זה אולי נראה מובן מאליו לשקול אבטחת מידע לצד פרטיות מידע, אבל מה בדיוק קובעת תקנת הגנת המידע (GDPR) החדשה, הקרובה,?
למעשה, ה-GDPR אינו מכיל דרישות אבטחה ספציפיות. לפי סעיף 32, שכותרתו "בִּטָחוֹן", רק 135 מילים מתארות אותם:
"בהתחשב במצב החדש, בעלויות היישום ובאופי, היקפו, ההקשר ומטרות העיבוד, כמו גם הסיכון של סבירות וחומרה משתנים לזכויות וחירויות של אנשים טבעיים, הבקר והמעבד יהיו ליישם מתאים אמצעים טכניים וארגוניים כדי להבטיח רמת אבטחה הולמת לסיכון, לרבות, בין היתר, לפי העניין:
(א) פסאודונימיזציה והצפנה של נתונים אישיים;
(ב) היכולת להבטיח את הסודיות השוטפת, היושרה, הזמינות והחוסן של מערכות ושירותי עיבוד;
(ג) היכולת לשחזר את הזמינות והגישה ל מידע אישי במועד בזמן במקרה של אירוע פיזי או טכני;
(ד) תהליך לבדיקה, הערכה ובדיקה באופן קבוע הערכת האפקטיביות של אמצעים טכניים וארגוניים להבטחת האבטחה של העיבוד."
המילה 'מתאים' מוזכרת כאן 3 פעמים. אמנם זה נותן מידה מסוימת של גמישות בהגדרת הארגון בקרות אבטחה, זה גם טומן בחובו את הסיכון שהשקפה של הרגולטור עשויה להיות שונה משלך בכל הנוגע לאמצעי האבטחה שהצבת.
זה אומר שאתה צריך להיות מוכן להדגים ולהגן על הגישה שלך והיעילות התפעולית של בקרות האבטחה במקום.
כריס Zoladz*, מייסד יועצי מידע ופרטיות, Navigate LLC, ויו"ר לשעבר של האיגוד הבינלאומי למקצועני הפרטיות (IAPP) מציע...
ISMS.online יחסוך לך זמן וכסף לקראת הסמכת ISO 27001 ויהפוך אותו לפשוט לתחזוקה.
מנהל אבטחת מידע, בריאות יערה
התחלנו להשתמש בגיליונות אלקטרוניים וזה היה סיוט. עם פתרון ISMS.online, כל העבודה הקשה הייתה קלה.
1. השתמש ב- מוכר מסגרת אבטחה - אם הארגון שלך עדיין לא משתמש במסגרת אבטחה כגון ISO 27001/2 כדי להנחות את תוכנית האבטחה שלך, בחר מסגרת או שילוב של מסגרות ידועות שיידעו את מרכיבי תוכנית האבטחה הכוללת.
2. נהל את האבטחההסיכון - לא כל סיכונים ביטחוניים שווים ולא כל סיכונים ניתן או צריכים להתבטל. זה פשוט לא ריאלי, חסכוני או הכרחי. למרבה המזל, ה GDPR מכיר במציאות הזו. עם זאת, אתה עדיין צריך להעריך סיכוני אבטחה ולנקוט בצעדים סבירים כדי לצמצם סיכונים משמעותיים, ליישם בקרות פיצויים או להצדיק מדוע יתקבל סיכון בלתי מופחת. כל ארגון צריך להשתמש במסגרת סיכונים ולקיים תהליך להערכת סיכונים ולניהולם. אם לארגון שלך אין כרגע תהליך רשמי לזיהוי, תיעוד ו לנהל אבטחה סיכונים, למנף את ISO 27001, NIST או מסגרת אחרת כדי לבצע שיפורים. זה לא אומר שאתה צרכי הארגון ליישם כל אלמנט בכל מסגרת מסוימת, אך במקום זאת הוא ישמש כנקודת התחלה או התייחסות כדי לסייע להבטיח טיפול במרכיבים הדרושים של ניהול סיכונים.
3. התיעוד הוא החבר שלך — כאשר יש בעיה שמביאה לחקירה או ביקורת, הצלחת ההגנה של הארגון תהיה קשורה ישירות לעוצמת ה"הצג ותספר" שמוצג לרגולטור או למבקר. התיעוד הוא חלק ה"הצגה" של ההגנה שניתן להשתמש בו כדי להדגים שבקרות אבטחה קיימות (למשל, רשימה של כל העובדים שמסיימים את הדרכת האבטחה) ופועלות ביעילות (למשל, בקרת גישה יומנים מראים שניסיונות גישה לא מורשית למערכת עם נתונים אישיים זוהו ונחקרו). לשמור על רמה סבירה של תיעוד כדי להדגים ולהגן על בקרות האבטחה במקום.
4. כל הזמן "לקרוא ולהגיב" - הטכנולוגיה, הדרישות העסקיות והדרישות המשפטיות ישתנו ללא הרף עם הזמן. כתוצאה מכך, יצוצו סיכונים חדשים, ויהיה צורך בבקרות אבטחה חדשות או שונות. זה יהיה מחזור אינסופי ודורש שהארגון יתאים ושיכלל אותו באופן רציף תנוחת אבטחה להיענות לסיכונים חדשים. אבטחה, כמו פרטיות, היא תהליך מתמשך, לא פרויקט חד פעמי.
תקנים כמו ISO 27001:2013 מעודדים רציפות השבחה. על ידי חיצוני ביקורת, עם הסמכה עצמאית, תעניק ללקוחות שלך את הביטחון שהם צריכים כדי לראות שאתה שומר על ה-ISMS ועונה על הדרישה לביקורות שוטפות וניהול שוטף.
מכיוון שלקוחות עשויים גם להחזיק בדעות שונות לגבי בקרות האבטחה המתאימות, יישום תקן אחד מוכר היטב יעזור להימנע ממשיכה לכיוונים שונים.
ISMS.online מאפשר לתאר, להדגים ולהגן על פרטיות הנתונים שלך בקלות ונהלי אבטחת מידע ושולט.
השתמש במובנים מראש שלנו מסגרות GDPR ו-ISO 27001, מדיניות ובקרות ISO 27001 יחד עם כלים לניהול סיכונים ו כלים לניהול תהליכי עבודה אחרים נדרש על ידי GDPR.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה