ISO 27701 סעיף 7.4.1 – Limit Collection
מטרת סעיף 7.4.1
ארגונים צריכים להגביל את איסוף הפרטים האישיים שלהם על סמך שלושה גורמים:
- רלוונטיות.
- מידתיות.
- כּוֹרַח.
הנחיות לגבי סעיף 7.4.1
ארגונים צריכים לאסוף PII רק - במישרין ובין בעקיפין - בהתאם לגורמים לעיל, ורק למטרות רלוונטיות והכרחיות למטרה המוצהרת שלהם.
בתור מושג, יש להקפיד על 'פרטיות כברירת מחדל' - כלומר, כל פונקציה אופציונלית צריכה להיות מושבתת כברירת מחדל.
ISO 27701 סעיף 7.4.2 - הגבלת עיבוד
מטרת סעיף 7.4.2
כדי ללוות את ISO 27701 7.4.1, ארגונים צריכים גם לעבד PII רק אם הוא רלוונטי, מידתי והכרחי כדי להגשים מטרה מוצהרת.
הנחיות לגבי סעיף 7.4.2
עיבוד PII כולל:
- גילוי.
- אחסון.
- נגישות.
כל הפונקציות הנ"ל צריכות להתבצע ברמות המינימליות הנדרשות כדי להגשים מטרה.
ארגונים צריכים להגביל את העיבוד של PII בשילוב עם תהליכי אבטחת מידע, מדיניות ונהלים שפורסמו (ראה ISO 27701 סעיף 6.2).
סעיפי ISO 27701 רלוונטיים
- ISO 27701 6.2
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 7.4.3 - דיוק ואיכות
מטרת סעיף 7.4.3
ארגונים צריכים לנקוט בצעדים כדי להבטיח ש-PII הוא מדויק, להשלים ו עדכן, לאורך כל מחזור החיים שלו.
הנחיות לגבי סעיף 7.4.3
מדיניות אבטחת מידע ותצורות טכניות ארגוניות צריכות להכיל שלבים המבקשים למזער שגיאות לאורך פעולת עיבוד ה-PII שלו, כולל בקרות כיצד להגיב לאי דיוקים.
ISO 27701 סעיף 7.4.4 - יעדי מזעור PII
מטרת סעיף 7.4.4
ארגונים צריכים לבנות נהלי 'מזעור נתונים', כולל מנגנונים כגון ביטול זיהוי.
הנחיות לגבי סעיף 7.4.4
יש להשתמש במזעור נתונים כדי להבטיח שאיסוף ועיבוד PII מוגבל ל'מטרה המזוהה' של כל פונקציה (ראה ISO 27701 סעיף 7.2.1).
חלק גדול מתהליך זה כרוך בתיעוד המידה שבה מידע ראשי PII צריך להיות מיוחס ישירות אליהם, וכיצד יש להשיג מזעור באמצעות מגוון שיטות זמינות.
ארגונים צריכים לתאר את הטכניקות הספציפיות בהן משתמשים כדי לבטל זיהוי של עקרונות PII, כגון:
- אקראי.
- תוספת רעש.
- הַכלָלָה.
- הסרת תכונה.
סעיפי ISO 27701 רלוונטיים
- ISO 27701 7.2.1
ISO 27701 סעיף 7.4.5 - ביטול זיהוי ומחיקה של PII בסוף העיבוד
מטרת סעיף 7.4.5
ארגונים צריכים להשמיד לחלוטין כל PII שאינו ממלא עוד מטרה, או לשנות אותו באופן שמונע כל צורה של זיהוי עיקרי.
הנחיות לגבי סעיף 7.4.5
ברגע שהארגון קבע שאין צורך לעבד את ה-PII בכל עת בעתיד, המידע צריך להיות נמחק or דה-מזוהה, כפי שהנסיבות מכתיבות.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
ISO 27701 סעיף 7.4.6 - קבצים זמניים
מטרת סעיף 7.4.6
קבצים זמניים נוצרים ממספר סיבות טכניות, לאורך מחזור החיים של עיבוד PII ואיסוף, על פני יישומים, מערכות ופלטפורמות אבטחה רבות.
ארגונים צריכים להבטיח שהקבצים האלה יושמדו תוך פרק זמן סביר, בהתאם למדיניות שמירה רשמית.
הנחיות לגבי סעיף 7.4.6
דרך פשוטה לזהות את קיומם של קבצים כאלה היא לבצע בדיקות תקופתיות של קבצים זמניים ברחבי הרשת. קבצים זמניים כוללים לרוב:
- קבצי עדכון מסד נתונים.
- מידע שמור.
- קבצים שנוצרו על ידי יישומים וחבילות תוכנה מותאמות אישית.
ארגונים צריכים לדבוק במה שנקרא הליך איסוף אשפה שמוחק קבצים זמניים כאשר אין בהם עוד צורך.
ISO 27701 סעיף 7.4.7 - שימור
מטרת סעיף 7.4.7
חשוב מאוד שארגונים יכירו בהתחייבויות שלהם למחוק ו/או להיפטר מ-PII שאינו הכרחי עוד להשגת מטרה מוצהרת.
הנחיות לגבי סעיף 7.4.7
ארגונים צריכים לנסח ולעמוד בלוחות זמנים קטגוריים לשמירה המתארים את פרק הזמן המדויק שמנהלי PII יכולים לצפות שהנתונים שלהם יאוחסנו.
יש להתאים את לוחות הזמנים לשמירה על כל דרישות משפטיות, סטטוטוריות או חוזיות שקובעות כמה זמן יש לאחסן PII בכל פלטפורמה נתונה.
ISO 27701 סעיף 7.4.8 – סילוק
מטרת סעיף 7.4.8
לארגונים צריכים להיות מדיניות ונהלים ברורים המסדירים את אופן סילוק PII.
הנחיות לגבי סעיף 7.4.8
סילוק נתונים הוא נושא רחב היקף הכולל שורה של משתנים שונים, בהתבסס על טכניקת הסילוק הנדרשת ואופי הנתונים שנפטרים.
ארגונים צריכים לקחת בחשבון:
- מה כולל ה-PII.
- כל מטא נתונים שיורי שיש למחוק לצד הנתונים העיקריים.
- סוג אמצעי האחסון שבו ה-PII מוחזק.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
ISO 27701 סעיף 7.4.9 - בקרות תמסורת PII
מטרת סעיף 7.4.9
כל PII שמוגדר להעברה לארגון צד שלישי צריך להיעשות תוך הקפדה מרבית על המידע הנשלח, תוך שימוש באמצעים מאובטחים.
הנחיות לגבי סעיף 7.4.9
ארגונים צריכים להבטיח שרק צוות מורשה יוכל לגשת למערכות שידור, ועושים זאת בצורה שנבדקת בקלות במטרה היחידה להביא את המידע למקום בו הוא צריך להגיע ללא תקלות.
מאמרי GDPR תומכים
אלמנטים שונים של ISO 27701 סעיף 7.4 חלים בבריטניה GDPR חֲקִיקָה. עיין בטבלה שלהלן עבור ההפניות המתאימות.
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | מאמרי GDPR משויכים |
|---|---|---|
| 7.4.1 | הגבלת אוסף | סעיף (5) |
| 7.4.2 | הגבלת עיבוד | סעיף (25) |
| 7.4.3 | דיוק ואיכות | סעיף (5) |
| 7.4.4 | יעדי מזעור PII | סעיף (5) |
| 7.4.5 | ביטול זיהוי ומחיקה של PII בסוף העיבוד | מאמרים (5), (6), (11), (32) |
| 7.4.6 | קבצים זמניים | סעיף (5) |
| 7.4.7 | עצירה | מאמרים (13), (14) |
| 7.4.8 | רשות | סעיף (5) |
| 7.4.9 | בקרות הילוכים PII | סעיף (5) |
כיצד ISMS.online עוזר
פלטפורמת ISMS.online מציעה סיוע משולב בכל שלב, ואת גישת ההטמעה 'אמץ, הסתגל, הוסף' ל-ISO 27701, כדי להקל בהרבה על התהליך.
תוכל גם ליהנות ממגוון תכונות לחיסכון בזמן.
אם מסיבה כלשהי אתה חווה חוסר ביטחון עצמי, יכולת או דחף לנקוט פעולה במהלך המסע שלך ל-ISO 27701, נוכל להעמיד את צוות המומחים הפנימי שלנו לזמין.
למידע נוסף על ידי הזמנת הדגמה.
קפוץ לנושא
