GDPR סעיף 5 מכיל את המידע הרב ביותר שיש לקחת בחשבון מנקודת מבט של ISO.
ניתן לראות את סעיף 5, במידה רבה, כמערכת של עקרונות ביסוד הזורם בכל החקיקה של בריטניה והאיחוד האירופי, המקיפים תחומי ציות רבים, כולל:
ארגונים צריכים להיות בקיאים מלאים בסעיף 5, כדי להבין טוב יותר את הניואנסים העדינים ש-GDPR מציג בתחומים אחרים של החקיקה.
עקרונות הנוגעים לעיבוד נתונים אישיים
- הנתונים האישיים יהיו:
- (א) מעובד כדין, הוגן ושקוף ביחס לנושא הנתונים ('חוקיות, הגינות ושקיפות');
- (ב) נאסף למטרות מוגדרות, מפורשות ולגיטימיות ולא מטופל נוסף באופן שאינו עולה בקנה אחד עם אותן מטרות; עיבוד נוסף למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעיות או היסטוריות או למטרות סטטיסטיות, לא ייחשב, בהתאם לסעיף 89(1), כלא תואם את המטרות הראשוניות ('הגבלת מטרה');
- (ג) הולם, רלוונטי ומוגבל לנדרש ביחס למטרות שלשמן הם מעובדים ('מזעור נתונים');
- (ד) מדויק ובמידת הצורך מתעדכן; יש לנקוט כל צעד סביר על מנת להבטיח כי נתונים אישיים שאינם מדויקים, בהתחשב במטרות שלשמן הם מעובדים, יימחקו או יתוקנו ללא דיחוי ("דיוק");
- (ה) נשמר בצורה המאפשרת זיהוי של נושאי מידע ללא יותר מהדרוש למטרות שלשמן מעובדים הנתונים האישיים; ניתן לאחסן נתונים אישיים לתקופות ארוכות יותר ככל שהנתונים האישיים יעובדו אך ורק למטרות ארכיון למען האינטרס הציבורי, למטרות מחקר מדעיות או היסטוריות או למטרות סטטיסטיות בהתאם לסעיף 89(1) בכפוף ליישום התנאים הטכניים והארגוניים המתאימים. אמצעים הנדרשים בתקנה זו על מנת לשמור על הזכויות והחירויות של נושא המידע ('הגבלת אחסון');
- (ו) מעובד באופן המבטיח אבטחה נאותה של הנתונים האישיים, לרבות הגנה מפני עיבוד בלתי מורשה או בלתי חוקי ומפני אובדן, הרס או נזק בשוגג, תוך שימוש באמצעים טכניים או ארגוניים מתאימים ('שלמות וסודיות');
- הבקר יהיה אחראי ויוכל להוכיח ציות לסעיף 1 ("אחריות").
מנקודת מבט טכנית, סעיף 5 מספק במידה רבה את המסגרת המשפטית שבתוכה ארגונים צריכים לפעול, על מנת להישאר תאימות, על פני שישה עקרונות מנחים:
למרות שהוא מעורפל להפליא, 'הוגנות' היא דרישה כוללת של ה-GDPR, ומשמשת ככלי פרשני למצב שאולי אינו מפר את לשון החוק, אך ברור שאינה 'הוגנת' מנקודת המבט של הפרט ושלו. זכויות.
'שקיפות' מחייבת שהנושא במידע יהיה מודע לחלוטין לעיבוד הנתונים שלו. GDPR מחייב שהמידע המסופק לנושא הנתונים חייב להיות מסופק בתוך מסגרת זמן סבירה, נגיש בקלות וללא שגיאות.
סעיף 5 של ה-GDPR קובע כי כל מידע אישי שנאסף צריך להיות מוגבל למטרות ספציפיות ולגיטימיות מאוד, ואין לנכס אותו מחדש לשום מטרה אחרת מזו שנועדה במקור.
מזעור נתונים לפי סעיף 5 של GDPR מוגדר בשני מונחים - 'עיבוד' ו'מטרה'. בעיקרו של דבר, ארגונים צריכים להבטיח שהם מעבדים נתונים רק לרמה המינימלית, כדי להגשים את מטרתו הראשונית.
יש לשמור על נתונים מדויקים ומעודכנים בכל עת. אם נמצא כי הנתונים אינם מדויקים, סעיף 5 קובע כי על ארגונים לנקוט 'צעדים סבירים' כדי לתקן כל טעויות שנעשו. בסך הכל, אנשים צריכים להיות מיוצגים כראוי על ידי הנתונים המוחזקים עליהם, כך שכל החלטה שתתקבל לא תתקבל מתוך רושם שווא של מי הם.
ארגונים צריכים להיות מודעים לעובדה שפעולות העיבוד לא צריכות להימשך לנצח. לאחר הגשמת קבוצה ראשונית של יעדים, עיבוד הנתונים צריך להפסיק. כדי להשיג זאת, ארגונים צריכים להגדיר זמני אחסון לפני עיבוד נתונים.
אם אינך משתמש ב-ISMS.online, אתה הופך את חייך לקשים יותר ממה שהם צריכים להיות!
פעולות העברת מידע צריכות:
בעת שימוש במתקני העברה אלקטרוניים, ארגונים צריכים:
בעת העברת מדיה פיזית (כולל מסמכי נייר) בין הנחות או מיקומים חיצוניים, ארגונים צריכים:
העברה מילולית של מידע רגיש מהווה סיכון אבטחה ייחודי, במיוחד כאשר מדובר בהגנה על פרטיות ופרטיות.
ארגונים צריכים להזכיר לעובדים:
ארגונים צריכים להשתמש בהסכמי סודיות (NDAs) והסכמי סודיות כדי להגן על גילוי מכוון או בשוגג של מידע רגיש לעובדים לא מורשים.
בעת ניסוח, יישום ותחזוקה של הסכמים כאלה, ארגונים צריכים:
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות המשפטיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 בקרות 5.31, 5.32, 5.33 ו-5.34).
יש לפתח נהלי אבטחת יישומים לצד מדיניות הגנה רחבה יותר על פרטיות, בדרך כלל באמצעות הערכת סיכונים מובנית הלוקחת בחשבון משתנים מרובים.
דרישות אבטחת האפליקציה צריכות לכלול:
שירותים עסקיים המקלים על זרימת נתוני הפרטיות בין הארגון לבין ארגון צד שלישי, או ארגון שותף, צריכים:
עבור כל יישום הכרוך בהזמנה אלקטרונית ו/או תשלום, ארגונים צריכים:
אני בהחלט ממליץ על ISMS.online, זה מקל על ההגדרה והניהול של ה-ISMS שלך.
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
ארגונים צריכים לבחור בקפידה נתוני בדיקה כדי להבטיח שפעילות הבדיקה היא אמינה ומאובטחת כאחד. ארגונים צריכים להקדיש תשומת לב נוספת כדי להבטיח ש-PII לא יועתק לסביבות הפיתוח והבדיקה.
על מנת להגן על נתונים תפעוליים במהלך פעילויות הבדיקה, ארגונים צריכים:
כאשר מתייחסים לאבטחה בתוך קשרי ספקים, ארגונים צריכים לוודא ששני הצדדים מודעים למחויבויותיהם כלפי אבטחת מידע פרטיות, וזה לזה.
בעשותם זאת, ארגונים צריכים:
ארגונים צריכים גם לשמור על א מרשם ההסכמים, שמפרטת את כל ההסכמים שנערכו עם ארגונים אחרים.
על מנת ליצור מדיניות ניהול אירועים מגובשת ומתפקדת היטב, אשר שומרת על הזמינות והשלמות של מידע פרטיות במהלך אירועים קריטיים, ארגונים צריכים:
הצוות המעורב בתקריות אבטחת מידע פרטיות צריך להבין:
כאשר עוסקים באירועי אבטחת מידע פרטיות, הצוות צריך:
פעילויות הדיווח צריכות להתרכז סביב 4 תחומים מרכזיים:
הרגשנו כאילו יש לנו
הטוב משני העולמות. היינו
מסוגל להשתמש שלנו
תהליכים קיימים,
והאמץ, הסתגל
התוכן נתן לנו חדש
עומק ל-ISMS שלנו.
ארגונים צריכים לציית לדרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות כאשר:
ארגונים צריכים לפעול לפי נהלים המאפשרים להם לזהות, לנתח ו להבין חובות חקיקה ורגולטוריות - במיוחד אלה העוסקות בהגנה על פרטיות ובפרטיות מידע - בכל מקום שבו הן פועלות.
ארגונים צריכים להיות מודעים ללא הרף לחובותיהם להגנת הפרטיות בכל פעם שהם נכנסים להסכמים חדשים עם צדדים שלישיים, ספקים וקבלנים.
בעת פריסת שיטות הצפנה לחיזוק הגנת הפרטיות ושמירה על PII, ארגונים צריכים:
ארגונים צריכים לשקול ניהול רשומות על פני 4 תחומים מרכזיים:
כדי לשמור על מערכת רשומות פונקציונלית ששומרת על PII ומידע הקשור לפרטיות, ארגונים צריכים:
ארגונים צריכים ליישם מדיניות ספציפית לנושא העוסקת בקטגוריות שונות של התקני קצה וגרסאות תוכנה למכשירים ניידים, וכיצד יש להתאים בקרות אבטחה לשיפור אבטחת הנתונים.
מדיניות המכשיר הסלולרי, הנהלים ואמצעי האבטחה התומכים של ארגון צריכים לקחת בחשבון:
כל מי בארגון שמשתמש בגישה מרחוק צריך להיות מודע במפורש לכל מדיניות ונהלים של מכשירים ניידים החלים עליהם בהקשר של ניהול מכשירי קצה מאובטחים.
יש להורות למשתמשים:
ארגונים המאפשרים לעובדים להשתמש במכשירים בבעלות אישית צריכים לשקול גם את בקרות האבטחה הבאות:
בעת ניסוח נהלים העוסקים בקישוריות אלחוטית במכשירי קצה, ארגונים צריכים:
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
במקום להעמיד את כל המידע על בסיס שווה, על הארגון לסווג מידע על בסיס נושא ספציפי.
בעלי מידע צריכים לשקול ארבעה גורמים מרכזיים, בעת סיווג נתונים (במיוחד לגבי PII), אשר יש לבחון מעת לעת, או כאשר גורמים כאלה משתנים:
כדי לספק מסגרת תפעולית ברורה, יש למנות קטגוריות מידע בהתאם לרמת הסיכון המובנית, אם יתרחשו תקריות הפוגעות באחד מהגורמים לעיל.
כדי להבטיח תאימות בין פלטפורמות, ארגונים צריכים להעמיד את קטגוריות המידע שלהם לזמינות לכל צוות חיצוני שאיתו הם חולקים מידע, ולהבטיח שסכימת הסיווג של הארגון עצמו מובנת באופן נרחב על ידי כל הצדדים הרלוונטיים.
ארגונים צריכים להיזהר מסיווג חסר או להיפך, סיווג יתר של נתונים. הראשון יכול להוביל לטעויות בקיבוץ PII עם סוגי נתונים פחות רגישים, בעוד שהראשון מוביל לעתים קרובות להוצאות נוספות, סיכוי גדול יותר לטעות אנוש וחריגות בעיבוד.
תוויות הן חלק מרכזי בהבטחת מדיניות סיווג ה-PII של הארגון (ראה לעיל), ושניתן לזהות את הנתונים בבירור בהתאם לרגישותם (למשל, PII מסומן כמובדל מסוגי נתונים פחות חסויים).
נהלי תיוג PII צריכים להגדיר:
ISO מספק שפע של מרחב לארגונים לבחור את טכניקות התיוג שלהם, כולל:
בעת פיתוח מדיניות המסדירה את הטיפול בנכסי מדיה המעורבים באחסון PII, ארגונים צריכים:
בעת שימוש מחדש, שימוש חוזר או השלכה של מדיית אחסון, יש לנקוט נהלים חזקים כדי להבטיח ש-PII לא יושפע בשום אופן, כולל:
אם מכשירים ששימשו לאחסון PII נפגעים, על הארגון לשקול היטב אם נכון יותר להרוס מדיה כזו או לא לשלוח אותה לתיקון (שגוי בצד הראשון).
לִרְאוֹת ISO 27701 סעיף 6.5.3.1
אם יש להשליך מדיה מאותו PII שהוחזק בעבר, ארגונים צריכים ליישם נהלים המתעדים את השמדת ה-PII ונתונים הקשורים לפרטיות, כולל הבטחות קטגוריות שהם אינם זמינים עוד.
בעת יישום מדיניות העוסקת במדיה נשלפת, ארגונים צריכים:
ארגונים צריכים לשמור תיעוד יסודי של כל אמצעי אחסון המשמש לעיבוד מידע רגיש, כולל:
לאורך התהליך של ייעוד מחדש, שימוש חוזר או סילוק של אמצעי אחסון, ארגונים צריכים:
רישום המשתמש נשלט על ידי השימוש ב'זהויות' שהוקצו. זהויות מספקות לארגונים מסגרת לניהול גישת משתמשים ל-PII ולנכסים וחומרים הקשורים לפרטיות, בגבולות הרשת.
הארגון צריך לעקוב אחר שש נקודות הנחיה עיקריות, על מנת להבטיח שזהויות מנוהלות כהלכה, ו-PII מוגן בכל מקום שבו הוא מאוחסן, מעובד או נגיש:
ארגונים שעובדים בשיתוף פעולה עם ארגונים חיצוניים (במיוחד פלטפורמות מבוססות ענן) צריכים להבין את הסיכונים הכרוכים בפרקטיקות כאלה, ולנקוט צעדים כדי להבטיח שה-PII לא יושפע לרעה בתהליך (ראה ISO 27002 בקרות 5.19 ו-5.17).
ההצלחה האחרונה שלנו בהשגת הסמכות ISO 27001, 27017 ו-27018 נבעה במידה רבה מ-ISMS.online.
'זכויות גישה' קובעות את האופן שבו הגישה למידע אישי ומידע הקשור לפרטיות ניתנת וגם בוטלה, תוך שימוש באותה מערכת של עקרונות מנחים.
נהלי הגישה צריכים לכלול:
ארגונים צריכים לערוך סקירות תקופתיות של זכויות גישה ברחבי הרשת, כולל:
כוח אדם שעוזב את הארגון (במזיד או כעובד שפוטר), וכאלה שהם מושא בקשת שינוי, צריכים לתקן את זכויות הגישה שלהם בהתבסס על נהלי ניהול סיכונים חזקים, כולל:
חוזי העסקה וחוזי קבלן/שירות צריכים לכלול הסבר על מה שקורה בעקבות כל ניסיונות לגישה לא מורשית (ראה ISO 27002 בקרות 5.20, 6.2, 6.4, 6.6).
PII ונכסים הקשורים לפרטיות צריכים להיות מאוחסנים ברשת הכוללת מגוון של בקרות אימות, כולל:
כדי למנוע ולמזער את הסיכון של גישה לא מורשית ל-PII, ארגונים צריכים:
מידע אישי ופרטיות הקשורים לפרטיות נמצאים בסיכון במיוחד כאשר מתעורר צורך להיפטר, או לייעד מחדש נכסי אחסון ועיבוד - בין אם פנימית או בשותפות עם ספק צד שלישי מיוחד.
מעל לכל, ארגונים צריכים להבטיח שכל אמצעי אחסון המסומנים לסילוק, שהכילו PII, צריך להיות נהרס פיזית, ניגב or כתוב יתר על המידה (ראה ISO 27002 בקרת 7.10 ו-8.10).
כדי למנוע פגיעה ב-PII בכל דרך שהיא, בעת סילוק או שימוש חוזר בנכסים, ארגונים צריכים:
PII ומידע הקשור לפרטיות נמצאים בסיכון במיוחד כאשר צוות רשלני וקבלני צד שלישי אינם מצליחים לציית לאמצעי אבטחה במקום העבודה המגינים מפני צפייה מקרית או מכוונת של PII על ידי צוות לא מורשה.
ארגונים צריכים לנסח מדיניות ברורה בנושא שולחן עבודה ומדיניות מסך ברורה (על בסיס סביבת עבודה אחר סביבת עבודה אם יש צורך בכך) הכוללת:
כאשר ארגונים עוזבים יחד את המקום - כמו במהלך מעבר משרד או העברה דומה - אני צריך לעשות מאמצים להבטיח שלא יישאר מאחור שום תיעוד, לא בשולחנות ובמערכות תיוק, או כל תיעוד שאולי נפל למקומות לא ברורים.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך
הקדש 30 דקות כדי לראות כיצד ISMS.online חוסך לך שעות (ושעות!)
להזמין פגישהארגונים צריכים לנסח מדיניות ספציפית לנושא המתייחסת ישירות לאופן שבו הארגון מגבה את האזורים הרלוונטיים ברשת שלו על מנת להגן על PII ולשפר את החוסן מפני תקריות הקשורות לפרטיות.
יש לנסח נוהלי BUDR כדי להשיג את המטרה העיקרית להבטיח זאת את כל נתונים, תוכנות ומערכות קריטיות לעסקים ניתנים לשחזור לאחר מכן אובדן נתונים, הפרעה, הפרעה עסקית ו כשלים קריטיים.
בראש סדר העדיפויות, תוכניות BUDR צריכות:
ארגונים צריכים לפתח נהלים נפרדים העוסקים אך ורק ב-PII (אם כי כלולים במסגרת תוכנית ה-BUDR הראשית שלהם).
יש לקחת בחשבון הבדלים אזוריים בתקני PII BUDR (חוזי, משפטי ורגולטורי) בכל פעם שנוצרת עבודה חדשה, משרות מתוקנות או נתוני PII חדשים מתווספים לשגרת BUDR.
בכל פעם שעולה צורך לשחזר PII בעקבות תקרית BUDR, ארגונים צריכים לדאוג להחזיר את PII למצבו המקורי, ולבדוק את פעילויות השחזור כדי לפתור בעיות עם הנתונים החדשים.
ארגונים צריכים לנהל יומן של פעילות השחזור, כולל כל הצוות המעורב בשחזור, ותיאור של ה-PII ששוחזר.
ארגונים צריכים לבדוק עם כל סוכנויות מחוקקות או רגולטוריות ולוודא שהליכי שחזור ה-PII שלהם עולים בקנה אחד עם המצופה מהם כמעבד ובקר PII.
ISO מגדיר 'אירוע' ככל פעולה המבוצעת על ידי נוכחות/ישות דיגיטלית או פיזית במערכת מחשב.
יומני אירועים צריכים להכיל:
ISO מזהה 11 אירועים/רכיבים הדורשים רישום (ומקושרים לאותו מקור זמן - ראה ISO 27002 Control 8.17), על מנת לשמור על אבטחת PII ולשפר את הגנת הפרטיות הארגונית:
יומנים צריכים להיות מוגנים מפני שינויים לא מורשים או חריגות תפעוליות, כולל:
ארגונים צריכים לעסוק בטכניקות הבאות, על מנת לשפר אבטחה מבוססת יומן:
כאשר מתעורר צורך לספק יומנים לארגונים חיצוניים, יש לנקוט באמצעים קפדניים לשמירה על PII ומידע הקשור לפרטיות, בהתאם לתקני פרטיות הנתונים המקובלים (ראה ISO 27002 בקרה 5.34 והנחיה נוספת להלן).
יומנים יצטרכו לעבור ניתוח מעת לעת, על מנת לשפר את הגנת הפרטיות באופן כללי, וכדי לפתור ולמנוע פרצות אבטחה.
בעת ביצוע ניתוח יומן, ארגונים צריכים לקחת בחשבון:
ניטור יומנים מציע לארגונים את ההזדמנות להגן על PII במקור ולטפח גישה פרואקטיבית להגנה על פרטיות.
ארגונים צריכים:
ISO דורש מארגונים לנטר יומנים הנוגעים ל-PII באמצעות 'תהליך ניטור והתראה מתמשך ואוטומטי'. זה עשוי לחייב קבוצה נפרדת של נהלים המנטרים את הגישה ל-PII.
ארגונים צריכים להבטיח ש- בראש סדר העדיפויות - יומנים מספקים חשבון ברור של גישה ל-PII, כולל:
ארגונים צריכים להחליט'אם, מתי ואיךמידע על יומן PII צריך להיות זמין ללקוחות, כאשר כל קריטריון יהיה זמין באופן חופשי למנהלים עצמם ונקיטת הקפדה רבה על מנת להבטיח שמנהלי PII יוכלו לגשת רק למידע הנוגע אליהם.
ראה ISO 27701 סעיף 6.9.4.1
ארגונים צריכים להקדיש תשומת לב רבה להבטחת היומנים המכילים PII נשלטים כראוי, ולהפיק תועלת מניטור מאובטח.
יש להפעיל נהלים אוטומטיים שמוחקים או 'מבטלים מזהים' יומנים, בהתאם למדיניות שמירה שפורסמה (ראה ISO 27002 בקרה 7.4.7).
מנהלי PII צריכים להיות בקיא מלאה בכל הסיבות השונות מדוע מעובד PII שלהם.
באחריות הארגון להעביר את הסיבות הללו למנהלי PII, יחד עם 'הצהרה ברורה' מדוע הם צריכים לעבד את המידע שלהם.
כל התיעוד צריך להיות ברור, מקיף ומובן בקלות על ידי כל מנהל PII שקורא אותו - כולל כל מה שקשור להסכמה, כמו גם עותקים של נהלים פנימיים (ראה ISO 27701 סעיפים 7.2.3, 7.3.2 ו-7.2.8).
ISMS.online יחסוך לך זמן וכסף
קבל את הצעת המחיר שלךכדי להוות בסיס משפטי לעיבוד PII, ארגונים צריכים:
עבור כל נקודה שהוזכרה לעיל, ארגונים צריכים להיות מסוגלים להציע אישור מתועד
ארגונים צריכים גם לשקול כל 'קטגוריות מיוחדות' של PII הקשורות לארגון שלהם בסכימת סיווג הנתונים שלהם (ראה ISO 27701 סעיף 7.2.8) (הסיווגים עשויים להשתנות מאזור לאזור).
אם ארגונים חווים שינויים כלשהם בסיבות הבסיסיות שלהם לעיבוד PII, זה צריך לבוא לידי ביטוי מיד בבסיס המשפטי המתועד שלהם.
ארגונים צריכים להתקשר בחוזים כתובים ומחייבים עם כל מעבד PII חיצוני שבו הוא משתמש.
כל חוזים צריכים להבטיח שמעבד ה-PII מיישם את כל המידע הנדרש הכלול ב-ISO 27701 נספח B, תוך תשומת לב מיוחדת לבקרות הערכת סיכונים (ISO 27701 סעיף 5.4.1.2) וההיקף הכולל של פעילויות העיבוד (ראה ISO 27701 סעיף 6.12 ).
ארגונים צריכים להיות מסוגלים להצדיק את השמטת כל הבקרות הכלולות בנספח B, ביחסיהם עם מעבד ה-PII (ראה ISO 27701 סעיף 5.4.1.3).
ארגונים צריכים לשמור על מערכת יסודית של רשומות התומכות בפעולות ובחובות שלה כמעבד PII.
לרשומות (הידועות גם בשם 'רשימות מלאי') צריך להיות בעלים מוקצה, ועשויות לכלול:
ארגונים צריכים לנסח, לתעד וליישם נהלים המאפשרים למנהלי PII לגשת, לתקן ו/או למחוק PII שלהם.
נהלים צריכים לכלול מנגנונים שבאמצעותם מנהל ה-PII יכול לבצע את הפעולה הנ"ל, לרבות כיצד הארגון יודיע למנהל אם לא ניתן לבצע תיקונים.
ארגונים צריכים להתחייב לזמן תגובה שפורסם עבור כל בקשות הגישה, התיקון או המחיקה.
חשוב מאוד להעביר כל בקשות כאלה לצדדים שלישיים שהועברו PII (ראה ISO 27701 סעיף 7.3.7).
היכולת של מנהל PII לבקש תיקונים או מחיקות מוכתבת על ידי תחום השיפוט שבו פועל הארגון. ככזה, חברות צריכות להתעדכן בכל שינוי משפטי או רגולטורי המסדיר את התחייבויותיהן כלפי PII.
ארגונים צריכים להגביל את איסוף הפרטים האישיים שלהם על סמך שלושה גורמים:
ארגונים צריכים לאסוף PII רק - במישרין ובין בעקיפין - בהתאם לגורמים לעיל, ורק למטרות רלוונטיות והכרחיות למטרה המוצהרת שלהם.
בתור מושג, יש להקפיד על 'פרטיות כברירת מחדל' - כלומר, כל פונקציה אופציונלית צריכה להיות מושבתת כברירת מחדל.
ארגונים צריכים לנקוט בצעדים כדי להבטיח שה-PII מדויק, שלם ומעודכן, לאורך כל מחזור החיים שלו.
מדיניות אבטחת מידע ותצורות טכניות ארגוניות צריכות להכיל שלבים המבקשים למזער שגיאות לאורך פעולת עיבוד ה-PII שלו, כולל בקרות כיצד להגיב לאי דיוקים.
ארגונים צריכים לבנות נהלי 'מזעור נתונים', כולל מנגנונים כגון ביטול זיהוי.
יש להשתמש במזעור נתונים כדי להבטיח שאיסוף ועיבוד PII מוגבל ל'מטרה המזוהה' של כל פונקציה (ראה ISO 27701 סעיף 7.2.1).
חלק גדול מתהליך זה כרוך בתיעוד המידה שבה מידע ראשי PII צריך להיות מיוחס ישירות אליהם, וכיצד יש להשיג מזעור באמצעות מגוון שיטות זמינות.
ארגונים צריכים לתאר את הטכניקות הספציפיות בהן משתמשים כדי לבטל זיהוי של עקרונות PII, כגון:
ארגונים צריכים להשמיד לחלוטין כל PII שאינו ממלא עוד מטרה, או לשנות אותו באופן שמונע כל צורה של זיהוי עיקרי.
ברגע שהארגון קבע שאין צורך לעבד את ה-PII בכל עת בעתיד, המידע צריך להיות נמחק or דה-מזוהה, כפי שהנסיבות מכתיבות.
קבצים זמניים נוצרים ממספר סיבות טכניות, לאורך מחזור החיים של עיבוד PII ואיסוף, על פני יישומים, מערכות ופלטפורמות אבטחה רבות.
ארגונים צריכים להבטיח שהקבצים האלה יושמדו תוך פרק זמן סביר, בהתאם למדיניות שמירה רשמית.
דרך פשוטה לזהות את קיומם של קבצים כאלה היא לבצע בדיקות תקופתיות של קבצים זמניים ברחבי הרשת. קבצים זמניים כוללים לרוב:
ארגונים צריכים לדבוק במה שנקרא הליך איסוף אשפה שמוחק קבצים זמניים כאשר אין בהם עוד צורך.
לארגונים צריכים להיות מדיניות ונהלים ברורים המסדירים את אופן סילוק PII.
סילוק נתונים הוא נושא רחב היקף הכולל שורה של משתנים שונים, בהתבסס על טכניקת הסילוק הנדרשת ואופי הנתונים שנפטרים.
ארגונים צריכים לקחת בחשבון:
כל PII שמוגדר להעברה לארגון צד שלישי צריך להיעשות תוך הקפדה מרבית על המידע הנשלח, תוך שימוש באמצעים מאובטחים.
ארגונים צריכים להבטיח שרק צוות מורשה יוכל לגשת למערכות שידור, ועושים זאת בצורה שנבדקת בקלות במטרה היחידה להביא את המידע למקום בו הוא צריך להגיע ללא תקלות.
מלכתחילה, יש לעבד PII רק בהתאם להוראות הלקוח.
חוזים צריכים לכלול SLAs המתייחסים ליעדים הדדיים, וכל טווחי זמן קשורים בהם יש להשלים אותם.
ארגונים צריכים להכיר בזכותם לבחור בשיטות הייחודיות המשמשות לעיבוד PII, המשיגות באופן חוקי את מה שהלקוח מחפש, אך ללא צורך בקבלת הרשאות מפורטות לגבי האופן שבו הארגון מתנהל בעניין ברמה הטכנית.
ארגונים צריכים להבטיח שקבצים זמניים יושמדו תוך פרק זמן סביר, בהתאם למדיניות שמירה רשמית ונהלי מחיקה ברורים.
דרך פשוטה לזהות את קיומם של קבצים כאלה היא לבצע בדיקות תקופתיות של קבצים זמניים ברחבי הרשת.
ארגונים צריכים לדבוק במה שנקרא הליך איסוף אשפה שמוחק קבצים זמניים כאשר אין בהם עוד צורך.
בכל פעם שעולה הצורך בהעברת PII דרך רשת נתונים (כולל קישור ייעודי), ארגונים צריכים להיות עסוקים בהבטחת שה-PII יגיע לנמענים הנכונים, בזמן.
בעת העברת PII בין רשתות נתונים, ארגונים צריכים:
מאמר GDPR | סעיף ISO 27701 | בקרות ISO 27002 |
---|---|---|
סעיף 5(1)(ו) של EU GDPR | 6.10.2.1 | 5.13 8.7 8.24 |
סעיף 5(1) של GDPR של האיחוד האירופי | 6.10.2.4 | 5.31 5.32 5.33 5.34 |
סעיף 5(1)(ו) של EU GDPR | 6.11.1.2 | 5.17 8.2 8.5 |
סעיף 5(1)(ו) של EU GDPR | 6.11.3.1 | 8.10 8.11 |
סעיף 5(1)(ו) של EU GDPR | 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
סעיף 5(1)(ו) של EU GDPR | 6.15.1.1 | 5.20 |
סעיף 5 (2) של ה-EU GDPR | 6.15.1.3 | ללא חתימה |
סעיף 5(1)(ו) של EU GDPR | 6.3.2.1 | 8.9 8.16 |
סעיף 5(1)(ו) של EU GDPR | 6.5.2.1 | ללא חתימה |
סעיף 5(1)(ו) של EU GDPR | 6.5.2.2 | ללא חתימה |
סעיף 5(1)(ו) של EU GDPR | 6.5.3.1 | 5.14 |
סעיף 5(1)(ו) של EU GDPR | 6.5.3.2 | 5.14 |
סעיף 5(1)(ו) של EU GDPR | 6.6.2.1 | 5.17 5.19 |
סעיף 5(1)(ו) של EU GDPR | 6.6.2.2 | 5.9 5.20 6.2 6.4 6.6 |
סעיף 5(1)(ו) של EU GDPR | 6.6.4.2 | ללא חתימה |
סעיף 5(1)(ו) של EU GDPR | 6.8.2.7 | 7.10 8.10 |
סעיף 5(1)(ו) של EU GDPR | 6.8.2.9 | ללא חתימה |
סעיף 5(1)(ו) של EU GDPR | 6.9.3.1 | 5.30 8.1 8.10 |
סעיף 5(1)(ו) של EU GDPR | 6.9.4.1 | 5.34 8.11 8.17 8.18 |
סעיף 5(1)(ו) של EU GDPR | 6.9.4.2 | 5.34 8.11 8.17 8.18 |
סעיף 5 (1)(ב) של EU GDPR | 7.2.1 | ללא חתימה |
סעיף 5 (1)(א) של EU GDPR | 7.2.2 | ללא חתימה |
סעיף 5 (2) של ה-EU GDPR | 7.2.8 | ללא חתימה |
סעיף 5 (1)(ד) של EU GDPR | 7.3.6 | ללא חתימה |
סעיף 5 (1)(ב) של EU GDPR | 7.4.1 | ללא חתימה |
סעיף 5 (1)(ד) של EU GDPR | 7.4.3 | ללא חתימה |
סעיף 5 (1)(ג) של EU GDPR | 7.4.4 | ללא חתימה |
GDPR של האיחוד האירופי סעיף 5 (1)(ג), 5 (1)(ה) | 7.4.5 | ללא חתימה |
סעיף 5 (1)(ג) של EU GDPR | 7.4.6 | ללא חתימה |
סעיף 5 (1)(ו) של EU GDPR | 7.4.8 | ללא חתימה |
סעיף 5 (1)(ו) של EU GDPR | 7.4.9 | ללא חתימה |
האיחוד האירופי GDPR סעיף 5 (1)(א), 5 (1)(ב) | 8.2.2 | ללא חתימה |
סעיף 5 (1)(ג) של EU GDPR | 8.4.1 | ללא חתימה |
סעיף 5 (1)(ו) של EU GDPR | 8.4.3 | ללא חתימה |
פתרון ה-GDPR המלא שלך.
סביבה בנויה מראש המשתלבת בצורה חלקה במערכת הניהול שלך מאפשרת לך לתאר ולהדגים את הגישה שלך להגנה על נתוני לקוחות אירופיים ובריטים.
עם ISMS.online, אתה יכול לקפוץ ישר לתאימות ל-GDPR ולהפגין רמות הגנה החורגות מ"סבירות", והכל במיקום מאובטח אחד ותמיד פועל.
בשילוב עם גישת ההטמעה 'אמץ, הסתגל, הוסף' שלנו, פלטפורמת ISMS.online מציעה הדרכה מובנית בכל שלב, ומפחיתה את המאמץ הנדרש כדי להוכיח את תאימות ה-GDPR שלך. מספר תכונות חזקות לחיסכון בזמן יהיו זמינות גם עבורך.
למידע נוסף על ידי הזמנת הדגמה קצרה של 30 דקות.
הזמינו פגישה מעשית מותאמת
בהתבסס על הצרכים והמטרות שלך
הזמן את ההדגמה שלך