ISO 27701, סעיף 5.4, תכנון

ISO 27701 – סעיף 5.4 – תכנון

ISO/IEC 27701 סעיף 5.4 מתאר את דרישות התכנון עבור מערכת ניהול מידע פרטיות (PIMS), תוך התמקדות בהערכת סיכוני פרטיות, טיפול בסיכונים וקביעת יעדי פרטיות ניתנים למדידה המתואמים ליעדים הארגוניים ותאימות ל-GDPR.

תכנון תאימות לפרטיות: הבנת ISO 27701 סעיף 5.4

זה חיוני שלפני הטמעת PIMS, ארגונים יקבלו תמונה ברורה של המטרות הספציפיות להגנת הפרטיות/PII שלהם, בכל רמות פעולת אבטחת המידע שלהם.

הערכת סיכונים צריכה להיות מרכיב מרכזי בכל פרוטוקולי הגנת הפרטיות הכלל-ארגוניים, כולל הבנה כיצד להעריך ולנתח סיכונים, ו"טיפול בסיכונים" - תהליך של שינוי סיכונים באמצעות סדרה של אמצעים טכניים.

מה מכוסה בסעיף 27701 של ISO 5.4

ISO 27701 5.4 עוסק בצעדים שארגונים צריכים לנקוט בעת תכנון PIMS או מדיניות הגנת הפרטיות.

ISO 27701 5.4 מסתמך על הנחיות מ-ISO 27001 6.1 (פעולות לטיפול בסיכונים והזדמנויות), ומכיל הנחיות נוספות על פני ארבעה סעיפי משנה עיקריים:

ISO 27701 סעיף 5.4.1.1 (הפניות ISO 27001 Control 6.1.1)
ISO 27701 סעיף 5.4.1.2 (הפניות ISO 27001 Control 6.1.2)
ISO 27701 סעיף 5.4.1.3 (הפניות ISO 27001 Control 6.1.3)
ISO 27701 סעיף 5.4.2 (הפניות ISO 27001 Control 6.2)

שני סעיפי משנה (5.4.1.2 ו-5.4.1.3) מכילים שניהם הנחיות המתייחסות ישירות לסעיף 32 של GDPR, ליתר דיוק, סעיפים (1)(ב), (2).

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך

ISO 27701 סעיף 5.4.1.1 - כללי

הפניות ISO 27001 בקרה 6.1.1

באופן כללי, ארגונים צריכים לאמץ גישה ספציפית לסיכון לתכנון PIMS ש:

פועל לבניית PIMS המשיג קבוצה של מטרות ספציפיות להגנת הפרטיות.
שואף למגר לחלוטין או למזער כל תופעות לוואי.
שואפת לפיתוח מתמשך ולשיפור מצטבר של פעילויות הקשורות ל-PII והגנת הפרטיות.

בעת עריכת תוכנית, ארגונים צריכים:

שים לב לפעולות הספציפיות הדרושות לטיפול בסיכונים כלשהם, ויישם אותם ב-PIMS.
להעריך כל הזמן את הגישה שלהם.

בקרות ISO 27001 רלוונטיות

ההנחיה הכלולה במסגרת ISO 27701 5.4.1.1 קשורה קשר הדוק ליכולת של ארגון להבין את הדרישות שלו, ולציפיות של צוות פנימי וחיצוני ונושאי PII שהארגון מחזיק בנתונים שלהם.

ISO 27001 4.1 – הבנת הארגון וההקשר שלו.
ISO 27001 4.2 - הבנת הצרכים והציפיות של בעלי עניין.

ISO 27701 סעיף 5.4.1.2 – הערכת סיכוני אבטחת מידע

הפניות ISO 27001 בקרה 6.1.2

ארגונים צריכים למפות וליישם תהליך הערכת סיכוני הגנת הפרטיות ש:

כולל קריטריונים לקבלת סיכונים, למטרות ביצוע הערכות הגנת הפרטיות.
מספק מסגרת לניתוח בר השוואה של כל הערכות הגנת הפרטיות.
מצביע על סיכוני הגנת הפרטיות (ועליהם).
שוקל את הסכנות והסיכונים הכרוכים באובדן 'הסודיות, הזמינות והשלמות' של PII.
מנתח סיכוני הגנת הפרטיות לצד שלושה גורמים:

ההשלכות האפשריות שלהם.
ההסתברות שיתרחשו.
החומרה שלהם.

מנתח ומתעדף כל סיכונים שזוהו בהתאם לרמת הסיכון שלהם.

הנחיות נוספות ל-PIMS ו-PII

ארגונים צריכים למקד פעילויות הערכת סיכונים שלא רק מתייחסות לאבטחת מידע, אלא משלימות את היישום של PIMS, ולעיבוד ואחסון של PII.

ארגונים צריכים לזכור את ההשלכות לא רק על החברה עצמה, אלא על כל המנהלים של PII, צריכים להתרחש בעיות.

מאמרי GDPR ישימים

סעיף 32 – אבטחת עיבוד

סעיפים ישימים - (1)(ב), (2)

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך

ISO 27701 סעיף 5.4.1.3 – טיפול בסיכוני אבטחת מידע

הפניות ISO 27001 בקרה 6.1.3

ארגונים צריכים לנסח וליישם "תהליך טיפול בסיכונים" להגנת פרטיות/PII ש:

ליישם 'תוכנית טיפול בסיכון' להגנת הפרטיות.
מזהה כיצד PIMS צריך להתייחס לרמות סיכון אינדיבידואליות, בהתבסס על קבוצת תוצאות הערכה.
מדגיש סדרה של בקרות הנדרשות כדי ליישם טיפול בסיכוני הגנת הפרטיות.
הצלבה לכל בקרות המזוהות עם הרשימה המקיפה שסופקה על ידי ISO ב נספח A של ISO 27001.
לתעד ולהצדיק את השימוש בכל אמצעי הבקרה המשמשים ב"הצהרה על תחולה" רשמית.
בקש אישור מבעלי סיכונים כלשהם לפני סיום תוכנית טיפול בסיכוני הגנת הפרטיות הכוללת כל הגנה על פרטיות וסיכוני PII 'שארית'.

מאמרי GDPR ישימים

סעיף 32 – אבטחת עיבוד

סעיפים ישימים - (1)(ב), (2)

ISO 27701 סעיף 5.4.2 - יעדי אבטחת מידע ותכנון להשגתן

הפניות ISO 27001 בקרה 6.2

מטרות הגנת הפרטיות הארגוניות צריכות:

להיות מיושר עם מדיניות אבטחת מידע אחרת.
היה ניתן לכימות, למטרות דיווח והערכה.
שלב נתונים מהערכות סיכונים וטיפולי סיכונים.
להיות זמין לכל אנשי הצוות הרלוונטיים ונושאי הנתונים.
להיות משופר ומתעדכן ללא הרף בהתאם לתוצאות התפעוליות ולאירועים בעולם האמיתי.
תהיה מתועד.

לאורך תהליך התכנון, ארגונים צריכים להקים את הדברים הבאים:

כל משאבים שיידרשו.
למי תינתן בעלות על היעדים, במלואם או בחלקם.
מתי יעמדו ביעדים המוצהרים של ארגון.
כיצד יש לנתח נתונים.

בקרות תומכות מ-ISO 27001 ו-GDPR

מזהה סעיף ISO 27701	שם סעיף ISO 27701	דרישת ISO 27001	מאמרי GDPR משויכים
5.4.1.1	כללי	6.1.1 – היבטים כלליים בתכנון סביב סיכונים עבור ISO 27001	ללא חתימה
5.4.1.2	הערכת סיכוני אבטחת מידע	6.1.2 – הערכת סיכוני אבטחת מידע עבור ISO 27001	סעיף (32)
5.4.1.3	טיפול בסיכוני אבטחת מידע	6.1.3 – טיפול בסיכוני אבטחת מידע עבור ISO 27001	סעיף (32)
5.4.2	יעדי אבטחת מידע ותכנון להשגתן	6.2 – יעדי אבטחת מידע ותכנון להשגתן עבור ISO 27001	ללא חתימה

כיצד ISMS.online עוזר

עליך ליצור מערכת ניהול מידע פרטיות (PIMS) על מנת לעמוד בתקן ISO 27701. עם מערכת ניהול מידע פרטיות (PIMS) הבנויה מראש, תוכל לארגן ולטפל במידע על לקוחות, ספקים ועובדים במהירות וביעילות כדי לעמוד בדרישות ISO 27701.

ניתן להגדיר ולהפעיל הערכות פרטיות בקלות, החל מהערכות השפעה על הגנה על נתונים ועד להערכות מוכנות לרגולציה או לציות.

ראה את מגוון התכונות המלא שלנו לפי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

סעיפי ISO 27701

אנחנו מובילים בתחומנו