כיצד ISO 27701 מבטיח פרטיות במהלך העסקה: מדריך לסעיף 6.4.2
לארגונים יש חובה כלפי הצוות שלהם, שמרחיבה אותם ליידע את הצוות על המצופה מהם בהקשר של הגנת הפרטיות וה-PII – הן ברמה הכללית והן ברמה הספציפית לנושא.
בתפקידם כבקרי PII, ארגונים צריכים לספק תוכניות הכשרה ומודעות מתמשכות, ולהקפיד על מדיניות משמעתית חזקה המציבה ציפיות ברורות משני הצדדים, במקרה של הפרת מידע.
מה מכוסה בסעיף 27701 של ISO 6.4.2
ISO 27701 6.4.2 מכיל שלושה סעיפי משנה עיקריים העוסקים בהיבטים שונים של נושאי הגנת פרטיות ספציפיים לתעסוקה.
כל נושא מכיל הנחיות ממספר בקרות ISO 27002, המוצג בהקשר של ניהול מידע פרטיות ארגוני והגנת PII:
- ISO 27701 סעיף 6.4.2.1 - אחריות ניהול (הפניות ISO 27002 בקרה 5.4)
- ISO 27701 סעיף 6.4.2.2 - מודעות, חינוך והדרכה לאבטחת מידע (הפניות ISO 27002 בקרה 6.3)
- ISO 27701 סעיף 6.4.2.3 - נהלים משמעתיים (הפניות ISO 27002 בקרה 6.4)
הנחיות נוספות ספציפיות ל-PIMS המתייחסות לעיבוד של PII ניתן למצוא בסעיף 6.4.2.1, המקושר גם הוא לחקיקת GDPR בבריטניה.
שים לב שהשוואות GDPR מיועדות למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.4.2.1 – אחריות ניהולית
הפניות ISO 27002 בקרה 5.4
להנהלה יש תפקיד מרכזי בשמירה על תקני הגנת הפרטיות – גם בהיבט האדמיניסטרטיבי וגם בהבטחת שהצוות מבין מה מצופה מהם ומתנהל בהתאם.
ההנהלה הבכירה צריכה להבטיח שכל הצוות:
- הכירו באחריות האישית שלהם כלפי ניהול מידע פרטיות והגנת הפרטיות - הן באופן כללי, והן מנקודת מבט ספציפית לנושא - לפני שהם יורשו לקיים אינטראקציה עם PII ונכסים קשורים (ראה ISO 27002 6.3).
- מסופקים עם סט ברור של הנחיות ונהלים המסדירים את הגנת הפרטיות בהקשר של תפקידם.
- ניתנים למשאבים ורמות הסמכות המתאימות לתכנן פרויקטים/שינויים, ולעמוד במדיניות הגנת הפרטיות הכללית והנושאית של הארגון.
- הבן את תנאי העסקתם, הקשורים להגנת הפרטיות, ומה משמעותם בפועל.
- ניתנת הזדמנות לפתח את הבנתם בהגנת הפרטיות הן כרעיון והן כשיקול תפעולי מתמשך.
- להבין כיצד, ומסופקים להם האמצעים, להעביר באופן אנונימי הפרות של מדיניות הגנת הפרטיות ברחבי הארגון (הידוע גם בשם "הלשנות").
בקרות רלוונטיות
- ISO 27002 6.3
ISO 27701 סעיף 6.4.2.2 – מודעות, חינוך והדרכה לאבטחת מידע
הפניות ISO 27002 בקרה 6.3
הדרכה
הכשרה שוטפת במקום העבודה מבטיחה שהצוות מתעדכן במדיניות הגנת הפרטיות הארגונית (כללי ונושא ספציפי), שינויים בתוך חקיקת PII והנחיות רגולטוריות ספציפיות למגזר.
כגישה כללית, ארגונים צריכים ליישם תכניות הכשרה תקופתיות של צוות (כולל במהלך שלב ההצטרפות) המתואמים באופן ספציפי עם מדיניות הגנת הפרטיות הכללית והספציפית לנושא שלהם, ודרישות הקשורות ל-PIMS.
פורמטים של הדרכה יכולים לכלול:
- eLearning.
- ייעוץ אחד על אחד.
- אנשי הצוות מצלים זה על זה.
- סמינרי הכשרה ייעודיים שנערכו על ידי מומחי הגנת פרטיות ספציפיים לנושא או כללי.
- חונכות במקום העבודה.
צוות עם תפקיד מיוחד למלא בהגנה על הפרטיות - למשל צוות תחזוקת ICT - צריך ליהנות מתוכניות הכשרה מיוחדות שלוקחות בחשבון את התפקיד האינטגרלי שהם ממלאים בשמירה על PII.
תוכניות/מפגשי הכשרה צריכות להסתיים בהערכה המספקת לארגון מבט מלמעלה למטה על רמות הכשירות על בסיס עובד לעובד.
תוכניות מודעות
כדי להשלים את ההדרכה במקום העבודה, ארגונים צריכים גם להפעיל תוכניות מודעות להגנת הפרטיות המספקות לצוות מגוון חומרים המשמשים כנקודות מידע בנושא PII והגנת הפרטיות הארגונית.
תוכניות מודעות עשויות לכלול:
- עלונים.
- חוברות.
- פוסטרים למשרד.
- אתרי אינטרנט ייעודיים.
- מפגשי תדרוך צוותים.
מאמצי המודעות צריכים להיות ממוקדים ב:
- כיצד מתכננת ההנהלה לשמור על שמירה על הגנת הפרטיות בכל הארגון, ומי נקודות המגע העיקריות לעניינים הקשורים ל-PII.
- מהן דרישות הציות של הארגון, תוך התחשבות בחוקים, הוראות רגולטוריות, התחייבויות חוזיות והסכמי ספקים.
- הדגשת הצורך באחריות אישית בכל הנוגע להגנה על PII, ומהן ההשלכות להפרות פרוצדורליות מקריות או מכוונות.
- עקרונות אבטחת ICT בסיסיים, כגון אבטחת סיסמאות ודיווח על אירועים.
- כיצד אנשי צוות יכולים ליידע את עצמם על ההיבטים העדינים יותר של הגנת הפרטיות (קריאה נוספת, רשימות משאבים וכו').
הדרכה ספציפית נוספת ל-PIMS
יש להתייחס ל-PII כנושא המובהק שלו במסגרת תוכניות הכשרה להגנת הפרטיות.
הצוות צריך להיות מודע היטב להשלכות המשפטיות, המסחריות, המוניטין והמשמעתיות הספציפיות הנובעות מניצול שגוי ו/או טיפול לא נכון ב-PII.
הנחיות GDPR
- סעיף 39 – (1)(ב)
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.4.2.3 – נהלים משמעתיים
הפניות ISO 27002 בקרה 6.4
ארגונים צריכים לפתח נהלים משמעתיים הנותנים מענה לאנשים שהפרו את מדיניות הגנת הפרטיות הכללית או הספציפית לנושא.
לפני נקיטת צעדים משמעתיים, חשוב שהארגון יאשר שאכן התרחשה הפרת מדיניות (ראה ISO 27002 5.28).
נהלים משמעתיים צריכים לקחת בחשבון:
- האופי הבסיסי של הפרת הנתונים, ומהן ההשלכות השונות.
- המניעים של האדם הנוגע בדבר, והאם ההפרה הייתה מכוונת או לא.
- כמה פעמים האדם הפר את מדיניות הגנת הפרטיות.
- אם הפרט קיבל הכשרה מספקת על ההיבטים הרלוונטיים של הגנת הפרטיות.
- כל זכות פרט לאנונימיות, לאורך כל ההליך המשמעתי.
פעולות משמעתיות במקרה של הפרה מאושרת צריכות לשמש כגורם מרתיע לפעילות דומה, וצריכות לקחת בחשבון את חובות הארגון כבקר ומעבד PII, יחד עם כל החוקים הרלוונטיים, הנחיות רגולטוריות וחובות חוזיות.
בקרות רלוונטיות
- ISO 27002 5.28
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.4.2.1 | אחריות ניהול |
5.4 – אחריות ניהולית עבור ISO 27002 |
ללא חתימה |
| 6.4.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.3 – מודעות, חינוך והדרכה לאבטחת מידע עבור ISO 27002 |
סעיף (39) |
| 6.4.2.3 | נהלים משמעתיים |
6.4 - תהליך משמעתי עבור ISO 27002 |
ללא חתימה |
כיצד ISMS.online עוזר
כיסינו אותך.
אם מסיבה כלשהי אתה חווה חוסר ביטחון עצמי, יכולת או דחף לפעול במהלך המסע שלך ל-ISO 27701, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין או להמליץ על אחד מהשותפים המהימנים שלנו כדי לתת דחיפה למאמצים שלך.
כאן כדי לעזור כאשר אתה צריך את זה.
למידע נוסף על ידי הזמנת הדגמה.
