ווי צו באַווייַזן העסקעם מיט GDPR אַרטיקל 25

טעכניש קאָמענטאַר

ווען אַן אָרגאַניזאַציע איז גרייט צו מאַכן אַ דאַטן פּראַסעסינג אָפּעראַציע וואָס אַדכירז צו דאַטן שוץ 'דורך פּלאַן' און 'דורך פעליקייַט', עס זענען עטלעכע הויפּט סיבות צו נעמען אין חשבון:

• טעקנאַלאַדזשיקאַל דיוועלאַפּמאַנץ.
• ימפּלאַמענטיישאַן פּרייַז.
• די נאַטור פון די אָפּעראַציע (קאָנטעקסט און ציל).
• ריסקס און די פרייהייט פון דעם יחיד.
• פאַרנעם (ד"ה ווו דאַטן זאָל זיין געזאמלט).
• דאַטאַ מינימיזיישאַן.
• דער באַגריף פון 'צונעמען' מיטלען.

ISO 27701 פּונקט 5.2.1 (פארשטאנד פון דער אָרגאַניזאַציע און זיין קאָנטעקסט) און EU GDPR אַרטיקל 25 (3)

אָרגאַנאַזיישאַנז דאַרפֿן צו דורכפירן אַ מאַפּינג געניטונג וואָס רשימות ביידע ינערלעך און פונדרויסנדיק סיבות רילייטינג צו די ימפּלאַמענטיישאַן פון אַ PIMS.

די אָרגאַניזאַציע דאַרף זיין ביכולת צו פֿאַרשטיין ווי עס וועט דערגרייכן די רעזולטאטן פון די פּריוואַטקייט שוץ, און קיין ישוז וואָס שטיין אין די וועג פון באַוואָרעניש PII זאָל זיין יידענאַפייד און אַדרעסד.

איידער איר פּרווון צו אַדרעס פּריוואַטקייט שוץ און ינסטרומענט אַ PII, אָרגאַנאַזיישאַנז דאַרפֿן צו ערשטער באַקומען אַ פארשטאנד פון זייער אַבלאַגיישאַנז ווי אַ יינציק אָדער שלאָס PII קאָנטראָללער און / אָדער פּראַסעסער.

דאָס כולל:

• ריוויוינג קיין פּריוויילינג פּריוואַטקייט געזעצן, רעגיאַליישאַנז אָדער 'דזשודיש דיסיזשאַנז'.
• גענומען אין חשבון די יינציק גאַנג פון רעקווירעמענץ פון דער אָרגאַניזאַציע מיט די סאָרט פון פּראָדוקטן און דינסט זיי פאַרקויפן, און פירמע-ספּעציפיש גאַווערנאַנס דאָקומענטן, פּאַלאַסיז און פּראָוסידזשערז.
• קיין אַדמיניסטראַטיווע סיבות, אַרייַנגערעכנט די טאָג-צו-טאָג לויפן פון די פירמע.
• דריט פּאַרטיי אַגרימאַנץ אָדער סערוויס קאַנטראַקץ וואָס האָבן די פּאָטענציעל צו פּראַל אויף PII און פּריוואַטקייט שוץ.

ISO 27701 פּונקט 6.10.2.4 (קאַנפאַדענשיאַלאַטי אָדער נאַנדיסקלאָסורע אַגרימאַנץ) און EU GDPR אַרטיקל 25 (1) (f)

אָרגאַנאַזיישאַנז זאָל נוצן ניט-אַנטפּלעקונג אַגרימאַנץ (נדאַס) און קאַנפאַדענשיאַלאַטי אַגרימאַנץ צו באַשיצן די ווילפאַל אָדער אַקסאַדענטאַל דיוואַלדזשאַנס פון שפּירעוודיק אינפֿאָרמאַציע צו אַנאָטערייזד פּערסאַנעל.

ווען דראַפטינג, ימפּלאַמענינג און מיינטיינינג אַזאַ אַגרימאַנץ, אָרגאַנאַזיישאַנז זאָל:

• פאָרשלאָגן אַ דעפֿיניציע פֿאַר די אינפֿאָרמאַציע וואָס איז צו זיין פּראָטעקטעד.
• קלאר אַוטליין די דערוואַרט געדויער פון די העסקעם.
• קלאר זאָגן קיין פארלאנגט אַקשאַנז, אַמאָל אַ העסקעם איז טערמאַנייטיד.
• קיין ריספּאַנסאַבילאַטיז וואָס זענען מסכים דורך באשטעטיקט סיגנאַטאָריעס.
• אָונערשיפּ פון אינפֿאָרמאַציע (אַרייַנגערעכנט IP און האַנדל סיקריץ).
• ווי סיגנאַטאָריעס זענען ערלויבט צו נוצן די אינפֿאָרמאַציע.
• קלאר באַשרייַבן די רעכט פון דער אָרגאַניזאַציע צו מאָניטאָר קאַנפאַדענשאַל אינפֿאָרמאַציע.
• קיין רעפּערקוסשאַנז וואָס וועט אויפשטיין פון ניט-העסקעם.
• ריוויוד קעסיידער זייער קאַנפאַדענשיאַלאַטי באדערפענישן, און סטרויערן די צוקונפֿט אַגרימאַנץ אַקאָרדינגלי.

קאַנפאַדענשיאַלאַטי געזעצן בייַטן פון דזשוריסדיקשאַן צו דזשוריסדיקשאַן, און אָרגאַנאַזיישאַנז זאָל באַטראַכטן זייער אייגענע לעגאַל און רעגולאַטאָרי אַבלאַגיישאַנז ווען דראַפטינג NDAs און קאַנפאַדענשיאַלאַטי אַגרימאַנץ (זען יסאָ קסנומקס קאָנטראָלס 5.31, 5.32, 5.33 און 5.34).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

ISO 27701 פּונקט 6.11.2.1 (זיכער אנטוויקלונג פּאָליטיק) און EU GDPR אַרטיקל 25 (1)

אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז די אַנטוויקלונג לייפסילע איז באשאפן מיט פּריוואַטקייט שוץ אין זינען.

צו דערגרייכן דעם, אָרגאַנאַזיישאַנז זאָל:

1. אַרבעטן מיט באַזונדער אַנטוויקלונג, טעסטינג און אַנטוויקלונג ינווייראַנמאַנץ (זען ISO 27002 קאָנטראָל 8.31).
2. פּובליק גיידאַנס וועגן פּריוואַטקייט שוץ איבער די אַנטוויקלונג לעבן ציקל, אַרייַנגערעכנט מעטאַדאַלאַדזשיז, קאָודינג גיידליינז און פּראָגראַממינג שפּראַכן (זען ISO 27002 קאָנטראָלס 8.28, 8.27 און 5.8).
3. אַוטליין זיכערהייט רעקווירעמענץ אין די ספּעסיפיקאַטיאָן און פּלאַן פאַסע (זען ISO 27002 קאָנטראָל 5.8).
4. ינסטרומענט זיכערהייט טשעקפּוינץ אין אַלע באַטייַטיק פּראַדזשעקס (זען ISO 27002 קאָנטראָל 5.8).
5. דורכפירן סיסטעם און זיכערהייט טעסטינג, אַרייַנגערעכנט קאָד סקאַנז און דורכדרונג טעסץ (זען ISO 27002 קאָנטראָל 5.8).
6. פאָרשלאָגן זיכער ריפּאַזאַטאָריז פֿאַר אַלע מקור קאָד (זען ISO 27002 קאָנטראָלס 8.4 און 8.9).
7. געניטונג סטרינדזשאַנט ווערסיע קאָנטראָל פּראָוסידזשערז (זען ISO 27002 קאָנטראָל 8.32).
8. פאָרשלאָגן פּריוואַטקייט שוץ פון שטעקן און אַפּלאַקיישאַן זיכערהייט טריינינג (זען ISO 27002 קאָנטראָל 8.28).
9. פונאַנדערקלייַבן אַ דעוועלאָפּערס פיייקייט צו געפֿינען, פאַרמינערן און יראַדאַקייט וואַלנעראַביליטיז (זען ISO 27002 קאָנטראָל 8.28).
10. דאָקומענט קיין פּריוויילינג אָדער צוקונפֿט לייסאַנסינג רעקווירעמענץ (זען ISO 27002 קאָנטראָל 8.30).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.8
• ISO 27002 8.4
• ISO 27002 8.9
• ISO 27002 8.27
• ISO 27002 8.28
• ISO 27002 8.30
• ISO 27002 8.31

ISO 27701 פּונקט 6.11.2.5 (זיכער אַנטוויקלונג סוויווע) און EU GDPR אַרטיקל 25 (1)

אָרגאַנאַזיישאַנאַל סיסטעם זאָל זיין דיזיינד, דאַקיומענטאַד, ימפּלאַמענאַד און מיינטיינד מיט פּריוואַטקייט שוץ אין זינען:

אינזשעניריע פּרינסאַפּאַלז זאָל אַנאַלייז:

• א ברייט קייט פון זיכערהייט קאָנטראָלס וואָס זענען פארלאנגט צו באַשיצן PII קעגן ספּעציפיש און גענעראַליזעד טרעץ.
• ווי געזונט יקוויפּט זיכערהייט קאָנטראָלס זענען צו האַנדלען מיט הויפּט זיכערהייט געשעענישן.
• טאַרגעטעד קאָנטראָלס וואָס זענען אונטערשיידן צו יחיד געשעפט פּראַסעסאַז.
• ווו אויף די נעץ און ווי זיכערהייט קאָנטראָלס זאָל זיין ימפּלאַמענאַד.
• ווי פאַרשידן קאָנטראָלס אַרבעט אין האַרמאָניע מיט איין אנדערן.

אינזשעניריע פּרינסאַפּאַלז זאָל נעמען אין חשבון:

1. אַרקאַטעקטשעראַל ינאַגריישאַן.
2. טעכניש זיכערהייט מיטלען (ענקריפּשאַן, IAM, DAM אאז"ו ו)
3. ווי געזונט יקוויפּט די אָרגאַניזאַציע איז צו ינסטרומענט און טייַנען די אויסדערוויילטע לייזונג.
4. ינדאַסטרי בעסטער-פיר גיידליינז.

זיכער סיסטעם ינזשעניעריע זאָל אַרייַננעמען:

• געזונט-געגרינדעט אינדוסטריע-נאָרמאַל אַרקאַטעקטשעראַל פּרינסאַפּאַלז.
• א ברייט-ריינדזשינג פּלאַן רעצענזיע אַז פּינפּוינט וואַלנעראַביליטיז און העלפּס צו פאָרעם אַ סוף-צו-סוף צוגאַנג צו אַדכיראַנס.
• גאַנץ אַנטפּלעקונג פון קיין זיכערהייט קאָנטראָלס וואָס טאָן ניט טרעפן די דערוואַרט רעקווירעמענץ.
• סיסטעם כאַרדאַנינג.

דער אָרגאַניזאַציע זאָל פעליקייַט צו אַ "נול צוטרוי" צוגאַנג צו זיכערהייט.

ווען די אָרגאַניזאַציע אַוצאָרס אַנטוויקלונג צו דריט-פּאַרטיי אָרגאַנאַזיישאַנז, השתדלות זאָל זיין געמאכט צו ענשור אַז די זיכערהייט פּרינסאַפּאַלז פון די שוטעף זענען אַליינד מיט די אייגענע אָרגאַניזאַציע.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.15
• ISO 27002 5.18
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 פּונקט 7.4.2 (לימיט פּראַסעסינג) און EU GDPR אַרטיקל 25 (2)

אָרגאַנאַזיישאַנז זאָל אויך בלויז פּראָצעס PII אויב עס איז באַטייַטיק, פּראַפּאָרשאַנאַל און נייטיק צו מקיים אַ סטייטיד ציל, אַרייַנגערעכנט:

1. Disclosure.
2. סטאָרידזש.
3. אַקסעסאַביליטי.

שטיצן ISO 27701 קלאָזיז און ISO 27002 קאָנטראָלס

ווי ISMS.online העלפּס

מיר צושטעלן איר אַ פאַר-געבויט סוויווע ווו איר קענען באַשרייַבן און באַווייַזן ווי איר באַשיצן די דאַטן פון דיין אייראפעישע און וק קאַסטאַמערז.

די ISMS.online פּלאַטפאָרמע האט אַ געבויט-אין גיידאַנס אין יעדער שריט קאַמביינד מיט אונדזער ימפּלאַמענטיישאַן צוגאַנג "אַדאָפּט, אַדאַפּט, לייג" אַזוי די מי פארלאנגט צו באַווייַזן דיין צוגאַנג צו GDPR איז באטייטיק רידוסט.

איר וועט אויך נוץ פון אַ קייט פון שטאַרק צייט-שפּאָרן פֿעיִקייטן.

• ROPA איז גרינג
• אַססעססמענט טעמפּלאַטעס
• א זיכער פּלאַץ פֿאַר DRR (Data Subject Rights ריקוועס)
• בריטש פאַרוואַלטונג

געפֿינען זיך מער דורך בוקינג אַ קורץ 30 מינוט דעמאָ.