מידע המאפשר זיהוי אישי (PII) הוא כל פיסת מידע המאשרת את זהותו של אדם.
ה-PII של אדם יכול לכלול את:
PII מהווה חלק מרכזי באסטרטגיית ניהול הנתונים של ארגון, והוא נושא מספר סיכונים רגולטוריים, חקיקתיים וחוזיים ייחודיים.
בקרה 5.34 עוסקת ב-PII בשלוש דרכים שונות:
שליטה 5.34 היא א בקרה מונעת זֶה שומר על סיכון על ידי יצירת קווים מנחים ונהלים העומדים בדרישות החוקיות, הסטטוטוריות, הרגולטוריות והחוזיות של ארגון הנוגעות ל אחסון, פְּרָטִיוּת ו . של PII על כל צורותיו.
| סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
|---|---|---|---|---|
| #מוֹנֵעַ | #סודיות #יושרה #זמינות | #לזהות #לְהַגֵן | #הגנת מידע #חוק ותאימות | #הֲגָנָה |
Control 5.34 מציין במפורש את קצין הפרטיות המואצל של ארגון (או מקבילה ארגונית) כאדם שצריך לפקח על עמידה ב-PII.
ארגונים צריכים להתייחס ל-PII כאל פונקציה עסקית ספציפית לנושא, ולפתח מדיניות הייחודית לארגון שלהם, ולקטגוריות של PII הנפוצות ביותר לתפעול היומיומי שלהם.
בראש ובראשונה, על הארגון לנסח, לפתח וליישם שורה של מדיניות הדואגת לשימור, פרטיות והגנה על PII, ולוודא כי הם מועברים לכל העובדים המעבדים PII ומשתמשים בהם - לא רק אלה המחויבים להתמודד עם זה כחלק מתפקידי העבודה שלהם.
PII צריך להיות מנוהל בצורה מובנית, ברורה ותמציתית. כדי להשיג זאת, שואל Control 5.34 ארגונים לנסח מדיניות המתחשבת בתפקידים, באחריות האישיים ובקרות נתונים בכל הארגון שלהם.
הדרך הקלה והיעילה ביותר להשיג זאת היא לאמץ גישה מלמעלה למטה הכוללת קצין פרטיות, שתפקידו להנחות עובדים וארגוני צד שלישי בנושא PII, ולהציע ייעוץ להנהלה הבכירה בנושא כיצד להמשיך לעמוד בהתחייבויות הארגון.
לצד הנחיות רגולטוריות, חקיקתיות וחוזיות, א הארגון צריך גם ליישם אמצעים טכניים ותפעוליים העוסקים בטיפול המעשי ב-PII כפי שהוא מאוחסן בעסק וזורם בו.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
חקיקת PII משתנה ממדינה למדינה, אפילו בתוך טריטוריות המכילות ממשלות משולבות או ממשלות לא פדרליות.
ארגונים צריכים לבצע ביקורת דרישות עיבוד הפרטים האישיים שלהם ושקול כל השלכות חוצות גבולות הנובעות מאיסוף, עיבוד או הפצה של מידע אישי בתוך תחומי שיפוט נפרדים.
בעוד ISO 27002: 2022 אינו מציע הנחיות נוספות כיצד להשיג זאת, מספר מסמכי ISO נכנסים לפרטים נוספים בנושא, כולל:
27002:2022-5.34 מחליף את 27002:2013-18.1.4 (פרטיות והגנה על מידע אישי מזהה).
27002:2022-5.34 הוא כמעט עותק של קודמו משנת 2013, עם שני יוצאי דופן בולטים.
הפלטפורמה מבוססת הענן שלנו מספקת לך מסגרת חזקה של בקרות אבטחת מידע כדי שתוכל רשימת בדיקה לתהליך ה-ISMS שלך תוך כדי תנועה כדי להבטיח שהוא עומד בדרישות ISO 27k. בשימוש נכון, האיזמים. באינטרנט יכול לסייע לך בהשגת הסמכה במינימום זמן ומשאבים.
צור קשר עוד היום כדי הזמן הדגמה.
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 5.7 | חדש | אינטליגנציה מאיימת |
| 5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
| 5.30 | חדש | מוכנות ICT להמשכיות עסקית |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 8.9 | חדש | ניהול תצורה |
| 8.10 | חדש | מחיקת מידע |
| 8.11 | חדש | מיסוך נתונים |
| 8.12 | חדש | מניעת דליפת נתונים |
| 8.16 | חדש | פעילויות ניטור |
| 8.23 | חדש | סינון אינטרנט |
| 8.28 | חדש | קידוד מאובטח |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 6.1 | 07.1.1 | סריקה |
| 6.2 | 07.1.2 | תנאי העסקה |
| 6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| 6.4 | 07.2.3 | תהליך משמעתי |
| 6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
| 6.6 | 13.2.4 | הסכמי סודיות או סודיות |
| 6.7 | 06.2.2 | עבודה מרחוק |
| 6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
| מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
|---|---|---|
| 7.1 | 11.1.1 | היקפי אבטחה פיזית |
| 7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
| 7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| 7.4 | חדש | ניטור אבטחה פיזית |
| 7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| 7.6 | 11.1.5 | עבודה באזורים מאובטחים |
| 7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
| 7.8 | 11.2.1 | מיקום ומיגון ציוד |
| 7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
| 7.11 | 11.2.2 | כלי עזר תומכים |
| 7.12 | 11.2.3 | אבטחת כבלים |
| 7.13 | 11.2.4 | תחזוקת ציוד |
| 7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
