GDPR סעיף 32 קובע את הצורך של ארגונים ליישם אמצעים שונים המשיגים רמת אבטחה נאותה בכל פעולת עיבוד הנתונים שלהם.
כדי להשיג זאת, ארגונים צריכים לקחת בחשבון:
אבטחת עיבוד
- בהתחשב בחדשנות, בעלויות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכון של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר והמעבד יישמו אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה המתאימה לסיכון, לרבות, בין היתר, לפי העניין:
- פסאודונימיזציה והצפנה של נתונים אישיים.
- היכולת להבטיח את הסודיות השוטפת, היושרה, הזמינות והחוסן של מערכות ושירותי עיבוד.
- היכולת לשחזר את הזמינות והגישה לנתונים אישיים בזמן במקרה של אירוע פיזי או טכני.
- תהליך לבדיקה, הערכה והערכה שוטפת של יעילותם של אמצעים טכניים וארגוניים להבטחת אבטחת העיבוד.
- בהערכת רמת האבטחה המתאימה יילקח בחשבון במיוחד הסיכונים שמוצגים בעיבוד, בפרט מהרס מקרי או בלתי חוקי, אובדן, שינוי, חשיפה לא מורשית של או גישה לנתונים אישיים המועברים, מאוחסנים או מעובדים בדרך אחרת.
- הקפדה על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח עמידה בדרישות המפורטות בסעיף 1 של סעיף זה.
- הבקר והמעבד ינקטו צעדים על מנת להבטיח שכל אדם טבעי הפועל בסמכותו של הבקר או המעבד שיש לו גישה לנתונים אישיים לא יעבד אותם אלא בהוראת הבקר, אלא אם כן הוא נדרש לעשות כן על ידי חוק האיחוד או המדינות החברות.
אבטחת עיבוד
- בהתחשב בחדשנות, בעלויות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכון של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר והמעבד יישמו אמצעים טכניים וארגוניים מתאימים כדי להבטיח רמת אבטחה המתאימה לסיכון, לרבות, בין היתר, לפי העניין:
- פסאודונימיזציה והצפנה של נתונים אישיים.
- היכולת להבטיח את הסודיות השוטפת, היושרה, הזמינות והחוסן של מערכות ושירותי עיבוד.
- היכולת לשחזר את הזמינות והגישה לנתונים אישיים בזמן במקרה של אירוע פיזי או טכני.
- תהליך לבדיקה, הערכה והערכה שוטפת של יעילותם של אמצעים טכניים וארגוניים להבטחת אבטחת העיבוד.
- בהערכת רמת האבטחה המתאימה יילקח בחשבון במיוחד הסיכונים שמוצגים בעיבוד, בפרט מהרס מקרי או בלתי חוקי, אובדן, שינוי, חשיפה לא מורשית של או גישה לנתונים אישיים המועברים, מאוחסנים או מעובדים בדרך אחרת.
- הקפדה על קוד התנהגות מאושר כאמור בסעיף 40 או מנגנון הסמכה מאושר כאמור בסעיף 42 עשויה לשמש כמרכיב שבאמצעותו ניתן להוכיח עמידה בדרישות המפורטות בסעיף 1 של סעיף זה.
- הבקר והמעבד ינקטו צעדים על מנת להבטיח שכל אדם טבעי הפועל בסמכותו של הבקר או המעבד שיש לו גישה לנתונים אישיים לא יעבד אותם אלא בהוראת הבקר, אלא אם כן הוא נדרש לעשות כן על ידי החוק הפנימי.
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
סעיף 32 של GDPR מבקש מארגונים לנקוט בגישה מבוססת סיכונים לעיבוד נתונים הלוקחת בחשבון מספר משתנים מרכזיים:
ארגונים צריכים לעבור תרגיל מיפוי המפרט גורמים פנימיים וחיצוניים כאחד הקשורים ליישום PIMS.
הארגון צריך להיות מסוגל להבין כיצד הוא הולך להשיג את תוצאות ההגנה על הפרטיות שלו, ויש לזהות ולטפל בכל נושא שעומד בדרכו להגנה על PII.
לפני ניסיון לטפל בהגנה על הפרטיות ולהטמיע PII, ארגונים צריכים קודם כל להבין את החובות שלהם כבקר ו/או מעבד PII יחיד או משותף.
זה כולל:
ISO ממליצה על תרגיל scoping יסודי, כך שארגונים יוכלו לייצר PIMS שתחילה עומד בדרישות ההגנה על הפרטיות שלו, ושנית לא יתגנב לאזורים בעסק שאינם זקוקים לתשומת לב.
ארגונים צריכים להקים ולתעד:
כל תרגילי ה-scoping הממפים יישום PIMS צריכים לכלול הערכה יסודית של פעילויות עיבוד ואחסון PII.
ארגונים צריכים לשאוף ליישם, לנהל ולייעל מערכת ניהול מידע פרטיות (PIMS), בהתאם לתקני ISO שפורסמו.
ארגונים צריכים למפות וליישם תהליך הערכת סיכוני הגנת הפרטיות ש:
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
ארגונים צריכים לנסח וליישם "תהליך טיפול בסיכונים" להגנת פרטיות/PII ש:
יש לפתח נהלי אבטחת יישומים לצד מדיניות הגנה רחבה יותר על פרטיות, בדרך כלל באמצעות הערכת סיכונים מובנית הלוקחת בחשבון משתנים מרובים.
דרישות אבטחת האפליקציה צריכות לכלול:
שירותים עסקיים המקלים על זרימת נתוני הפרטיות בין הארגון לבין ארגון צד שלישי, או ארגון שותף, צריכים:
עבור כל יישום הכרוך בהזמנה אלקטרונית ו/או תשלום, ארגונים צריכים:
כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.
בעשותם זאת, ארגונים צריכים:
ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.
בסעיף זה אנו מדברים על GDPR סעיפים 32 (1)(ב), 32 (1)(ד), 32 (2)
ארגונים צריכים לפתח תהליכים המספקים סקירות עצמאיות של נוהלי אבטחת מידע הפרטיות שלהם, כולל מדיניות ספציפית לנושא ומדיניות כללית.
ביקורות צריכות להתבצע על ידי:
הביקורות צריכות להיות עצמאיות ולהתבצע על ידי אנשים בעלי ידע מספק בהנחיות הגנת הפרטיות ובנהלים של הארגון.
על הבודקים לקבוע אם נוהלי אבטחת מידע פרטיות תואמים את "יעדי הארגון והדרישות המתועדות".
בנוסף לביקורות תקופתיות מובנות, ארגונים עשויים להיתקל בצורך לבצע ביקורות אד-הוק המופעלות על ידי אירועים מסוימים, כולל:
ארגונים צריכים להבטיח שאנשי הצוות יוכלו לעיין במדיניות הפרטיות על פני כל הספקטרום של הפעילות העסקית.
ההנהלה צריכה לפתח שיטות טכניות לדיווח על תאימות לפרטיות (כולל אוטומציה וכלים מותאמים אישית). יש לתעד, לאחסן ולנתח דוחות כדי לשפר עוד יותר את מאמצי האבטחה והגנת הפרטיות של PII.
כאשר מתגלות בעיות ציות, ארגונים צריכים:
חשוב מאוד לנקוט באמצעי תיקון בהקדם האפשרי. אם הבעיות לא נפתרו במלואן עד למועד הסקירה הבאה, לכל הפחות, יש לספק ראיות המוכיחות שמתבצעת התקדמות.
במקום להעמיד את כל המידע על בסיס שווה, על הארגון לסווג מידע על בסיס נושא ספציפי.
בעלי מידע צריכים לשקול ארבעה גורמים מרכזיים, בעת סיווג נתונים (במיוחד לגבי PII), אשר יש לבחון מעת לעת, או כאשר גורמים כאלה משתנים:
כדי לספק מסגרת תפעולית ברורה, יש למנות קטגוריות מידע בהתאם לרמת הסיכון המובנית, אם יתרחשו תקריות הפוגעות באחד מהגורמים לעיל.
כדי להבטיח תאימות בין פלטפורמות, ארגונים צריכים להעמיד את קטגוריות המידע שלהם לזמינות לכל צוות חיצוני שאיתו הם חולקים מידע, ולהבטיח שסכימת הסיווג של הארגון עצמו מובנת באופן נרחב על ידי כל הצדדים הרלוונטיים.
ארגונים צריכים להיזהר מסיווג חסר או להיפך, סיווג יתר של נתונים. הראשון יכול להוביל לטעויות בקיבוץ PII עם סוגי נתונים פחות רגישים, בעוד שהראשון מוביל לעתים קרובות להוצאות נוספות, סיכוי גדול יותר לטעות אנוש וחריגות בעיבוד.
בעת פיתוח מדיניות המסדירה את הטיפול בנכסי מדיה המעורבים באחסון PII, ארגונים צריכים:
בעת שימוש מחדש, שימוש חוזר או השלכה של מדיית אחסון, יש לנקוט נהלים חזקים כדי להבטיח ש-PII לא יושפע בשום אופן, כולל:
אם מכשירים ששימשו לאחסון PII נפגעים, על הארגון לשקול היטב אם נכון יותר להרוס מדיה כזו או לא לשלוח אותה לתיקון (שגוי בצד הראשון).
ISO מזהיר ארגונים מפני שימוש בהתקני אחסון לא מוצפנים עבור כל פעילויות הקשורות ל-PII.
אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.
ראה סעיף לעיל על ISO 27701 סעיף 6.5.3.1
אם יש להשליך מדיה מאותו PII שהוחזק בעבר, ארגונים צריכים ליישם נהלים המתעדים את השמדת ה-PII ונתונים הקשורים לפרטיות, כולל הבטחות קטגוריות שהם אינם זמינים עוד.
ארגונים צריכים להשתמש בהצפנה כדי להגן על סודיות, אותנטיות ו שלמות של PII ומידע הקשור לפרטיות, ולעמוד בהתחייבויות החוזיות, החוקיות או הרגולטוריות השונות שלהם.
הצפנה היא מושג מרחיק לכת - אין גישה של 'גודל אחד מתאים לכולם'. ארגונים צריכים להעריך את הצרכים שלהם ולבחור בפתרון קריפטוגרפי העונה על היעדים המסחריים והתפעוליים הייחודיים שלהם.
ארגונים צריכים לשקול:
נהלי ניהול מפתח צריכים להתפרס על פני 7 פונקציות עיקריות:
מערכות ניהול מפתחות ארגוניות צריכות:
ארגונים צריכים לנסח מדיניות ספציפית לנושא המתייחסת ישירות לאופן שבו הארגון מגבה את האזורים הרלוונטיים ברשת שלו על מנת להגן על PII ולשפר את החוסן מפני תקריות הקשורות לפרטיות.
יש לנסח נוהלי BUDR כדי להשיג את המטרה העיקרית להבטיח זאת את כל נתונים, תוכנות ומערכות קריטיות לעסקים ניתנים לשחזור לאחר מכן אובדן נתונים, הפרעה, הפרעה עסקית ו כשלים קריטיים.
בראש סדר העדיפויות, תוכניות BUDR צריכות:
ארגונים צריכים לפתח נהלים נפרדים העוסקים אך ורק ב-PII (אם כי כלולים במסגרת תוכנית ה-BUDR הראשית שלהם).
יש לקחת בחשבון הבדלים אזוריים בתקני PII BUDR (חוזי, משפטי ורגולטורי) בכל פעם שנוצרת עבודה חדשה, משרות מתוקנות או נתוני PII חדשים מתווספים לשגרת BUDR.
בכל פעם שעולה צורך לשחזר PII בעקבות תקרית BUDR, ארגונים צריכים לדאוג להחזיר את PII למצבו המקורי, ולבדוק את פעילויות השחזור כדי לפתור בעיות עם הנתונים החדשים.
ארגונים צריכים לנהל יומן של פעילות השחזור, כולל כל הצוות המעורב בשחזור, ותיאור של ה-PII ששוחזר.
ארגונים צריכים לבדוק עם כל סוכנויות מחוקקות או רגולטוריות ולוודא שהליכי שחזור ה-PII שלהם עולים בקנה אחד עם המצופה מהם כמעבד ובקר PII.
אנחנו לא יכולים לחשוב על אף חברה שהשירות שלה יכול להחזיק נר ל-ISMS.online.
ארגונים צריכים קודם כל לזהות ולאחר מכן שיא הסיבות הספציפיות לעיבוד ה-PII שבו הם משתמשים.
מנהלי PII צריכים להיות בקיא מלאה בכל הסיבות השונות מדוע מעובד PII שלהם.
באחריות הארגון להעביר את הסיבות הללו למנהלי PII, יחד עם 'הצהרה ברורה' מדוע הם צריכים לעבד את המידע שלהם.
כל התיעוד צריך להיות ברור, מקיף ומובן בקלות על ידי כל מנהל PII שקורא אותו - כולל כל מה שקשור להסכמה, כמו גם עותקים של נהלים פנימיים (ראה ISO 27701 סעיפים 7.2.3, 7.3.2 ו-7.2.8).
ארגונים צריכים להשמיד לחלוטין כל PII שאינו ממלא עוד מטרה, או לשנות אותו באופן שמונע כל צורה של זיהוי עיקרי.
ברגע שהארגון יקבע שאין צורך לעבד PII בכל עת בעתיד, המידע צריך להיות נמחק or דה-מזוהה, כפי שהנסיבות מכתיבות.
מלכתחילה, יש לעבד PII רק בהתאם להוראות הלקוח.
חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.
ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
סעיף 32 (3) של ה-EU GDPR | 5.2.1 | ללא חתימה |
סעיף 32 (2) של ה-EU GDPR | 5.2.3 | ללא חתימה |
סעיף 32 (2) של ה-EU GDPR | 5.2.4 | ללא חתימה |
האיחוד האירופי GDPR סעיפים 32 (1)(ב) ו-32 (2) | 5.4.1.2 | ללא חתימה |
סעיף 32 (1)(ב) של EU GDPR | 5.4.1.3 | ללא חתימה |
סעיף 32 (1)(א) של EU GDPR | 6.11.1.2 | 5.17 8.2 8.5 |
האיחוד האירופי GDPR סעיפים 32 (1)(ב) ו-32 (2) | 6.12.1.2 | 5.10 5.12 5.13 5.20 |
האיחוד האירופי GDPR סעיפים 32 (1)(ב), 32 (1)(ד) ו-32 (2) | 6.15.2.1 | ללא חתימה |
האיחוד האירופי GDPR סעיפים 32 (1)(ד) ו-(32)(2) | 6.15.2.3 | ללא חתימה |
סעיף 32 (2) של ה-EU GDPR | 6.5.2.1 | ללא חתימה |
סעיף 32 (1)(א) של EU GDPR | 6.5.3.1 | 5.14 |
סעיף 32 (1)(א) של EU GDPR | 6.5.3.3 | 5.14 |
סעיף 32 (1)(א) של EU GDPR | 6.7.1.1 | 5.31 8.24 |
סעיף 32 (1)(ג) של EU GDPR | 6.9.3.1 | 5.30 8.1 8.10 |
סעיף 32 (4) של ה-EU GDPR | 7.2.1 7.2.3 7.3.2 7.2.8 | ללא חתימה |
סעיף 32 (1)(א) של EU GDPR | 7.4.5 | ללא חתימה |
סעיף 32 (4) של ה-EU GDPR | 8.2.2 | ללא חתימה |
לפלטפורמת ISMS.online יש הדרכה מובנית בכל שלב בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' כך שהמאמץ הנדרש להדגמת הגישה שלך ל-GDPR מצטמצם באופן משמעותי. אתה WILL ליהנות ממגוון של תכונות חזקות לחיסכון בזמן.
ISMS.online גם מקל עליך לקפוץ ישירות אל המסע שלך אל תאימות ל-GDPR ולהפגין בקלות רמת הגנה החורגת מ"הגיונית", והכל במיקום מאובטח אחד ותמיד פועל.
למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך