוני מפתחות.
• הרס מפתחות שאינם נחוצים עוד.
• נהל את מחזור החיים של ההפעלה וההשבתה, כך שמפתחות מסוימים יהיו זמינים רק לפרק הזמן שבו הם נחוצים.
• לעבד בקשות רשמיות לגישה, מסוכנויות אכיפת חוק או, בנסיבות מסוימות, סוכנויות רגולטוריות.
• מכיל בקרות גישה המגנות על גישה פיזית למפתחות ומידע מוצפן.
• שקול את האותנטיות של מפתחות ציבוריים, לפני היישום (רשויות אישורים ותעודות ציבוריות).

תמיכה בבקרות ISO 27002

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 סעיף 6.9.3.1 (גיבוי מידע) ו-EU GDPR סעיף 32 (1)(ג)

ארגונים צריכים לנסח מדיניות ספציפית לנושא המתייחסת ישירות לאופן שבו הארגון מגבה את האזורים הרלוונטיים ברשת שלו על מנת להגן על PII ולשפר את החוסן מפני תקריות הקשורות לפרטיות.

יש לנסח נוהלי BUDR כדי להשיג את המטרה העיקרית להבטיח זאת את כל נתונים, תוכנות ומערכות קריטיות לעסקים ניתנים לשחזור לאחר מכן אובדן נתונים, הפרעה, הפרעה עסקית ו כשלים קריטיים.

בראש סדר העדיפויות, תוכניות BUDR צריכות:

• תיאור הליכי שחזור המכסים את כל המערכות והשירותים הקריטיים.
• להיות מסוגל לייצר עותקים מעשיים של כל מערכות, נתונים או יישומים שהם חלק מעבודת גיבוי.
• לשרת את הדרישות המסחריות והתפעוליות של הארגון (ראה ISO 27002 בקרה 5.30).
• אחסן גיבויים במיקום מוגן סביבתי הנפרד פיזית מנתוני המקור (ראה ISO 27002 בקרה 8.1).
• בדוק והעריך באופן קבוע עבודות גיבוי מול זמני השחזור המוגדרים בארגונים, על מנת להבטיח זמינות נתונים.
• הצפין את כל נתוני הגיבוי הקשורים ל-PII.
• בדוק שוב אם יש אובדן נתונים לפני ביצוע עבודת גיבוי.
• הקפידו על מערכת דיווח המתריעה לצוות על מצב עבודות הגיבוי.
• חפשו לשלב נתונים מפלטפורמות מבוססות ענן שאינן מנוהלות ישירות על ידי הארגון, בעבודות גיבוי פנימיות.
• אחסן גיבויים בהתאם למדיניות שמירת PII מתאימה (ראה ISO 27002 בקרה 8.10).

ארגונים צריכים לפתח נהלים נפרדים העוסקים אך ורק ב-PII (אם כי כלולים במסגרת תוכנית ה-BUDR הראשית שלהם).

יש לקחת בחשבון הבדלים אזוריים בתקני PII BUDR (חוזי, משפטי ורגולטורי) בכל פעם שנוצרת עבודה חדשה, משרות מתוקנות או נתוני PII חדשים מתווספים לשגרת BUDR.

בכל פעם שעולה צורך לשחזר PII בעקבות תקרית BUDR, ארגונים צריכים לדאוג להחזיר את PII למצבו המקורי, ולבדוק את פעילויות השחזור כדי לפתור בעיות עם הנתונים החדשים.

ארגונים צריכים לנהל יומן של פעילות השחזור, כולל כל הצוות המעורב בשחזור, ותיאור של ה-PII ששוחזר.

ארגונים צריכים לבדוק עם כל סוכנויות מחוקקות או רגולטוריות ולוודא שהליכי שחזור ה-PII שלהם עולים בקנה אחד עם המצופה מהם כמעבד ובקר PII.

תמיכה בבקרות ISO 27002

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 סעיף 7.2.1 (זיהוי ומסמך מטרה) ו-EU GDPR סעיף 32 (4)

ארגונים צריכים קודם כל לזהות ולאחר מכן שיא הסיבות הספציפיות לעיבוד ה-PII שבו הם משתמשים.

מנהלי PII צריכים להיות בקיא מלאה בכל הסיבות השונות מדוע מעובד PII שלהם.

באחריות הארגון להעביר את הסיבות הללו למנהלי PII, יחד עם 'הצהרה ברורה' מדוע הם צריכים לעבד את המידע שלהם.

כל התיעוד צריך להיות ברור, מקיף ומובן בקלות על ידי כל מנהל PII שקורא אותו - כולל כל מה שקשור להסכמה, כמו גם עותקים של נהלים פנימיים (ראה ISO 27701 סעיפים 7.2.3, 7.3.2 ו-7.2.8).

תמיכה בבקרות ISO 27701

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 סעיף 7.4.5 (ביטול זיהוי ומחיקה של PII בסוף העיבוד) ו-EU GDPR סעיף 32 (1)(א)

ארגונים צריכים להשמיד לחלוטין כל PII שאינו ממלא עוד מטרה, או לשנות אותו באופן שמונע כל צורה של זיהוי עיקרי.

ברגע שהארגון יקבע שאין צורך לעבד PII בכל עת בעתיד, המידע צריך להיות נמחק or דה-מזוהה, כפי שהנסיבות מכתיבות.

ISO 27701 סעיף 8.2.2 (מטרות ארגוניות) ו-EU GDPR סעיף 32 (4)

מלכתחילה, יש לעבד PII רק בהתאם להוראות הלקוח.

חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.

ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.

תמיכה בסעיפים של ISO 27701 ובקרות ISO 27002

כיצד ISMS.online עוזר

לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי. אתה WILL ליהנות ממגוון של תכונות חזקות לחיסכון בזמן.

ISMS.online גם מקל עליך לקפוץ ישירות אל המסע שלך אל תאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.

למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.