הבטחת העברות מידע מאובטחות: ISO 27701 סעיף 6.10.2 הסבר
מידע הוא לעתים קרובות בפגיע ביותר כאשר הוא מועבר ממקום אחד לאחר - פיזית, דיגיטלית או מילולית.
ארגונים צריכים להגן על PII שנמצא במעבר, ולספק לעובדים ולספקים סדרה ברורה של הנחיות כיצד להתנהל בעת העברת מידע ממקור אחד לאחר.
מה מכוסה בסעיף 27701 של ISO 6.10.2
ISO 27701 סעיף 6.10.2 מכיל 4 סעיפי משנה העוסקים בהגנה על פרטיות במסגרת העברת מידע. כל סעיף משנה תלוי במידע הנחיות מ ISO 27002:
- ISO 27701 6.10.2.1 – מדיניות ונהלים להעברת מידע (ISO 27002 בקרה 5.14).
- ISO 27701 6.10.2.2 – הסכמים להעברת מידע (ISO 27002 בקרה 5.14).
- ISO 27701 6.10.2.3 – העברת הודעות אלקטרוניות (ISO 27002 בקרה 5.14).
- ISO 27701 6.10.2.4 – הסכמי סודיות או סודיות (ISO 27002 בקרה 6.6).
שני סעיפי משנה מכילים הנחיות החלות בבריטניה GDPR חקיקה – (סעיפים 6.10.2.1 ו-6.10.2.4), ללא הנחיות נוספות הקשורות ל-PIMS או PII המוצעות מחוץ לנקודות ההדרכה הכלליות שכבר צוינו.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 6.10.2.1 - מדיניות ונהלים להעברת מידע
הפניות ISO 27002 בקרה 5.14
פעולות העברת מידע צריכות:
- התמקד בבקרות המונעות את יירוט, גישה לא מורשית, הַעתָקָה, שינוי, מסלול שגוי, הרס ו שלילת שירות של PII ומידע הקשור לפרטיות (ראה ISO 27002 Control 8.24).
- ודא שניתן לעקוב אחר המידע.
- סיווג רשימת אנשי קשר - כלומר בעלים, בעלי סיכונים וכו'.
- תיאור אחריות במקרה של אירוע ביטחוני.
- כלול מערכות תיוג ברורות ותמציתיות (ראה ISO 27002 בקרה 5.13).
- הבטח מתקן העברה אמין, כולל מדיניות ספציפית לנושא בנושא העברת נתונים (ראה ISO 27002 בקרה 5.10).
- הגדר קווים מנחים לשמירה וסילוק, לרבות כל חוקים והנחיות ספציפיים לאזור או למגזר.
העברה אלקטרונית
בעת שימוש במתקני העברה אלקטרוניים, ארגונים צריכים:
- נסה לזהות ולהגן מפני תוכניות זדוניות (ראה ISO 27002 בקרה 8.7).
- התמקד בהגנה על קבצים מצורפים.
- הקפד מאוד על שליחת מידע לכתובת הנכונה.
- מנדט לתהליך אישורים, לפני שהעובדים יוכלו להעביר מידע באמצעות 'שירותים ציבוריים חיצוניים' (למשל הודעות מיידיות), ולהפעיל שליטה רבה יותר על שיטות כאלה.
- הימנעו משימוש בשירותי SMS ומכשירי פקס, במידת האפשר.
העברות פיזיות (כולל אמצעי אחסון)
בעת העברת מדיה פיזית (כולל מסמכי נייר) בין הנחות או מיקומים חיצוניים, ארגונים צריכים:
- הגדר אחריות ברורה למשלוח וקבלה.
- הקפד להזין את פרטי הכתובת הנכונים.
- השתמש באריזה המציעה הגנה מפני נזק פיזי או חבלה.
- פעל עם רשימה של שליחים מורשים ושלוחי צד שלישי, כולל תקני זיהוי חזקים.
- שמור יומנים יסודיים של כל ההעברות הפיזיות, כולל פרטי הנמען, תאריכים ושעות העברות וכל אמצעי הגנה פיזיים.
העברות מילוליות
העברה מילולית של מידע רגיש מהווה סיכון אבטחה ייחודי, במיוחד כאשר מדובר בהגנה על פרטיות ופרטיות.
ארגונים צריכים להזכיר לעובדים:
- הימנע משיחות כאלה במקום ציבורי, או במיקום פנימי לא מאובטח.
- הימנע מהשארת הודעות דואר קוליות המכילות מידע רגיש או מוגבל.
- ודא שהאדם איתו הם מדברים הוא ברמה המתאימה כדי לקבל את המידע האמור, וליידע אותם על מה שעומד להיאמר לפני גילוי המידע.
- היו מודעים לסביבתם והבטיחו כי בקרות החדר מוצמדות.
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 סעיף 6.10.2.2 - הסכמים להעברת מידע
הפניות ISO 27002 בקרה 5.14
ראה ISO 27701 סעיף 6.10.2.1
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.10.2.3 – העברת הודעות אלקטרוניות
הפניות ISO 27002 בקרה 5.14
ראה ISO 27701 סעיף 6.10.2.1
ISO 27701 סעיף 6.10.2.4 - הסכמי סודיות או סודיות
הפניות ISO 27002 בקרה 6.6
ארגונים צריכים להשתמש בהסכמי סודיות (NDAs) והסכמי סודיות כדי להגן על גילוי מכוון או בשוגג של מידע רגיש לעובדים לא מורשים.
בעת ניסוח, יישום ותחזוקה של הסכמים כאלה, ארגונים צריכים:
- הציעו הגדרה למידע שיש להגן עליו.
- ציין בבירור את משך ההסכם הצפוי.
- ציין בבירור את כל הפעולות הנדרשות לאחר סיום ההסכם.
- כל אחריות המוסכמת על ידי חותמים מאושרים.
- בעלות על מידע (כולל IP וסודות מסחריים).
- כיצד מותר לחותמים להשתמש במידע.
- הגדר באופן ברור את זכותו של הארגון לפקח על מידע סודי.
- כל השלכה שתנבע מאי ציות.
- בודקים באופן קבוע את צורכי הסודיות שלהם, ומתקנים את ההסכמים העתידיים בהתאם.
חוקי הסודיות משתנים מתחום שיפוט לתחום שיפוט, וארגונים צריכים לשקול את ההתחייבויות המשפטיות והרגולטוריות שלהם בעת עריכת הסכם NDA והסכמי סודיות (ראה ISO 27002 בקרות 5.31, 5.32, 5.33 ו-5.34).
מאמרי GDPR ישימים
- סעיף 5 - (1)
- סעיף 25 – (1)(ו)
- סעיף 28 – (3)(ב)
- סעיף 38 - (5)
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.10.2.1 | מדיניות ונהלים להעברת מידע |
5.14 – העברת מידע עבור ISO 27002 | סעיף (5) |
| 6.10.2.2 | הסכמים להעברת מידע |
5.14 – העברת מידע עבור ISO 27002 | ללא חתימה |
| 6.10.2.3 | הודעות אלקטרוניות |
5.14 – העברת מידע עבור ISO 27002 | ללא חתימה |
| 6.10.2.4 | הסכמי סודיות או סודיות |
6.6 – הסכמי סודיות או סודיות עבור ISO 27002 | סעיף (5), (25), (28), (38) |
כיצד ISMS.online עוזר
בין אם אתה רק מתחיל להסתכל על פרטיות הנתונים, או מומחה המעוניין לשלב מספר תקנים ותקנות, התכונות שלנו קלות לשימוש ותתקדם ברגע שתתחבר.
- בנק סיכונים מובנה
- ROPA קל
- מקום מאובטח עבור DRR
למידע נוסף על ידי הזמנת הדגמה.
קפוץ לנושא
