ווי צו באַווייַזן העסקעם מיט GDPR אַרטיקל 32

טעכניש קאָמענטאַר

GDPR אַרטיקל 32 פרעגט אָרגאַנאַזיישאַנז צו נעמען אַ ריזיקירן-באזירט צוגאַנג צו דאַטן פּראַסעסינג וואָס נעמט אין באַטראַכטונג עטלעכע שליסל וועריאַבאַלז:

• א גרונטיק ריזיקירן אַסעסמאַנט וואָס נעמט אין באַטראַכטונג די אַקסאַדענטאַל אָדער אַנלאָפאַל צעשטערונג אָדער אָלטעריישאַן פון פערזענלעכע דאַטן, אַקסעס צו דאַטן און ווי דאַטן זענען געראטן.
• פאָרשונג טעכניש מיטלען וואָס פאַרמינערן ריזיקירן איבער די גאנצע אָרגאַניזאַציע.
• ימפּלאַמענטינג טעקניקס און מיטלען וואָס האַנדלען מיט קיין ריסקס וואָס זענען רובֿ מסתּמא צו פּאַסירן.
• קאָנדוקט קאָדעס וואָס האַלטן די אָרגאַניזאַציע און מענטשן אין עס פאַראַנטוואָרטלעך פֿאַר זייער אַקשאַנז ווען האַנדלינג דאַטן.
• געראַנטיז צו דאַטן סאַבדזשעקץ אַז ווער עס יז ינטעראַקטינג מיט זייער דאַטן איז טאן אַזוי אין אַ צונעמען און געזעצלעך וועג.

ISO 27701 פּונקט 5.2.1 (פארשטאנד פון דער אָרגאַניזאַציע און זיין קאָנטעקסט) און EU GDPR אַרטיקל 32 (3)

אָרגאַנאַזיישאַנז דאַרפֿן צו דורכפירן אַ מאַפּינג געניטונג וואָס רשימות ביידע ינערלעך און פונדרויסנדיק סיבות רילייטינג צו די ימפּלאַמענטיישאַן פון אַ PIMS.

די אָרגאַניזאַציע דאַרף זיין ביכולת צו פֿאַרשטיין ווי עס וועט דערגרייכן די רעזולטאטן פון די פּריוואַטקייט שוץ, און קיין ישוז וואָס שטיין אין די וועג פון באַוואָרעניש PII זאָל זיין יידענאַפייד און אַדרעסד.

איידער איר פּרווון צו אַדרעס פּריוואַטקייט שוץ און ינסטרומענט אַ PII, אָרגאַנאַזיישאַנז דאַרפֿן צו ערשטער באַקומען אַ פארשטאנד פון זייער אַבלאַגיישאַנז ווי אַ יינציק אָדער שלאָס PII קאָנטראָללער און / אָדער פּראַסעסער.

דאָס כולל:

• ריוויוינג קיין פּריוויילינג פּריוואַטקייט געזעצן, רעגיאַליישאַנז אָדער 'דזשודיש דיסיזשאַנז'.
• גענומען אין חשבון די יינציק גאַנג פון רעקווירעמענץ פון דער אָרגאַניזאַציע מיט די סאָרט פון פּראָדוקטן און דינסט זיי פאַרקויפן, און פירמע-ספּעציפיש גאַווערנאַנס דאָקומענטן, פּאַלאַסיז און פּראָוסידזשערז.
• קיין אַדמיניסטראַטיווע סיבות, אַרייַנגערעכנט די טאָג-צו-טאָג לויפן פון די פירמע.
• דריט פּאַרטיי אַגרימאַנץ אָדער סערוויס קאַנטראַקץ וואָס האָבן די פּאָטענציעל צו פּראַל אויף PII און פּריוואַטקייט שוץ.

ISO 27701 פּונקט 5.2.3 (דיטערמאַנינג די פאַרנעם פון די אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם) און EU GDPR אַרטיקל 32 (2)

ISO רעקאַמענדז אַ גרונטיק סקאָפּינג געניטונג, אַזוי אַז אָרגאַנאַזיישאַנז קענען פּראָדוצירן אַ PIMS וואָס ערשטער טרעפן זיין פּריוואַטקייט שוץ רעקווירעמענץ, און צווייטנס נישט קריכן אין געביטן פון די געשעפט וואָס זענען נישט אין נויט פון ופמערקזאַמקייט.

אָרגאַנאַזיישאַנז זאָל פאַרלייגן און דאָקומענט:

1. קיין פונדרויסנדיק אָדער ינערלעך ישוז, ווי אַוטליינד אין ISO 27001 4.1.
2. דריט-פּאַרטיי רעקווירעמענץ ווי אַוטליינד אין ISO 27001 4.2.
3. ווי די אָרגאַניזאַציע ינטעראַקץ מיט זיך און פונדרויסנדיק ללבער (למשל קונה טאָוטפּוינץ, יקט ינטערפייסיז).

אַלע סקאָפּינג עקסערסייזיז וואָס ויסשטעלן אַ PIMS ימפּלאַמענטיישאַן זאָל אַרייַננעמען אַ גרונטיק אַסעסמאַנט פון PII פּראַסעסינג און סטאָרידזש אַקטיוויטעטן.

ISO 27701 פּונקט 5.2.4 (אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם) און EU GDPR אַרטיקל 32 (2)

אָרגאַנאַזיישאַנז זאָל זוכן צו ינסטרומענט, פירן און אַפּטאַמייז אַ פּריוואַטקייט אינפֿאָרמאַציע מאַנאַגעמענט סיסטעם (PIMS), אין שורה מיט ארויס ISO סטאַנדאַרדס.

ISO 27701 פּונקט 5.4.1.2 (אינפֿאָרמאַציע זיכערהייט ריזיקירן אַססעססמענט) און EU GDPR אַרטיקל 32 (1) (ב) און 32 (2)

אָרגאַנאַזיישאַנז זאָל ויסמעקן און ינסטרומענט אַ פּריוואַטקייט שוץ ריזיקירן אַסעסמאַנט פּראָצעס וואָס:

• ינקלודז קרייטיריאַ פֿאַר אַקסעפּטאַנס פון ריזיקירן, פֿאַר די צוועקן פון דורכפירן פּריוואַטקייט שוץ אַסעסמאַנץ.
• פּראָווידעס אַ פריימווערק פֿאַר די פאַרגלייַכלעך אַנאַליסיס פון אַלע פּריוואַטקייט שוץ אַסעסמאַנץ.
• פינפּאָינץ פּריוואַטקייט שוץ ריסקס (און זייער אָונערז).
• באַטראַכט די דיינדזשערז און ריסקס טאָכיק מיט די אָנווער פון 'קאַנפאַדענשיאַלאַטי, אַוויילאַבילאַטי און אָרנטלעכקייַט' פון PII.
• אַנאַליזעס פּריוואַטקייט שוץ ריסקס צוזאמען דריי סיבות:
• זייער פּאָטענציעל פאלגן.
• די מאַשמאָעס פון זיי געשעעניש.
• זייער שטרענגקייט.
• אַנאַליזעס און פּרייאָראַטייז קיין יידענאַפייד ריסקס אין לויט מיט זייער ריזיקירן מדרגה.

ISO 27701 פּונקט 5.4.1.3 (אינפֿאָרמאַציע זיכערהייט ריזיקירן באַהאַנדלונג) און אי.יו. GDPR אַרטיקל (32) (1) (ב)

אָרגאַנאַזיישאַנז זאָל פּלאַן און ינסטרומענט אַ פּריוואַטקייט שוץ / PII 'ריזיקירן באַהאַנדלונג פּראָצעס' אַז:

• ינסטרומענט אַ פּריוואַטקייט שוץ 'ריזיקירן באַהאַנדלונג פּלאַן'.
• יידענאַפייד ווי אַ PIMS זאָל מייַכל יחיד ריזיקירן לעוועלס, באזירט אויף אַ גאַנג פון אַסעסמאַנט רעזולטאַטן.
• כיילייץ אַ סעריע פון ​​קאָנטראָלס וואָס זענען פארלאנגט צו ינסטרומענט פּריוואַטקייט שוץ ריזיקירן באַהאַנדלונג.
• קרייַז רעפֿערענץ קיין קאָנטראָלס יידענאַפייד מיט די פולשטענדיק רשימה צוגעשטעלט דורך ISO אין אַנעקס א פון ISO 27001.
• דאָקומענט און באַרעכטיקן די נוצן פון קיין קאָנטראָלס געניצט אין אַ פאָרמאַל 'סטייטמאַנט פון אַפּפּליאַביליטי'.
• זוכן האַסקאָמע פון ​​קיין ריזיקירן אָונערז איידער פיינאַלייז אַ פּריוואַטקייט שוץ ריזיקירן באַהאַנדלונג פּלאַן וואָס כולל קיין 'ריזידזשואַל' פּריוואַטקייט שוץ און PII ריסקס.

ISO 27701 פּונקט 6.11.1.2 (זיכערהייט אין אַנטוויקלונג און שטיצן פּראַסעסאַז) און EU GDPR אַרטיקל 32 (1) (אַ)

אַפּפּליקאַטיאָן זיכערהייט פּראָוסידזשערז זאָל זיין דעוועלאָפּעד צוזאמען אַ ברייטערער פּריוואַטקייט שוץ פּאַלאַסיז, ​​​​יוזשאַוואַלי דורך אַ סטראַקטשערד ריזיקירן אַסעסמאַנט וואָס נעמט אין חשבון קייפל וועריאַבאַלז.

אַפּפּליקאַטיאָן זיכערהייט רעקווירעמענץ זאָל אַרייַננעמען:

• די לעוועלס פון צוטרוי טאָכיק אין אַלע נעץ ענטיטיז (זען יסאָ קסנומקס קאָנטראָלס 5.17, 8.2 און 8.5).
• די קלאַסאַפאַקיישאַן פון דאַטן וואָס די אַפּלאַקיישאַן איז קאַנפיגיערד צו פּראָצעס (אַרייַנגערעכנט PII).
• קיין סעגרעגאַציע באדערפענישן.
• שוץ קעגן ינערלעך און פונדרויסנדיק אנפאלן, און / אָדער בייזע נוצן.
• קיין פּריוויילינג לעגאַל, קאַנטראַקטשואַל אָדער רעגולאַטאָרי רעקווירעמענץ.
• שטאַרק שוץ פון קאַנפאַדענשאַל אינפֿאָרמאַציע.
• דאַטן וואָס זאָל זיין פּראָטעקטעד אין דורכפאָר.
• קיין קריפּטאָגראַפיק באדערפענישן.
• זיכער אַרייַנשרייַב און רעזולטאַט קאָנטראָלס.
• מינימאַל נוצן פון אַנריסטריקטיד אַרייַנשרייַב פעלדער - ספּעציעל יענע וואָס האָבן די פּאָטענציעל צו קראָם פערזענלעכע דאַטן.
• די האַנדלינג פון טעות אַרטיקלען, אַרייַנגערעכנט קלאָר קאָמוניקאַציע פון ​​טעות קאָודז.

טראַנסאַקטיאָנאַל באַדינונגס וואָס פאַסילאַטייט די לויפן פון פּריוואַטקייט דאַטן צווישן די אָרגאַניזאַציע און אַ דריט פּאַרטיי אָרגאַניזאַציע, אָדער שוטעף אָרגאַניזאַציע, זאָל:

1. פאַרלייגן אַ פּאַסיק מדרגה פון צוטרוי צווישן אָרגאַנאַזיישאַנאַל אידענטיטעט.
2. אַרייַננעמען מעקאַניזאַמז וואָס קאָנטראָלירן פֿאַר צוטרוי צווישן געגרינדעט אידענטיטעט (למשל כאַשינג און דיגיטאַל סיגנאַטשערז).
3. אַוטליין געזונט פּראָוסידזשערז וואָס רעגירן וואָס עמפּלוייז זענען ביכולת צו פירן שליסל טראַנסאַקטיאָנאַל דאָקומענטן.
4. אַנטהאַלטן דאָקומענט און טראַנסאַקטיאָנאַל פאַרוואַלטונג פּראָוסידזשערז וואָס דעקן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, דערווייַז פון דעפּעש און קאַבאָלע פון ​​שליסל דאָקומענטן און טראַנזאַקשאַנז.
5. אַרייַננעמען ספּעציפיש גיידאַנס אויף ווי צו האַלטן טראַנזאַקשאַנז קאַנפאַדענשאַל.

פֿאַר קיין אַפּלאַקיישאַנז וואָס אַרייַנציען עלעקטראָניש אָרדערינג און / אָדער צאָלונג, אָרגאַנאַזיישאַנז זאָל:

• אַוטליין שטרענג רעקווירעמענץ פֿאַר שוץ פון צאָלונג און אָרדערינג דאַטן.
• באַשטעטיקן צאָלונג אינפֿאָרמאַציע איידער אַ סדר איז געשטעלט.
• סיקיורלי קראָם טראַנסאַקטיאָנאַל און פּריוואַטקייט-פֿאַרבונדענע דאַטן אין אַ וועג וואָס איז ינאַקסעסאַבאַל פֿאַר דעם ציבור.
• ניצן טראַסטיד אויטאריטעטן ווען ימפּלאַמענינג דיגיטאַל סיגנאַטשערז, מיט פּריוואַטקייט שוץ אין זינען אין אַלע צייט.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 פּונקט 6.12.1.2 (אַדרעסינג זיכערהייט אין סאַפּלייער אַגרימאַנץ) און EU GDPR אַרטיקל 32 (1) (ב)

ווען אַדרעסינג זיכערהייט אין סאַפּלייער באַציונגען, אָרגאַנאַזיישאַנז זאָל ענשור אַז ביידע פּאַרטיעס זענען אַווער פון זייער אַבלאַגיישאַנז צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט און איינער דעם אנדערן.

אין טאן אַזוי, אָרגאַנאַזיישאַנז זאָל:

• פאָרשלאָגן אַ קלאָר באַשרייַבונג וואָס דעטאַילס די פּריוואַטקייט אינפֿאָרמאַציע וואָס דאַרף זיין אַקסעסט און ווי די אינפֿאָרמאַציע וועט זיין אַקסעסט.
• קלאַסיפיצירן די פּריוואַטקייט אינפֿאָרמאַציע צו זיין אַקסעסט אין לויט מיט אַן אנגענומען קלאַסאַפאַקיישאַן סכעמע (זען ISO 27002 קאָנטראָלס 5.10, 5.12 און 5.13).
• באַטראַכטן די קלאַסאַפאַקיישאַן סכעמע פון ​​​​די סאַפּלייערז גענוג.
• קאַטאַגערייז רעכט אין פיר הויפּט געביטן - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל - מיט אַ דיטיילד באַשרייַבונג פון אַבלאַגיישאַנז פּער שטח.
• פאַרזיכערן אַז יעדער פּאַרטיי איז אַבליידזשד צו דורכפירן אַ סעריע פון ​​​​קאָנטראָלס וואָס מאָניטאָר, אַססעסס און פירן פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ריזיקירן לעוועלס.
• באַשרייַבן די נויט פֿאַר סאַפּלייער פּערסאַנעל צו אַדכיר צו די אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס פון אַן אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.20).
• פאַסילאַטייט אַ קלאָר פארשטאנד פון וואָס קאַנסטאַטוץ ביידע פּאַסיק און אַנאַקסעפּטאַבאַל נוצן פון פּריוואַטקייט אינפֿאָרמאַציע, און גשמיות און ווירטואַל אַסעץ פון יעדער פּאַרטיי.
• אָנפירן דערלויבעניש קאָנטראָלס וואָס זענען פארלאנגט פֿאַר סאַפּלייער-זייַט פּערסאַנעל צו אַקסעס אָדער זען אַן אָרגאַניזאַציע ס פּריוואַטקייט אינפֿאָרמאַציע.
• געבן באַטראַכטונג צו וואָס אַקערז אין די געשעעניש פון אַ בריטש פון קאָנטראַקט, אָדער קיין דורכפאַל צו אַדכיר צו יחיד סטיפּיאַליישאַנז.
• אַוטליין אַ ינסידענט מאַנאַגעמענט פּראָצעדור, אַרייַנגערעכנט ווי הויפּט געשעענישן זענען קאַמיונאַקייטיד.
• פאַרזיכערן אַז פּערסאַנעל באַקומען זיכערהייט וויסיקייַט טריינינג.
• (אויב דער סאַפּלייער איז דערלויבט צו נוצן סאַבקאַנטראַקטערז) לייג אין רעקווירעמענץ צו ענשור אַז סאַבקאַנטראַקטערז זענען אַליינד מיט די זעלבע גאַנג פון פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס ווי די סאַפּלייער.
• באַטראַכטן ווי סאַפּלייער פּערסאַנעל זענען סקרינד איידער ינטעראַקטינג מיט פּריוואַטקייט אינפֿאָרמאַציע.
• סטימולירן די נויט פֿאַר דריט-פּאַרטיי אַטטעסטיישאַנז וואָס אַדרעס די סאַפּלייער ס פיייקייט צו מקיים אָרגאַנאַזיישאַנאַל פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ.
• האָבן די קאַנטראַקטשואַל רעכט צו קאָנטראָלירן די פּראָוסידזשערז פון סאַפּלייער.
• דאַרפן סאַפּלייערז צו צושטעלן ריפּאָרץ וואָס דעטאַל די יפעקטיוונאַס פון זייער אייגענע פּראַסעסאַז און פּראָוסידזשערז.
• פאָקוס אויף גענומען סטעפּס צו ווירקן די בייַצייַטיק און גרונטיק האַכלאָטע פון ​​קיין חסרונות אָדער קאָנפליקט.
• פאַרזיכערן אַז סאַפּלייערז אַרבעטן מיט אַ טויגן BUDR פּאָליטיק, צו באַשיצן די אָרנטלעכקייַט און אַוויילאַבילאַטי פון PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ.
• דאַרפן אַ סאַפּלייער-זייַט ענדערונג פאַרוואַלטונג פּאָליטיק וואָס ינפאָרמז די אָרגאַניזאַציע פון ​​קיין ענדערונגען וואָס האָבן די פּאָטענציעל צו פּראַל אויף פּריוואַטקייט שוץ.
• ינסטרומענט פיזיש זיכערהייט קאָנטראָלס וואָס זענען פּראַפּאָרשאַנאַל צו די סענסיטיוויטי פון די דאַטן סטאָרד און פּראַסעסט.
• (וואו די דאַטן זאָל זיין טראַנספערד) בעטן סאַפּלייערז צו ענשור אַז דאַטן און אַסעץ זענען פּראָטעקטעד פון אָנווער, שעדיקן אָדער קאָרופּציע.
• באַשרייַבן אַ רשימה פון אַקשאַנז צו זיין גענומען דורך יעדער פּאַרטיי אין די געשעעניש פון טערמאַניישאַן.
• בעט די סאַפּלייער צו דערקלערן ווי זיי בדעה צו צעשטערן פּריוואַטקייט אינפֿאָרמאַציע נאָך טערמאַניישאַן, אָדער פון די דאַטן איז ניט מער פארלאנגט.
• נעמען סטעפּס צו ענשור מינימאַל געשעפט יבעררייַס בעשאַס אַ כאַנדאָוווער צייַט.

אָרגאַניזאַציעס זאָל אויך האַלטן אַ רעגיסטרירן פון אַגרימאַנץ, וואָס ליסטעד אַלע אַגרימאַנץ מיט אנדערע אָרגאַניזאַציעס.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

ISO 27701 פּונקט 6.15.2.1 (אוינדעפּענדענט אָפּשאַצונג פון אינפֿאָרמאַציע זיכערהייט) און EU GDPR אַרטיקל 32

אין דעם אָפּטיילונג מיר רעדן וועגן GDPR אַרטיקלען 32 (1) (ב), 32 (1) (ד), 32 (2)

אָרגאַנאַזיישאַנז זאָל אַנטוויקלען פּראַסעסאַז וואָס באַזאָרגן פֿאַר פרייַ באריכטן פון זייער פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז, אַרייַנגערעכנט ביידע טעמע-ספּעציפיש פּאַלאַסיז און אַלגעמיין פּאַלאַסיז.

באריכטן זאָל זיין געפירט דורך:

• אינערלעכער אַדאַטערז.
• אומאָפּהענגיקע דעפּאַרטמענטאַלע מאַנאַדזשערז.
• ספּעשאַלייזד דריט-פּאַרטיי אָרגאַנאַזיישאַנז.

באריכטן זאָל זיין פרייַ און דורכגעקאָכט דורך יחידים מיט גענוג וויסן וועגן פּריוואַטקייט שוץ גיידליינז און די אָרגאַנאַזיישאַנז אייגענע פּראָוסידזשערז.

ריוויוערז זאָל באַשטימען צי פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז זענען געהאָרכיק מיט די אָרגאַניזאַציע ס "דאַקיאַמענטאַד אַבדזשעקטיווז און רעקווירעמענץ".

ווי געזונט ווי סטראַקטשערד פּעריאָדיש באריכטן, אָרגאַנאַזיישאַנז קען טרעפן די נויט צו פירן אַד-האָק באריכטן וואָס זענען טריגערד דורך זיכער געשעענישן, אַרייַנגערעכנט:

• נאָך אַמענדמאַנץ צו ינערלעך פּאַלאַסיז, ​​געזעצן, גיידליינז און רעגיאַליישאַנז וואָס ווירקן פּריוואַטקייט שוץ.
• נאָך הויפּט ינסאַדאַנץ וואָס האָבן ימפּאַקטיד אויף פּריוואַטקייט שוץ.
• ווען אַ נייַע געשעפט איז באשאפן, אָדער הויפּט ענדערונגען זענען ענאַקטאַד צו די קראַנט געשעפט.
• נאָך די אַדאַפּשאַן פון אַ נייַע פּראָדוקט אָדער דינסט וואָס דילז מיט פּריוואַטקייט שוץ אין קיין וועג.

ISO 27701 פּונקט 6.15.2.3 (טעכניש אָפּשאַצונג איבערבליק) און EU GDPR אַרטיקלען 32 (1) (ד) און (32) (2)

אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז פּערסאַנעל איז ביכולת צו אָפּשאַצן פּריוואַטקייט פּאַלאַסיז איבער די פול ספּעקטרום פון געשעפט אַפּעריישאַנז.

פאַרוואַלטונג זאָל אַנטוויקלען טעכניש מעטהאָדס פון ריפּאָרטינג אויף פּריוואַטקייט העסקעם (אַרייַנגערעכנט אָטאַמיישאַן און בעספּאָכע מכשירים). ריפּאָרץ זאָל זיין רעקאָרדעד, סטאָרד און אַנאַלייזד צו פֿאַרבעסערן PII זיכערהייט און פּריוואַטקייט שוץ השתדלות.

ווען העסקעם ישוז זענען דיסקאַווערד, אָרגאַנאַזיישאַנז זאָל:

• פאַרלייגן די סיבה.
• באַשליסן אויף אַ מעטאָד פון קערעקטיוו קאַמף צו צאַפּן און העסקעם גאַפּס.
• איבערחזרן דעם אַרויסגעבן נאָך אַ צונעמען צייט, צו ענשור אַז די פּראָבלעם איז ריזאַלווד.

עס איז וויטאַל וויכטיק צו אָנפירן קערעקטיוו מיטלען ווי באַלד ווי מעגלעך. אויב ישוז זענען נישט גאָר סאַלווד אין דער צייט פון דער ווייַטער רעצענזיע, בייַ אַ מינימום, זאָגן זאָל זיין צוגעשטעלט צו ווייַזן אַז פּראָגרעס איז געמאכט.

ISO 27701 פּונקט 6.5.2.1 (קלאַסיפיקאַטיאָן פון אינפֿאָרמאַציע) און EU GDPR אַרטיקל (32) (2)

אלא ווי צו שטעלן אַלע אינפֿאָרמאַציע אויף אַ גלייַך פאָאָט, אָרגאַניזאַציעס זאָל קלאַסיפיצירן אינפֿאָרמאַציע אויף אַ טעמע-ספּעציפיש יקער.

אינפֿאָרמאַציע אָונערז זאָל באַטראַכטן פיר שליסל סיבות, ווען קלאַסאַפייינג דאַטן (ספּעציעל וועגן PII), וואָס זאָל זיין ריוויוד פּיריאַדיקלי, אָדער ווען אַזאַ סיבות טוישן:

1. די מיט זיכערקייט פון די דאַטן.
2. די אָרנטלעכקייַט פון די דאַטן.
3. דאַטע אַוויילאַביליטי לעוועלס.
4. די אָרגאַניזאַציע לעגאַל אַבלאַגיישאַנז צו PII.

כּדי צו צושטעלן אַ קלאָר אַפּעריישאַנאַל פריימווערק, אינפֿאָרמאַציע קאַטעגאָריעס זאָל זיין געהייסן אין לויט מיט די טאָכיק ריזיקירן מדרגה, אויב קיין ינסאַדאַנץ פאַלן וואָס קאַמפּראַמייז קיין פון די אויבן סיבות.

צו ענשור קרייַז-פּלאַטפאָרמע קאַמפּאַטאַבילאַטי, אָרגאַנאַזיישאַנז זאָל מאַכן זייער אינפֿאָרמאַציע קאַטעגאָריעס בנימצא צו קיין פונדרויסנדיק פּערסאַנעל מיט וואָס זיי טיילן אינפֿאָרמאַציע, און ענשור אַז די אָרגאַניזאַציע 'ס אייגענע קלאַסאַפאַקיישאַן סכעמע איז וויידלי פארשטאנען דורך אַלע באַטייַטיק פּאַרטיעס.

אָרגאַניזאַציעס זאָל זיין אָפּגעהיט פון אונטער-קלאַסאַפייינג אָדער, פאַרקערט, איבער-קלאַסאַפייינג דאַטן. די ערשטע קענען פירן צו מיסטייקס אין גרופּינג PII מיט ווייניקער-שפּירעוודיק דאַטן טייפּס, בשעת די ערשטע פירט אָפט צו צוגעלייגט קאָסט, אַ גרעסערע געלעגנהייַט פון מענטש טעות און פּראַסעסינג אַנאַמאַליז.

ISO 27701 פּונקט 6.5.3.1 (פאַרוואַלטונג פון רימווואַבאַל מעדיע) און EU GDPR אַרטיקל 32 (1) (אַ)

ווען דעוועלאָפּינג פּאַלאַסיז וואָס רעגירן די האַנדלינג פון מעדיע אַסעץ ינוואַלווד אין סטאָרינג PII, אָרגאַנאַזיישאַנז זאָל:

• אַנטוויקלען יינציק טעמע-ספּעציפיש פּאַלאַסיז באזירט אויף דעפּאַרטמענטאַל אָדער אַרבעט-באזירט רעקווירעמענץ.
• פאַרזיכערן אַז געהעריק דערלויבעניש איז געזוכט און געגעבן, איידער פּערסאַנעל איז ביכולת צו באַזייַטיקן סטאָרידזש מידיאַ פון די נעץ (אַרייַנגערעכנט בעכעסקעם אַ פּינטלעך און דערהייַנטיקט רעקאָרד פון אַזאַ אַקטיוויטעטן).
• קראָם מעדיע אין לויט מיט די מאַניאַפאַקטשערערז ספּעסאַפאַקיישאַנז, פריי פון קיין ינווייראַנמענאַל שעדיקן.
• באַטראַכטן ניצן ענקריפּשאַן ווי אַ פּרירעקוואַזאַט צו אַקסעס, אָדער אויב דאָס איז ניט מעגלעך, ימפּלאַמענינג נאָך גשמיות זיכערהייט מיטלען.
• מינאַמייז די ריזיקירן פון פאַרדאָרבן PII דורך טראַנספערינג אינפֿאָרמאַציע צווישן סטאָרידזש מידיאַ, ווי פארלאנגט.
• באַקענען PII יבעריקייַט דורך סטאָרינג פּראָטעקטעד אינפֿאָרמאַציע אויף קייפל אַסעץ אין דער זעלביקער צייט.
• בלויז דערלויבן די נוצן פון סטאָרידזש מידיאַ אויף באוויליקט ינפּוץ (ד"ה סד קאַרדס און וסב פּאָרץ), אויף אַ אַסעט-ביי-אַסעץ יקער.
• ענג מאָניטאָר די אַריבערפירן פון PII אַנטו סטאָרידזש מידיאַ, פֿאַר קיין ציל.
• נעמען אין באַטראַכט די ריסקס טאָכיק אין די גשמיות אַריבערפירן פון סטאָרידזש מידיאַ (און דורך פּראַקסי, די PII קאַנטיינד אויף עס), ווען מאָווינג אַסעץ צווישן פּערסאַנעל אָדער לאָקאַל (זען ISO 27002 קאָנטראָל 5.14).

ווען רי-פּורפּאָסינג, שייַעך-ניצן אָדער דיספּאָוזינג פון סטאָרידזש מידיאַ, געזונט פּראָוסידזשערז זאָל זיין שטעלן אין פּלאַץ צו ענשור אַז PII איז נישט אַפעקטאַד אין קיין וועג, אַרייַנגערעכנט:

• פאָרמאַטטינג די סטאָרידזש מידיאַ און ינשורינג אַז אַלע PII איז אַוועקגענומען איידער שייַעך-נוצן (זען ISO 27002 קאָנטראָל 8.10), אַרייַנגערעכנט מיינטיינינג טויגן דאַקיומענטיישאַן פון אַלע אַזאַ אַקטיוויטעטן.
• סיקיורלי דיספּאָוזינג קיין מעדיע וואָס די אָרגאַניזאַציע האט קיין ווייַטער נוצן פֿאַר, און איז געניצט צו קראָם PII.
• אויב באַזייַטיקונג ריקווייערז ינוואַלוומאַנט פון אַ דריט-פּאַרטיי, אָרגאַניזאַציעס זאָל נעמען גרויס זאָרג צו ענשור אַז זיי זענען אַ פּאַסיק און געהעריק שוטעף צו דורכפירן אַזאַ פליכט, אין לויט מיט די אָרגאַניזאַציע ס פֿאַראַנטוואָרטלעכקייט צו PII און פּריוואַטקייט שוץ.
• ימפּלאַמענטינג פּראָוסידזשערז וואָס ידענטיפיצירן וואָס סטאָרידזש מידיאַ זענען בארעכטיגט פֿאַר שייַעך-נוצן, אָדער קענען זיין דיספּאָוזד אַקאָרדינגלי.

אויב דעוויסעס וואָס זענען געניצט צו קראָם PII ווערן דאַמידזשד, אָרגאַניזאַציעס זאָל קערפאַלי באַטראַכטן צי עס איז מער צונעמען צו צעשטערן אַזאַ מידיאַ אָדער שיקן עס פֿאַר פאַרריכטן (ערינג אויף די זייַט פון די ערשטע).

ISO וואָרנז אָרגאַנאַזיישאַנז קעגן ניצן אַנענקריפּטיד סטאָרידזש דעוויסעס פֿאַר קיין PII-פֿאַרבונדענע אַקטיוויטעטן.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.14

ISO 27701 פּונקט 6.5.3.3 (גשמיות מעדיע אַריבערפירן) און EU GDPR אַרטיקל 32 (1) (אַ)

זען אָפּטיילונג אויבן אויף ISO 27701 פּונקט 6.5.3.1

אַדדיטיאָנאַל אינפֿאָרמאַציע

אויב מעדיע זאָל זיין דיספּאָוזד פון די פריער געהאלטן PII, אָרגאַנאַזיישאַנז זאָל ינסטרומענט פּראָוסידזשערז וואָס דאָקומענט די צעשטערונג פון PII און פּריוואַטקייט-פֿאַרבונדענע דאַטן, אַרייַנגערעכנט קאַטאַגאָריקאַל אַשוראַנס אַז עס איז ניט מער בנימצא.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.14

ISO 27701 פּונקט 6.7.1.1 (פּאָליטיק אויף די נוצן פון קריפּטאָגראַפיק קאָנטראָלס) און EU GDPR אַרטיקל 32 (1) (אַ)

אָרגאַנאַזיישאַנז זאָל נוצן ענקריפּשאַן צו באַשיצן די מיט זיכערקייט, אָטאַנטיסיטי און אָרנטלעכקייַט פון PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, און צו אַדכיר צו זייער פאַרשידן קאַנטראַקטשואַל, לעגאַל אָדער רעגולאַטאָרי אַבלאַגיישאַנז.

ענקריפּשאַן איז אַ ווייַט-ריטשינג באַגריף - עס איז קיין "איין גרייס פיץ אַלע" צוגאַנג. אָרגאַנאַזיישאַנז זאָל אַססעסס זייער באדערפענישן און קלייַבן אַ קריפּטאָגראַפיק לייזונג וואָס טרעפן זייער יינציק געשעפט און אַפּעריישאַנאַל אַבדזשעקטיווז.

אָרגאַנאַזיישאַנז זאָל באַטראַכטן:

• אַנטוויקלען אַ טעמע-ספּעציפיש צוגאַנג צו קריפּטאָגראַפי, וואָס נעמט אין חשבון פאַרשידן דעפּאַרטמענטאַל, ראָלע-באזירט און אַפּעריישאַנאַל באדערפענישן.
• די צונעמען מדרגה פון שוץ (צוזאמען מיט די טיפּ פון אינפֿאָרמאַציע צו זיין ינקריפּטיד).
• רירעוודיק דעוויסעס און סטאָרידזש מידיאַ.
• קריפּטאָגראַפיק שליסל פאַרוואַלטונג (סטאָרידזש, פּראַסעסינג עטק).
• ספּעציעלע ראָלעס און ריספּאַנסאַבילאַטיז פֿאַר קריפּטאָגראַפיק פאַנגקשאַנז, אַרייַנגערעכנט ימפּלאַמענטיישאַן און שליסל פאַרוואַלטונג (זען ISO 27002 קאָנטראָל 8.24).
• די טעכניש ענקריפּשאַן סטאַנדאַרדס וואָס זאָל זיין אנגענומען, אַרייַנגערעכנט אַלגערידאַמז, סייפער שטאַרקייַט, בעסטער פיר גיידליינז.
• ווי ענקריפּשאַן וועט אַרבעטן צוזאמען אנדערע סייבער זיכערהייט השתדלות, אַזאַ ווי מאַלוואַרע שוץ און גייטוויי זיכערהייט.
• קרייַז-גרענעץ און קרייַז-דזשוריסדיקטיאָנאַל געזעצן און גיידליינז (זען ISO 27002 קאָנטראָל 5.31).
• קאַנטראַקץ מיט דריט-פּאַרטיי קריפּטאָגראַפי פּאַרטנערס וואָס דעקן אַלע אָדער טייל אַכרייַעס, רילייאַבילאַטי און ענטפער צייט.

שליסל מאַנאַגעמענט

שליסל פאַרוואַלטונג פּראָוסידזשערז זאָל זיין פאַרשפּרייטן איבער 7 הויפּט פאַנגקשאַנז:

1. דור.
2. סטאָרידזש.
3. אַרטשיווינג.
4. ריטריוואַל.
5. פאַרשפּרייטונג.
6. ריטייערינג.
7. צעשטערונג.

אָרגאַנאַזיישאַנאַל שליסל פאַרוואַלטונג סיסטעמען זאָל:

• פירן שליסל דור פֿאַר אַלע ענקריפּשאַן מעטהאָדס.
• ינסטרומענט ציבור שליסל סערטיפיקאַץ.
• פאַרזיכערן אַז אַלע באַטייַטיק מענטש און ניט-מענטש ענטיטיז זענען ארויס מיט די נייטיק שליסלען.
• קראָם שליסלען.
• ענדערן שליסלען ווי פארלאנגט.
• האָבן פּראָוסידזשערז אין פּלאַץ צו האַנדלען מיט פּאַטענטשאַלי קאַמפּראַמייזד שליסלען.
• דעקאָממיסיע שליסלען, אָדער אָפּרופן אַקסעס אויף אַ באַניצער-ביי-באַניצער יקער.
• צוריקקריגן פאַרפאַלן אָדער מאַלפאַנגקשאַנינג שליסלען, אָדער פֿון באַקאַפּס און שליסל אַרקייווז.
• צעשטערן שליסלען וואָס זענען ניט מער פארלאנגט.
• פירן די לייפסייק פון אַקטאַוויישאַן און דיאַקטיוויישאַן, אַזוי אַז זיכער שליסלען זענען בארעכטיגט בלויז פֿאַר די צייט וואָס זיי דאַרפֿן.
• פּראָצעס באַאַמטער ריקוועס פֿאַר אַקסעס, פֿון געזעץ ענפאָרסמאַנט יידזשאַנסיז אָדער, אין זיכער צושטאנדן, רעגולאַטאָרי יידזשאַנסיז.
• אַנטהאַלטן אַקסעס קאָנטראָלס וואָס באַשיצן גשמיות אַקסעס צו שליסלען און ינקריפּטיד אינפֿאָרמאַציע.
• באַטראַכטן די אָטאַנטיסיטי פון ציבור שליסלען איידער ימפּלאַמענטיישאַן (סערטיפיקאַט אויטאריטעטן און עפנטלעך סערטיפיקאַץ).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.31
• ISO 27002 8.24

ISO 27701 פּונקט 6.9.3.1 (אינפֿאָרמאַציע באַקקופּ) און EU GDPR אַרטיקל 32 (1) (c)

אָרגאַנאַזיישאַנז זאָל פּלאַן טעמע-ספּעציפיש פּאַלאַסיז וואָס גלייך אַדרעס ווי די אָרגאַניזאַציע באַקאַפּס די באַטייַטיק געביטן פון זייַן נעץ אין סדר צו באַוואָרענען PII און פֿאַרבעסערן ריזיליאַנס קעגן פּריוואַטקייט-פֿאַרבונדענע ינסאַדאַנץ.

BUDR פּראָוסידזשערז זאָל זיין דראַפטיד צו דערגרייכן דעם ערשטיק ציל צו ענשור אַז אַלע געשעפט קריטיש דאַטן, ווייכווארג און סיסטעמען קענען זיין ריקאַווערד נאָך דאַטע אָנווער, ינטרוזשאַן, געשעפט יבעררייַס און קריטיש פייליערז.

ווי אַ בילכערקייַט, BUDR פּלאַנז זאָל:

• אַוטליין רעסטעריישאַן פּראָוסידזשערז וואָס דעקן אַלע קריטיש סיסטעמען און באַדינונגס.
• קענען פּראָדוצירן ווערקאַבאַל קאפיעס פון קיין סיסטעמען, דאַטן אָדער אַפּלאַקיישאַנז וואָס זענען טייל פון אַ באַקאַפּ אַרבעט.
• דינען די געשעפט און אַפּעריישאַנאַל רעקווירעמענץ פון דער אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.30).
• סטאָר באַקאַפּס אין אַן ינווייראַנמענאַלי פּראָטעקטעד אָרט וואָס איז פיזיקלי באַזונדער פון די מקור דאַטן (זען ISO 27002 קאָנטראָל 8.1).
• קעסיידער פּרובירן און אָפּשאַצן באַקאַפּ דזשאָבס קעגן די אָרגאַנאַזיישאַנז מאַנדייטיד אָפּזוך צייט, אין סדר צו גאַראַנטירן דאַטן אַוויילאַבילאַטי.
• ענקריפּט אַלע PII-פֿאַרבונדענע באַקאַפּ דאַטן.
• טאָפּל טשעק פֿאַר קיין דאַטן אָנווער איידער עקסאַקיוטינג אַ באַקאַפּ אַרבעט.
• אַדכיר צו אַ ריפּאָרטינג סיסטעם וואָס אַלערץ שטעקן צו די סטאַטוס פון באַקאַפּ דזשאָבס.
• זוכן צו ינקאָרפּערייט דאַטן פון וואָלקן-באזירט פּלאַטפאָרמס וואָס זענען נישט גלייך געראטן דורך די אָרגאַניזאַציע, אין ינערלעך באַקאַפּ דזשאָבס.
• סטאָר באַקאַפּס אין לויט מיט אַ צונעמען PII ריטענשאַן פּאָליטיק (זען ISO 27002 קאָנטראָל 8.10).

אָרגאַנאַזיישאַנז דאַרפֿן צו אַנטוויקלען באַזונדער פּראָוסידזשערז וואָס האַנדלען בלויז מיט PII (אָלבייט קאַנטיינד אין זייער הויפּט BUDR פּלאַן).

רעגיאָנאַל דיפעראַנסיז אין PII BUDR סטאַנדאַרדס (קאַנטראַקטשואַל, לעגאַל און רעגולאַטאָרי) זאָל זיין גענומען אין באַטראַכטונג ווען אַ נייַע אַרבעט איז באשאפן, דזשאָבס זענען אַמענדיד אָדער נייַע PII דאַטן זענען מוסיף צו די BUDR רוטין.

ווען די נויט קומט צו ומקערן PII נאָך אַ BUDR אינצידענט, אָרגאַנאַזיישאַנז זאָל נעמען גרויס זאָרג צו צוריקקומען די PII צו זיין אָריגינעל שטאַט, און אָפּשאַצן ומקערן אַקטיוויטעטן צו סאָלווע קיין ישוז מיט די נייַע דאַטן.

אָרגאַנאַזיישאַנז זאָל האַלטן אַ קלאָץ פון רעסטעריישאַן טעטיקייט, אַרייַנגערעכנט קיין פּערסאַנעל ינוואַלווד אין די ומקערן, און אַ באַשרייַבונג פון די PII וואָס איז געווען געזונט.

אָרגאַנאַזיישאַנז זאָל קאָנטראָלירן מיט קיין געזעץ-מאכן אָדער רעגולאַטאָרי יידזשאַנסיז און ענשור אַז זייער PII רעסטאָראַטיאָן פּראָוסידזשערז זענען אין אַליינמאַנט מיט וואָס איז דערוואַרט פון זיי ווי אַ PII פּראַסעסער און קאָנטראָללער.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 פּונקט 7.2.1 (ידענטיפיצירן און דאָקומענט ציל) און EU GDPR אַרטיקל 32 (4)

אָרגאַנאַזיישאַנז דאַרפֿן צו ערשטער ידענטיפיצירן און דעמאָלט רעקאָרד די ספּעציפיש סיבות פֿאַר פּראַסעסינג די PII וואָס זיי נוצן.

PII פּרינסיפּאַלס דאַרפֿן צו זיין גאָר באַקאַנט מיט אַלע די פאַרשידן סיבות פֿאַר וואָס זייער PII איז פּראַסעסט.

עס איז די פֿאַראַנטוואָרטלעכקייט פון דער אָרגאַניזאַציע צו יבערגעבן די סיבות צו PII פּרינסיפּאַלס, צוזאַמען מיט אַ 'קלאָר דערקלערונג' אויף וואָס זיי דאַרפֿן צו פּראָצעס זייער אינפֿאָרמאַציע.

כל דאַקיומענטיישאַן דאַרף זיין קלאָר, פולשטענדיק און לייכט פארשטאנען דורך קיין PII הויפּט וואָס לייענט עס - אַרייַנגערעכנט עפּעס רילייטינג צו צושטימען, ווי געזונט ווי קאָפּיעס פון ינערלעך פּראָוסידזשערז (זען ISO 27701 קלאָזיז 7.2.3, 7.3.2 און 7.2.8).

שטיצן ISO 27701 קאָנטראָלס

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 פּונקט 7.4.5 (PII דע-ידענטיפיקאַטיאָן און דילישאַן אין די סוף פון פּראַסעסינג) און EU GDPR אַרטיקל 32 (1) (אַ)

אָרגאַנאַזיישאַנז אָדער דאַרפֿן צו גאָר צעשטערן קיין PII וואָס ניט מער מקיים אַ ציל, אָדער מאָדיפיצירן עס אויף אַ וועג וואָס פּריווענץ קיין פאָרעם פון הויפּט לעגיטימאַציע.

ווי באַלד ווי די אָרגאַניזאַציע פעסטשטעלן אַז PII דאַרף ניט זיין פּראַסעסט אין קיין צייט אין דער צוקונפֿט, די אינפֿאָרמאַציע זאָל זיין אויסגעמעקט or דע-יידענטאַפייד, ווי די אומשטענדן דיקטירן.

ISO 27701 פּונקט 8.2.2 (אָרגאַנאַזיישאַנאַל צוועקן) און EU GDPR אַרטיקל 32 (4)

פון די אָנהייב, PII זאָל זיין פּראַסעסט בלויז אין לויט מיט די ינסטראַקשאַנז פון דער קונה.

קאַנטראַקץ זאָל אַרייַננעמען SLAs רילייטינג צו קעגנצייַטיק אַבדזשעקטיווז, און קיין פֿאַרבונדן צייט וואָג אין וואָס זיי דאַרפֿן צו זיין געענדיקט.

אָרגאַנאַזיישאַנז זאָל באַשטעטיקן זייער רעכט צו קלייַבן די פאַרשידענע מעטהאָדס וואָס זענען געניצט צו פּראַסעסינג PII, וואָס ליגאַלי דערגרייכן וואָס דער קונה איז קוקן פֿאַר, אָבער אָן די נויט צו באַקומען גראַניאַלער פּערמישאַנז אויף ווי די אָרגאַניזאַציע גייט וועגן עס אויף אַ טעכניש מדרגה.

שטיצן ISO 27701 קלאָזיז און ISO 27002 קאָנטראָלס

ווי ISMS.online העלפּס

די ISMS.online פּלאַטפאָרמע האט אַ געבויט-אין גיידאַנס אין יעדער שריט קאַמביינד מיט אונדזער ימפּלאַמענטיישאַן צוגאַנג "אַדאָפּט, אַדאַפּט, לייג" אַזוי די מי פארלאנגט צו באַווייַזן דיין צוגאַנג צו GDPR איז באטייטיק רידוסט. איר וועט נוץ פון אַ קייט פון שטאַרק צייט-שפּאָרן פֿעיִקייטן.

ISMS.online אויך מאכט עס גרינג פֿאַר איר צו שפּרינגען גלייך אין דיין נסיעה צו GDPR העסקעם און צו לייכט באַווייַזן די מדרגה פון שוץ וואָס גייט ווייַטער פון 'גלייַך', אַלע אין איין זיכער, שטענדיק-אויף אָרט.

געפֿינען זיך מער דורך בוקינג אַ קורץ 30 מינוט דעמאָ.