ISO 27701 סעיף 6.5.3: שיטות עבודה מומלצות לאבטחת מדיה
מדיית ICT - בין אם ניתנת להסרה או סטטית - המשמשת לאחסון ולעיבוד PII נתפסת לעתים קרובות כנקודת הכאב העיקרית עבור ארגונים המעוניינים להישאר בצד הנכון של ההתחייבויות החוקיות, הרגולטוריות והחוזיות שלהם.
הקשיים בניהול מדיה נשלפת - וה-PII הכלולים בה - גדלים באופן אקספוננציאלי עם גודל הארגון ומספר העובדים המורשה להשתמש במכשירים כאלה.
בנוסף לשימוש התפעולי שלהם, יש להסיר את אמצעי האחסון בצורה נאותה מהרשת ולהיפטר כשהם אינם נחוצים עוד, וארגונים צריכים להבטיח שלא יישארו עקבות של כל PII או מידע הקשור לפרטיות לפני שימוש חוזר.
מה מכוסה בסעיף 27701 של ISO 6.5.3
כל סעיף בתוך ISO 27701 עוסק במושג PII, בהקשר של אמצעי אחסון:
- ISO 27701 6.5.3.1 - ניהול מדיה נשלפת (References ISO 27002 control 7.10)
- ISO 27701 6.5.3.2 - סילוק מדיה (References ISO 27002 control 7.10)
- ISO 27701 6.5.3.3 - העברת מדיה פיזית (References ISO 27002 control 7.10)
ISO 27701 סעיף 6.5.3 הוא an מיזוג של שלושה סעיפים קודמים של ISO 27002, שאוחדו כעת לסעיף אחד באיטרציה של 2022 - ISO 27002 7.10 (מדיה אחסון).
כל בקרה מכילה הנחיות נוספות הקשורות ל-PII השולטות בגישה של ארגון למדית אחסון.
בנוסף, כל סעיף משנה מכיל מספר נקודות הנחיה המתייחסות למאמרים ספציפיים במסגרת חקיקת ה-GDPR הבריטית.
שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.5.3.1 - ניהול של מדיה נשלפת
הפניות ISO 27002 בקרה 7.10
מדיית אחסון נשלפת
בעת פיתוח מדיניות המסדירה את הטיפול בנכסי מדיה המעורבים באחסון PII, ארגונים צריכים:
- פתח מדיניות ייחודית ספציפית לנושא המבוססת על דרישות מחלקתיות או מבוססות עבודה.
- ודא שמבקשים ומעניקים אישור מתאים, לפני שאנשי הצוות יוכלו להסיר מדיית אחסון מהרשת (כולל שמירה על רישום מדויק ועדכני של פעילויות כאלה).
- אחסן את המדיה בהתאם למפרטי היצרן, ללא כל נזק סביבתי.
- שקול להשתמש בהצפנה כתנאי מוקדם לגישה, או היכן שהדבר אינו אפשרי, ליישם אמצעי אבטחה פיזיים נוספים.
- צמצם למינימום את הסיכון לפגיעה ב-PII על ידי העברת מידע בין מדיית אחסון, לפי הצורך.
- הצג יתירות PII על ידי אחסון מידע מוגן על מספר נכסים בו זמנית.
- אשר רק את השימוש באמצעי אחסון בכניסות מאושרות (כלומר כרטיסי SD ויציאות USB), על בסיס נכס אחר נכס.
- עקוב מקרוב אחר העברת PII על מדיית אחסון, לכל מטרה.
- קח בחשבון את הסיכונים הגלומים בהעברה פיזית של אמצעי אחסון (ובאמצעות proxy, ה-PII הכלול בו), בעת העברת נכסים בין כוח אדם או מתחם (ראה ISO 27002 5.14).
שימוש חוזר וסילוק
בעת שימוש מחדש, שימוש חוזר או השלכה של מדיית אחסון, יש לנקוט נהלים חזקים כדי להבטיח ש-PII לא יושפע בשום אופן, כולל:
- פירמוט מדיית האחסון והבטחת שכל הפרטים האישיים יוסרו לפני שימוש חוזר (ראה ISO 27002 8.10), כולל שמירה על תיעוד הולם של כל הפעילויות הללו.
- השלכה מאובטחת של כל מדיה שאין לארגון שימוש נוסף בה, והיא שימשה לאחסון PII.
- אם סילוק מצריך מעורבות של צד שלישי, על הארגון לדאוג מאוד לוודא שהם שותפים ראויים ומתאימים לביצוע חובות כאלה, בהתאם לאחריות הארגון כלפי PII והגנה על הפרטיות.
- יישום נהלים המזהים אילו אמצעי אחסון זמינים לשימוש חוזר, או שניתן להיפטר מהם בהתאם.
אם מכשירים ששימשו לאחסון PII נפגעים, על הארגון לשקול היטב אם נכון יותר להרוס מדיה כזו או לא לשלוח אותה לתיקון (שגוי בצד הראשון).
הנחיות נוספות הקשורות ל-PII
ISO מזהיר ארגונים מפני שימוש בהתקני אחסון לא מוצפנים עבור כל פעילות הקשורה ל-PII.
בקרות ISO 27002 רלוונטיות
- ISO 27002 בקרת 5.14
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
- סעיף 32 – (1)(א)
ISO 27701 סעיף 6.5.3.2 – סילוק מדיה
הפניות ISO 27002 בקרה 7.10
ראה ISO 27701 סעיף 6.5.3.1.
הנחיות נוספות הקשורות ל-PII
אם יש להשליך מדיה מאותו PII שהוחזק בעבר, ארגונים צריכים ליישם נהלים המתעדים את השמדת ה-PII ונתונים הקשורים לפרטיות, כולל הבטחות קטגוריות שהם אינם זמינים עוד.
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.5.3.3 - העברת מדיה פיזית
הפניות ISO 27002 בקרה 7.10
ראה ISO 27701 סעיף 6.5.3.1.
הנחיות נוספות הקשורות ל-PII
ארגונים צריכים לנקוט משנה זהירות בעת הובלת אמצעי אחסון המכילים PII, להבדיל מקטגוריות נתונים סטנדרטיות.
יש לשמור תיעוד של כל המדיה הנכנסת והיוצאת המכילה PII, כולל:
- סוג מדיה (HDD, USB, כרטיס SD וכו').
- שולחים מורשים ונמענים פנימיים.
- תאריך ושעת ההעברה.
- כמות המדיה הפיזית שיש להעביר.
מאמרי GDPR ישימים
- סעיף 5 – (1)(ו)
- סעיף 32 – (1)(א)
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.5.3.1 | ניהול מדיה נשלפת | 7.10 - אמצעי אחסון עבור ISO 27002 | מאמרים (5), (32) |
| 6.5.3.2 | סילוק מדיה | 7.10 - אמצעי אחסון עבור ISO 27002 | סעיף (5) |
| 6.5.3.3 | העברת מדיה פיזית | 7.10 - אמצעי אחסון עבור ISO 27002 | מאמרים (5), (32) |
כיצד ISMS.online עוזר
ISMS.online מקל על ניהול מידע אישי באמצעות פתרון מעולה מבוסס ענן לתמיכה בתאימות ל-ISO 27701 בארגון שלך.
נוסף על כך יש לנו מומחי אבטחת מידע ומשאבים זמינים שידריכו אותך בתהליך ההסמכה של ISO 27701.
גלה עוד וקבל הדגמה ידיים על ידי הזמנת הדגמה.
