ווי צו באַווייַזן העסקעם מיט GDPR אַרטיקל 5

אינפֿאָרמאַציע אַריבערפירן

ISO 27701 פּונקט 6.10.2.1 (אינפֿאָרמאַציע אַריבערפירן פּאַלאַסיז און פּראָוסידזשערז) און EU GDPR אַרטיקל 5 (1) (f)

אינפֿאָרמאַציע אַריבערפירן אַפּעריישאַנז זאָל:

• פאָקוס אויף קאָנטראָלס וואָס פאַרמייַדן די ינטערסעפּשאַן, אַנאָטערייזד אַקסעס, copying, מאַדאַפאַקיישאַן, מיסראָוטינג, כורבן און אָפּלייקענונג פון דינסט פון PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע (זען יסאָ קסנומקס קאָנטראָל 8.24).
• פאַרזיכערן אַז אינפֿאָרמאַציע איז טרייסאַבאַל.
• קאַטאַגערייז אַ רשימה פון קאָנטאַקטן - ד"ה אָונערז, ריזיקירן אָונערז עטק.
• אַוטליין ריספּאַנסאַבילאַטיז אין די געשעעניש פון אַ זיכערהייט אינצידענט.
• אַרייַננעמען קלאָר און קאַנסייס לייבלינג סיסטעמען (זען ISO 27002 קאָנטראָל 5.13).
• פאַרזיכערן אַ פאַרלאָזלעך אַריבערפירן מעכירעס, אַרייַנגערעכנט טעמע-ספּעציפיש פּאַלאַסיז אויף די אַריבערפירן פון דאַטן (זען ISO 27002 קאָנטראָל 5.10).
• אַוטליין ריטענשאַן און באַזייַטיקונג גיידליינז, אַרייַנגערעכנט קיין געגנט אָדער סעקטאָר-ספּעציפיש געזעצן און גיידליינז.

עלעקטראָניש אַריבערפירן

ווען ניצן עלעקטראָניש אַריבערפירן פאַסילאַטיז, אָרגאַנאַזיישאַנז זאָל:

1. פּרווון צו דעטעקט און באַשיצן קעגן בייזע מגילה (זען ISO 27002 קאָנטראָל 8.7).
2. פאָקוס אויף פּראַטעקטינג אַטאַטשמאַנץ.
3. נעמען גרויס זאָרג אין שיקן אינפֿאָרמאַציע צו די ריכטיק אַדרעס.
4. מאַנדאַט פֿאַר אַ אַפּרווואַלז פּראָצעס, איידער עמפּלוייז זענען ביכולת צו יבערשיקן אינפֿאָרמאַציע דורך 'פונדרויסנדיק ציבור באַדינונגען' (למשל רעגע מעסידזשינג), און געניטונג מער קאָנטראָל איבער אַזאַ מעטהאָדס.
5. ויסמיידן ניצן SMS באַדינונגס און פאַקס מאשינען, אויב מעגלעך.

גשמיות טראַנספערס (אַרייַנגערעכנט סטאָרידזש מידיאַ)

ווען טראַנספערינג גשמיות מידיאַ (אַרייַנגערעכנט פּאַפּיר דאָקומענטן) צווישן לאָקאַל אָדער פונדרויסנדיק לאָוקיישאַנז, אָרגאַנאַזיישאַנז זאָל:

• אַוטליין קלאָר ריספּאַנסאַבילאַטיז פֿאַר דעפּעש און קאַבאָלע.
• נעמען גרויס זאָרג אַרייַנפיר די ריכטיק אַדרעס דעטאַילס.
• ניצן פּאַקקאַגינג וואָס אָפפערס שוץ פון גשמיות שעדיקן אָדער טאַמפּערינג.
• אַרבעטן מיט אַ רשימה פון אָטערייזד קעריערז און דריט פּאַרטיי דעספּאַטשערז, אַרייַנגערעכנט געזונט לעגיטימאַציע סטאַנדאַרדס.
• האַלטן גרונטיק לאָגס פון אַלע פיזיש טראַנספערס, אַרייַנגערעכנט דעטאַילס פון די באַקומער, דאַטעס און צייט פון טראַנספערס, און קיין גשמיות שוץ מיטלען.

מינדלעך טראַנספערס

מינדלעך קאַנווייינג שפּירעוודיק אינפֿאָרמאַציע גיט אַ יינציק זיכערהייט ריזיקירן, ספּעציעל ווען PII און פּריוואַטקייט שוץ איז זארגן.

אָרגאַנאַזיישאַנז זאָל דערמאָנען עמפּלוייז צו:

1. ויסמיידן אַזאַ שמועסן אין אַ ציבור אָרט, אָדער אַנסיקיורד ינערלעך אָרט.
2. ויסמיידן לאָזן ווויסמייל אַרטיקלען וואָס אַנטהאַלטן שפּירעוודיק אָדער ריסטריקטיד אינפֿאָרמאַציע.
3. פאַרזיכערן אַז דער מענטש מיט וועמען זיי רעדן איז פון אַ צונעמען מדרגה צו באַקומען די אינפֿאָרמאַציע, און מיטטיילן זיי וועגן וואָס וועט זיין געזאָגט איידער די דיוואַלשאַן פון אינפֿאָרמאַציע.
4. זיין מיינדפאַל פון זייער סוויווע און ענשור אַז צימער קאָנטראָלס זענען אַדכירד צו.

נאָך וק GDPR קאָנסידעראַטיאָנס

• אַרטיקל 5 - (1) (f)

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.13
• ISO 27002 8.7
• ISO 27002 8.24

ISO 27701 פּונקט 6.10.2.4 (קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ) און EU GDPR אַרטיקל 5 (1)

אָרגאַנאַזיישאַנז זאָל נוצן ניט-אַנטפּלעקונג אַגרימאַנץ (נדאַס) און קאַנפאַדענשיאַלאַטי אַגרימאַנץ צו באַשיצן די ווילפאַל אָדער אַקסאַדענטאַל דיוואַלדזשאַנס פון שפּירעוודיק אינפֿאָרמאַציע צו אַנאָטערייזד פּערסאַנעל.

ווען דראַפטינג, ימפּלאַמענינג און מיינטיינינג אַזאַ אַגרימאַנץ, אָרגאַנאַזיישאַנז זאָל:

• פאָרשלאָגן אַ דעפֿיניציע פֿאַר די אינפֿאָרמאַציע וואָס איז צו זיין פּראָטעקטעד.
• קלאר אַוטליין די דערוואַרט געדויער פון די העסקעם.
• קלאר זאָגן קיין פארלאנגט אַקשאַנז, אַמאָל אַ העסקעם איז טערמאַנייטיד.
• קיין ריספּאַנסאַבילאַטיז וואָס זענען מסכים דורך באשטעטיקט סיגנאַטאָריעס.
• אָונערשיפּ פון אינפֿאָרמאַציע (אַרייַנגערעכנט IP און האַנדל סיקריץ).
• ווי סיגנאַטאָריעס זענען ערלויבט צו נוצן די אינפֿאָרמאַציע.
• קלאר באַשרייַבן די רעכט פון דער אָרגאַניזאַציע צו מאָניטאָר קאַנפאַדענשאַל אינפֿאָרמאַציע.
• קיין רעפּערקוסשאַנז וואָס וועט אויפשטיין פון ניט-העסקעם.
• ריוויוד קעסיידער זייער קאַנפאַדענשיאַלאַטי באדערפענישן, און סטרויערן די צוקונפֿט אַגרימאַנץ אַקאָרדינגלי.

קאַנפאַדענשיאַלאַטי געזעצן בייַטן פון דזשוריסדיקשאַן צו דזשוריסדיקשאַן, און אָרגאַנאַזיישאַנז זאָל באַטראַכטן זייער אייגענע לעגאַל און רעגולאַטאָרי אַבלאַגיישאַנז ווען דראַפטינג NDAs און קאַנפאַדענשיאַלאַטי אַגרימאַנץ (זען ISO 27002 קאָנטראָלס 5.31, 5.32, 5.33 און 5.34).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.31
• ISO 27002 5.32
• ISO 27002 5.33
• ISO 27002 5.34

סיסטעם אַקוואַזישאַן אַנטוויקלונג & וישאַלט

ISO 27701 פּונקט 6.11.1.2 (סיקיורינג אַפּפּליקאַטיאָן באַדינונגס אויף פּובליק נעטוואָרקס) און EU GDPR אַרטיקל 5 (1) (f)

אַפּפּליקאַטיאָן זיכערהייט פּראָוסידזשערז זאָל זיין דעוועלאָפּעד צוזאמען אַ ברייטערער פּריוואַטקייט שוץ פּאַלאַסיז, ​​​​יוזשאַוואַלי דורך אַ סטראַקטשערד ריזיקירן אַסעסמאַנט וואָס נעמט אין חשבון קייפל וועריאַבאַלז.

אַפּפּליקאַטיאָן זיכערהייט רעקווירעמענץ זאָל אַרייַננעמען:

1. די לעוועלס פון צוטרוי טאָכיק אין אַלע נעץ ענטיטיז (זען ISO 27002 קאָנטראָלס 5.17, 8.2 און 8.5).
2. די קלאַסאַפאַקיישאַן פון דאַטן וואָס די אַפּלאַקיישאַן איז קאַנפיגיערד צו פּראָצעס (אַרייַנגערעכנט PII).
3. קיין סעגרעגאַציע באדערפענישן.
4. שוץ קעגן ינערלעך און פונדרויסנדיק אנפאלן, און / אָדער בייזע נוצן.
5. קיין פּריוויילינג לעגאַל, קאַנטראַקטשואַל אָדער רעגולאַטאָרי רעקווירעמענץ.
6. שטאַרק שוץ פון קאַנפאַדענשאַל אינפֿאָרמאַציע.
7. דאַטן וואָס זאָל זיין פּראָטעקטעד אין דורכפאָר.
8. קיין קריפּטאָגראַפיק באדערפענישן.
9. זיכער אַרייַנשרייַב און רעזולטאַט קאָנטראָלס.
10. מינימאַל נוצן פון אַנריסטריקטיד אַרייַנשרייַב פעלדער - ספּעציעל יענע וואָס האָבן די פּאָטענציעל צו קראָם פערזענלעכע דאַטן.
11. די האַנדלינג פון טעות אַרטיקלען, אַרייַנגערעכנט קלאָר קאָמוניקאַציע פון ​​טעות קאָודז.

טראַנסאַקטיאָנאַל באַדינונגס

טראַנסאַקטיאָנאַל באַדינונגס וואָס פאַסילאַטייט די לויפן פון פּריוואַטקייט דאַטן צווישן די אָרגאַניזאַציע און אַ דריט פּאַרטיי אָרגאַניזאַציע, אָדער שוטעף אָרגאַניזאַציע, זאָל:

• פאַרלייגן אַ פּאַסיק מדרגה פון צוטרוי צווישן אָרגאַנאַזיישאַנאַל אידענטיטעט.
• אַרייַננעמען מעקאַניזאַמז וואָס קאָנטראָלירן פֿאַר צוטרוי צווישן געגרינדעט אידענטיטעט (למשל כאַשינג און דיגיטאַל סיגנאַטשערז).
• אַוטליין געזונט פּראָוסידזשערז וואָס רעגירן וואָס עמפּלוייז זענען ביכולת צו פירן שליסל טראַנסאַקטיאָנאַל דאָקומענטן.
• אַנטהאַלטן דאָקומענט און טראַנסאַקטיאָנאַל פאַרוואַלטונג פּראָוסידזשערז וואָס דעקן די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט, דערווייַז פון דעפּעש און קאַבאָלע פון ​​שליסל דאָקומענטן און טראַנזאַקשאַנז.
• אַרייַננעמען ספּעציפיש גיידאַנס אויף ווי צו האַלטן טראַנזאַקשאַנז קאַנפאַדענשאַל.

עלעקטראָניש אָרדערינג און צאָלונג אַפּלאַקיישאַנז

פֿאַר קיין אַפּלאַקיישאַנז וואָס אַרייַנציען עלעקטראָניש אָרדערינג און / אָדער צאָלונג, אָרגאַנאַזיישאַנז זאָל:

• אַוטליין שטרענג רעקווירעמענץ פֿאַר שוץ פון צאָלונג און אָרדערינג דאַטן.
• באַשטעטיקן צאָלונג אינפֿאָרמאַציע איידער אַ סדר איז געשטעלט.
• סיקיורלי קראָם טראַנסאַקטיאָנאַל און פּריוואַטקייט-פֿאַרבונדענע דאַטן אין אַ וועג וואָס איז ינאַקסעסאַבאַל פֿאַר דעם ציבור.
• ניצן טראַסטיד אויטאריטעטן ווען ימפּלאַמענינג דיגיטאַל סיגנאַטשערז, מיט פּריוואַטקייט שוץ אין זינען אין אַלע צייט.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.17
• ISO 27002 8.2
• ISO 27002 8.5

ISO 27701 פּונקט 6.11.3.1 (שוץ פון טעסט דאַטן) און EU GDPR אַרטיקל 5 (1) (f)

אָרגאַנאַזיישאַנז זאָל קערפאַלי אויסקלייַבן פּרובירן דאַטן צו ענשור אַז טעסטינג טעטיקייט איז פאַרלאָזלעך און זיכער. אָרגאַנאַזיישאַנז זאָל באַצאָלן עקסטרע ופמערקזאַמקייט צו ענשור אַז PII איז נישט קאַפּיד אין די אַנטוויקלונג און טעסטינג ינווייראַנמאַנץ.

אין סדר צו באַשיצן אַפּעריישאַנאַל דאַטן בעשאַס טעסטינג אַקטיוויטעטן, אָרגאַנאַזיישאַנז זאָל:

1. ניצן אַ כאָומאַדזשיניאַס גאַנג פון אַקסעס קאָנטראָל פּראָוסידזשערז אַריבער טעסטינג און אַפּעריישאַנאַל ינווייראַנמאַנץ.
2. פאַרזיכערן אַז דערלויבעניש איז פארלאנגט יעדער מאָל אַפּעריישאַנאַל דאַטן זענען קאַפּיד צו אַ פּראָבע סוויווע.
3. קלאָץ די קאַפּיינג און נוצן פון אַפּעריישאַנאַל דאַטן.
4. באַוואָרענען פּריוואַטקייט אינפֿאָרמאַציע דורך טעקניקס אַזאַ ווי מאַסקינג (זען ISO 27002 קאָנטראָל 8.11).
5. רימוווינג אַפּעריישאַנאַל דאַטן פון אַ טעסטינג סוויווע, אַמאָל עס איז ניט מער דארף (זען ISO 27002 קאָנטראָל 8.10).
6. סיקיורלי קראָם פּרובירן דאַטן, און ענשור אַז עמפּלוייז זענען אַווער אַז עס איז בלויז צו זיין געוויינט פֿאַר טעסטינג צוועקן.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 8.10
• ISO 27002 8.11

סאַפּלייער רעלאַטיאָנשיפּס

ISO 27701 פּונקט 6.12.1.2 (אַדרעסינג זיכערהייט אין סאַפּלייער אַגרימאַנץ) און EU GDPR אַרטיקל 5 (1) (f)

ווען אַדרעסינג זיכערהייט אין סאַפּלייער באַציונגען, אָרגאַנאַזיישאַנז זאָל ענשור אַז ביידע פּאַרטיעס זענען אַווער פון זייער אַבלאַגיישאַנז צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט און איינער דעם אנדערן.

אין טאן אַזוי, אָרגאַנאַזיישאַנז זאָל:

• פאָרשלאָגן אַ קלאָר באַשרייַבונג וואָס דעטאַילס די פּריוואַטקייט אינפֿאָרמאַציע וואָס דאַרף זיין אַקסעסט און ווי די אינפֿאָרמאַציע וועט זיין אַקסעסט.
• קלאַסיפיצירן די פּריוואַטקייט אינפֿאָרמאַציע צו זיין אַקסעסט אין לויט מיט אַן אנגענומען קלאַסאַפאַקיישאַן סכעמע (זען ISO 27002 קאָנטראָלס 5.10, 5.12 און 5.13).
• באַטראַכטן די קלאַסאַפאַקיישאַן סכעמע פון ​​​​די סאַפּלייערז גענוג.
• קאַטאַגערייז רעכט אין פיר הויפּט געביטן - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל - מיט אַ דיטיילד באַשרייַבונג פון אַבלאַגיישאַנז פּער שטח.
• פאַרזיכערן אַז יעדער פּאַרטיי איז אַבליידזשד צו דורכפירן אַ סעריע פון ​​​​קאָנטראָלס וואָס מאָניטאָר, אַססעסס און פירן פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ריזיקירן לעוועלס.
• באַשרייַבן די נויט פֿאַר סאַפּלייער פּערסאַנעל צו אַדכיר צו די אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס פון אַן אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.20).
• פאַסילאַטייט אַ קלאָר פארשטאנד פון וואָס קאַנסטאַטוץ ביידע פּאַסיק און אַנאַקסעפּטאַבאַל נוצן פון פּריוואַטקייט אינפֿאָרמאַציע, און גשמיות און ווירטואַל אַסעץ פון יעדער פּאַרטיי.
• אָנפירן דערלויבעניש קאָנטראָלס וואָס זענען פארלאנגט פֿאַר סאַפּלייער-זייַט פּערסאַנעל צו אַקסעס אָדער זען אַן אָרגאַניזאַציע ס פּריוואַטקייט אינפֿאָרמאַציע.
• געבן באַטראַכטונג צו וואָס אַקערז אין די געשעעניש פון אַ בריטש פון קאָנטראַקט, אָדער קיין דורכפאַל צו אַדכיר צו יחיד סטיפּיאַליישאַנז.
• אַוטליין אַ ינסידענט מאַנאַגעמענט פּראָצעדור, אַרייַנגערעכנט ווי הויפּט געשעענישן זענען קאַמיונאַקייטיד.
• פאַרזיכערן אַז פּערסאַנעל באַקומען זיכערהייט וויסיקייַט טריינינג.
• (אויב דער סאַפּלייער איז דערלויבט צו נוצן סאַבקאַנטראַקטערז) לייג אין רעקווירעמענץ צו ענשור אַז סאַבקאַנטראַקטערז זענען אַליינד מיט די זעלבע גאַנג פון פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס ווי די סאַפּלייער.
• באַטראַכטן ווי סאַפּלייער פּערסאַנעל זענען סקרינד איידער ינטעראַקטינג מיט פּריוואַטקייט אינפֿאָרמאַציע.
• סטימולירן די נויט פֿאַר דריט-פּאַרטיי אַטטעסטיישאַנז וואָס אַדרעס די סאַפּלייער ס פיייקייט צו מקיים אָרגאַנאַזיישאַנאַל פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ.
• האָבן די קאַנטראַקטשואַל רעכט צו קאָנטראָלירן די פּראָוסידזשערז פון סאַפּלייער.
• דאַרפן סאַפּלייערז צו צושטעלן ריפּאָרץ וואָס דעטאַל די יפעקטיוונאַס פון זייער אייגענע פּראַסעסאַז און פּראָוסידזשערז.
• פאָקוס אויף גענומען סטעפּס צו ווירקן די בייַצייַטיק און גרונטיק האַכלאָטע פון ​​קיין חסרונות אָדער קאָנפליקט.
• פאַרזיכערן אַז סאַפּלייערז אַרבעטן מיט אַ טויגן BUDR פּאָליטיק, צו באַשיצן די אָרנטלעכקייַט און אַוויילאַבילאַטי פון PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ.
• דאַרפן אַ סאַפּלייער-זייַט ענדערונג פאַרוואַלטונג פּאָליטיק וואָס ינפאָרמז די אָרגאַניזאַציע פון ​​קיין ענדערונגען וואָס האָבן די פּאָטענציעל צו פּראַל אויף פּריוואַטקייט שוץ.
• ינסטרומענט פיזיש זיכערהייט קאָנטראָלס וואָס זענען פּראַפּאָרשאַנאַל צו די סענסיטיוויטי פון די דאַטן סטאָרד און פּראַסעסט.
• (וואו די דאַטן זאָל זיין טראַנספערד) בעטן סאַפּלייערז צו ענשור אַז דאַטן און אַסעץ זענען פּראָטעקטעד פון אָנווער, שעדיקן אָדער קאָרופּציע.
• באַשרייַבן אַ רשימה פון אַקשאַנז צו זיין גענומען דורך יעדער פּאַרטיי אין די געשעעניש פון טערמאַניישאַן.
• בעט די סאַפּלייער צו דערקלערן ווי זיי בדעה צו צעשטערן פּריוואַטקייט אינפֿאָרמאַציע נאָך טערמאַניישאַן, אָדער פון די דאַטן איז ניט מער פארלאנגט.
• נעמען סטעפּס צו ענשור מינימאַל געשעפט יבעררייַס בעשאַס אַ כאַנדאָוווער צייַט.

אָרגאַניזאַציעס זאָל אויך האַלטן אַ רעגיסטרירן פון אַגרימאַנץ, וואָס ליסטעד אַלע אַגרימאַנץ מיט אנדערע אָרגאַניזאַציעס.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.10
• ISO 27002 5.12
• ISO 27002 5.13
• ISO 27002 5.20

אינפֿאָרמאַציע סעקוריטי ינסידענט מאַנאַגעמענט & העסקעם

ISO 27701 פּונקט 6.13.1.1 (רעספּאָנסיביליטיעס און פּראָוסידזשערז) און EU GDPR אַרטיקל 5 (1) (f)

ראָלעס און ריספּאַנסאַבילאַטיז

אין סדר צו שאַפֿן אַ קאָוכיסיוו, העכסט פאַנגקשאַנינג אינצידענט פאַרוואַלטונג פּאָליטיק וואָס באַוואָרענען די אַוויילאַבילאַטי און אָרנטלעכקייַט פון פּריוואַטקייט אינפֿאָרמאַציע בעשאַס קריטיש ינסאַדאַנץ, אָרגאַנאַזיישאַנז זאָל:

• אַדכיר צו אַ אופֿן פֿאַר ריפּאָרטינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן.
• פאַרלייגן אַ סעריע פון ​​​​פּראַסעסאַז וואָס פירן פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט-פֿאַרבונדענע ינסאַדאַנץ אַריבער די געשעפט, אַרייַנגערעכנט:
• אַדמיניסטראַציע.
• דאָקומענטאַטיאָן.
• דעטעקשאַן.
• טריאַגע.
• פּרייאָראַטייזיישאַן.
• אַנאַליסיס.
• קאָמוניקאַציע.
• פּלאַן אַן אינצידענט ענטפער פּראָצעדור וואָס ינייבאַלז די אָרגאַניזאַציע צו אַססעסס, ריספּאַנד צו און לערנען פון ינסאַדאַנץ.
• פאַרזיכערן אַז ינסאַדאַנץ זענען געראטן דורך טריינד און קאָמפּעטענט פּערסאַנעל וואָס נוץ פון אָנגאָינג ווערקפּלייס טריינינג און סערטאַפאַקיישאַן מגילה.

ינסידענט מאַנאַגעמענט

שטעקן ינוואַלווד אין פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ זאָל פֿאַרשטיין:

1. די צייט עס זאָל נעמען צו האַלטן אַן אינצידענט.
2. קיין פּאָטענציעל פאלגן.
3. די שטרענגקייט פון דעם אינצידענט.

ווען איר האַנדלען מיט פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן, דער שטעקן זאָל:

• אַססעסס געשעענישן אין לויט מיט אַ שטרענג קרייטיריאַ וואָס וואַלאַדייץ זיי ווי אַ באוויליקט ינסאַדאַנץ.
• קאַטאַגערייז פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט געשעענישן אין 5 סאַב-טעמעס:
• מאָניטאָרינג (זען ISO 27002 קאָנטראָלס 8.15 און 8.16).
• דעטעקשאַן (זען ISO 27002 קאָנטראָל 8.16).
• קלאַסאַפאַקיישאַן (זען ISO 27002 קאָנטראָל 5.25).
• אַנאַליסיס.
• רעפּאָרטינג (זען ISO 27002 קאָנטראָל 6.8).
• ווען סאַלווינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ, אָרגאַנאַזיישאַנז זאָל:
• ענטפער און עסקאַלייט ישוז (זען ISO 27002 קאָנטראָל 5.26) אין לויט מיט דעם טיפּ פון אינצידענט.
• אַקטאַווייט קריזיס פאַרוואַלטונג און געשעפט קאַנטיניויישאַן פּלאַנז.
• ווירקן אַ געראטן אָפּזוך פון אַן אינצידענט וואָס מיטאַגייץ אַפּעריישאַנאַל און / אָדער פינאַנציעל שעדיקן.
• ינשור גרונטיק קאָמוניקאַציע פון ​​אינצידענט-פֿאַרבונדענע געשעענישן צו אַלע באַטייַטיק פּערסאַנעל.
• אָנטייל נעמען אין קאַלאַבערייטיוו אַרבעט (זען ISO 27002 קאָנטראָלס 5.5 און 5.6).
• קלאָץ אַלע אינצידענט געראטן-באזירט אַקטיוויטעטן.
• זיין פאַראַנטוואָרטלעך פֿאַר די האַנדלינג פון אינצידענט-פֿאַרבונדענע זאָגן (זען ISO 27002 קאָנטראָל 5.28).
• נעמען אַ גרונטיק וואָרצל גרונט אַנאַליסיס, צו מינאַמייז די ריזיקירן פון די אינצידענט געשעעניש ווידער, אַרייַנגערעכנט סאַגדזשעסטיד אַמענדמאַנץ צו קיין פּראַסעסאַז.

רעפּאָרטינג אַקטיוויטעטן זאָל זיין סענטערד אַרום 4 שליסל געביטן:

1. אַקשאַנז וואָס דאַרפֿן צו זיין גענומען אַמאָל אַ אינפֿאָרמאַציע זיכערהייט געשעעניש אַקערז.
2. אינצידענט פארמען וואָס רעקאָרדירן אינפֿאָרמאַציע איבער אַן אינצידענט.
3. סוף-צו-סוף באַמערקונגען פּראַסעסאַז צו אַלע באַטייַטיק פּערסאַנעל.
4. אינצידענט ריפּאָרץ אַז דעטאַל וואָס איז פארגעקומען אַמאָל אַ אינצידענט איז ריזאַלווד.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.25
• ISO 27002 5.26
• ISO 27002 5.5
• ISO 27002 5.6
• ISO 27002 6.8
• ISO 27002 8.15
• ISO 27002 8.16

ISO 27701 פּונקט 6.15.1.1 (ידענטיפיקאַטיאָן פון אָנווענדלעך געסעצ - געבונג און קאָנטראַקטואַל רעקווירעמענץ) און EU GDPR אַרטיקל 5 (1) (f)

אָרגאַנאַזיישאַנז זאָל נאָכקומען מיט לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ ווען:

• דראַפטינג און / אָדער אַמענדינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראָוסידזשערז.
• קאַטאַגערייזינג אינפֿאָרמאַציע.
• עמבאַרקינג אויף ריזיקירן אַסעסמאַנץ רילייטינג צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט אַקטיוויטעטן.
• פאָרגינג סאַפּלייער באציונגען, אַרייַנגערעכנט קיין קאַנטראַקטשואַל אַבלאַגיישאַנז איבער די צושטעלן קייט.

לעגיסלאַטיווע און רעגולאַטאָרי סיבות

אָרגאַנאַזיישאַנז זאָל נאָכגיין פּראָוסידזשערז וואָס לאָזן זיי צו ידענטיפיצירן, אַנאַליסיס און פאַרשטיין לעגיסלאַטיווע און רעגולאַטאָרי אַבלאַגיישאַנז - ספּעציעל די וואָס זענען זארגן מיט פּריוואַטקייט שוץ און PII - ווו נאָר זיי אַרבעטן.

אָרגאַנאַזיישאַנז זאָל שטענדיק זיין מיינדפאַל פון זייער פּריוואַטקייט שוץ אַבלאַגיישאַנז ווען זיי אַרייַן נייַע אַגרימאַנץ מיט דריט פּאַרטיעס, סאַפּלייערז און קאָנטראַקטאָרס.

קריפּטאָגראַפי

ווען דיפּלויינג ענקריפּשאַן מעטהאָדס צו שטיצן פּריוואַטקייט שוץ און באַוואָרעניש PII, אָרגאַנאַזיישאַנז זאָל:

1. אָבסערווירן קיין געזעצן וואָס רעגירן די אַרייַנפיר און אַרויספירן פון ייַזנוואַרג אָדער ווייכווארג וואָס האט די פּאָטענציעל צו מקיים אַ קריפּטאָגראַפיק פונקציע.
2. צושטעלן אַקסעס צו ינקריפּטיד אינפֿאָרמאַציע אונטער די געזעצן פון די דזשוריסדיקשאַן זיי אַרבעטן אין.
3. ניצן דריי שליסל עלעמענטן פון ענקריפּשאַן:
• דיגיטאַל סיגנאַטשערז.
• סתימות.
• דיגיטאַל סערטיפיקאַץ.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.20

ISO 27701 פּונקט 6.15.1.3 (שוץ פון רעקאָרדס) און EU GDPR אַרטיקל 5 (2)

אָרגאַנאַזיישאַנז זאָל באַטראַכטן רעקאָרד פאַרוואַלטונג אין 4 שליסל געביטן:

1. אָטענטיסיטי.
2. רילייאַבילאַטי.
3. אָרנטלעכקייַט.
4. וסאַביליטי.

צו האַלטן אַ פאַנגקשאַנאַל רעקאָרדס סיסטעם וואָס באַוואָרענען PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, אָרגאַנאַזיישאַנז זאָל:

• אַרויסגעבן גיידליינז וואָס האַנדלען מיט:
• סטאָרידזש.
• האַנדלינג (קייט פון קאַסטאַדי).
• באַזייַטיקונג.
• פּרעווענטינג מאַניפּיאַליישאַן.
• באַשרייַבן ווי לאַנג יעדער רעקאָרד טיפּ זאָל זיין ריטיינד.
• אָבסערווירן קיין געזעצן וואָס האַנדלען מיט רעקאָרד בעכעסקעם.
• אַדכיר צו קונה עקספּעקטיישאַנז אין ווי אָרגאַנאַזיישאַנז זאָל שעפּן זייער רעקאָרדס.
• צעשטערן רעקאָרדס אַמאָל זיי ניטאָ ניט מער פארלאנגט.
• קלאַסיפיצירן רעקאָרדס באזירט אויף זייער זיכערהייט ריזיקירן, למשל:
• אַקאַונטינג.
• געשעפט טראַנזאַקשאַנז.
• פּערסאַנעל רעקאָרדס.
• לעגאַל
• פאַרזיכערן אַז זיי זענען ביכולת צו צוריקקריגן רעקאָרדס אין אַ פּאַסיק צייט, אויב געבעטן צו טאָן דאָס דורך אַ דריט פּאַרטיי אָדער געזעץ ענפאָרסמאַנט אַגענטור.
• שטענדיק אַדכיר צו די גיידליינז פון די פאַבריקאַנט ווען סטאָרינג אָדער האַנדלינג רעקאָרדס אויף עלעקטראָניש מעדיע קוואלן.

מאָביל דעוויסעס און טעלעוואָרקינג

ISO 27701 פּונקט 6.3.2.1 (מאָביל דיווייס פּאַלאַסיז) און EU GDPR אַרטיקל 5 (1) (f)

אָרגאַנאַזיישאַנז זאָל ינסטרומענט טעמע-ספּעציפיש פּאַלאַסיז וואָס האַנדלען מיט פאַרשידענע קאַטעגאָריעס פון ענדפּוינט דעוויסעס און רירעוודיק מיטל ווייכווארג ווערסיעס, און ווי זיכערהייט קאָנטראָלס זאָל זיין טיילערד צו פֿאַרבעסערן דאַטן זיכערהייט.

אַן אָרגאַניזאַציע ס רירעוודיק מיטל פּאָליטיק, פּראָוסידזשערז און שטיצן זיכערהייט מיטלען זאָל נעמען אין חשבון:

• די פאַרשידענע קאַטעגאָריעס פון דאַטן אַז די מיטל קענען ביידע פּראָצעס און קראָם.
• ווי דיווייסאַז זענען רעגיסטרירט און יידענאַפייד אויף די נעץ.
• ווי דיווייסאַז וועט זיין פיזיקלי פּראָטעקטעד.
• קיין לימיטיישאַנז אויף אַפּלאַקיישאַנז און ווייכווארג ינסטאַליישאַנז.
• רימאָוט פאַרוואַלטונג, אַרייַנגערעכנט דערהייַנטיקונגען און פּאַטשאַז.
• באַניצער אַקסעס קאָנטראָלס, אַרייַנגערעכנט RBAC אויב פארלאנגט.
• ענקריפּשאַן.
• אַנטימאַלוואַרע קאַונטערמעזשערז (געראטן אָדער אַנמאַנידזשד).
• BUDR.
• בראַוזינג ריסטריקשאַנז.
• באַניצער אַנאַליטיקס (זען ISO 27002 קאָנטראָל 8.16).
• די ינסטאַלירונג, נוצן און ווייַט פאַרוואַלטונג פון רימווואַבאַל סטאָרידזש דעוויסעס אָדער רימווואַבאַל פּעריפעראַל דעוויסעס.
• ווי צו סעגרעגירן דאַטן אויף די מיטל, אַזוי אַז PII איז פּאַרטישאַנד אַוועק פון נאָרמאַל מיטל דאַטן (אַרייַנגערעכנט די פערזענלעכע דאַטן פון דער באַניצער). דאָס כולל קאַנסידערינג צי עס איז צונעמען אָדער נישט צו קראָם קיין סאָרט פון אָרגאַנאַזיישאַנאַל דאַטן אויף די גשמיות מיטל, אלא ווי ניצן די מיטל צו צושטעלן אָנליין אַקסעס צו עס.
• וואָס כאַפּאַנז ווען אַ מיטל איז פאַרפאַלן אָדער סטאָלען - ד"ה אַדרעסינג קיין לעגאַל, רעגולאַטאָרי אָדער קאַנטראַקטשואַל באדערפענישן, און האַנדלינג מיט די אָרגאַניזאַציע ס ינשורערז.

יחיד באַניצער פֿאַראַנטוואָרטלעכקייט

אַלעמען אין דער אָרגאַניזאַציע וואָס ניצט ווייַט אַקסעס דאַרף זיין בפירוש אַווער פון קיין רירעוודיק מיטל פּאָליטיק און פּראָוסידזשערז וואָס אַפּלייז צו זיי אין דעם קאָנטעקסט פון זיכער ענדפּוינט מיטל פאַרוואַלטונג.

יוזערז זאָל זיין געלערנט צו:

• פאַרמאַכן אַלע אַקטיוו ארבעטן סעשאַנז ווען זיי זענען ניט מער אין נוצן.
• ינסטרומענט פיזיש און דיגיטאַל שוץ קאָנטראָלס, ווי איז פארלאנגט דורך די פּאָליטיק.
• זיין מיינדפאַל פון זייער גשמיות סוויווע - און די טאָכיק זיכערהייט ריסקס זיי אַנטהאַלטן - ווען אַקסעסינג זיכער דאַטן ניצן די מיטל.

ברענגען דיין אייגן מיטל (BYOD)

אָרגאַנאַזיישאַנז וואָס לאָזן פּערסאַנעל צו נוצן פּערסאַנאַלי אָונד דעוויסעס זאָל אויך באַטראַכטן די פאלגענדע זיכערהייט קאָנטראָלס:

• ינסטאָלינג ווייכווארג אויף די מיטל (אַרייַנגערעכנט רירעוודיק פאָנעס) וואָס אַסיס אין די צעשיידונג פון געשעפט און פּערזענלעך דאַטן.
• ענפאָרסינג אַ BYOD פּאָליטיק וואָס כולל:
• דערקענטעניש פון אָרגאַנאַזיישאַנאַל אָונערשיפּ פון PII.
• גשמיות און דיגיטאַל שוץ מיטלען (זען אויבן).
• ווייַט דילישאַן פון דאַטן.
• קיין מיטלען וואָס ינשור אַליינמאַנט מיט PII געסעצ - געבונג און רעגולאַטאָרי גיידאַנס.
• IP רעכט, וועגן פירמע אָונערשיפּ פון עפּעס וואָס איז געשאפן אויף אַ פערזענלעכע מיטל.
• אָרגאַנאַזיישאַנאַל אַקסעס צו די מיטל - אָדער פֿאַר פּריוואַטקייט שוץ צוועקן, אָדער צו נאָכקומען מיט אַן ינערלעך אָדער פונדרויסנדיק ויספאָרשונג.
• EULAs און ווייכווארג לייסאַנסינג וואָס קען זיין אַפעקטאַד דורך די נוצן פון געשעפט ווייכווארג אויף אַ פּריוואַט אָונד מיטל.

ווירעלעסס קאַנפיגיעריישאַנז

ווען איר פּלאַן פּראָוסידזשערז וואָס האַנדלען מיט וויירליס קאַנעקטיוויטי אויף ענדפּוינט דעוויסעס, אָרגאַנאַזיישאַנז זאָל:

• קערפאַלי באַטראַכטן ווי אַזאַ דעוויסעס זאָל זיין ערלויבט צו פאַרבינדן צו וויירליס נעטוואָרקס פֿאַר אינטערנעט אַקסעס, פֿאַר די צוועקן פון באַוואָרעניש PII.
• פאַרזיכערן אַז וויירליס קאַנעקשאַנז האָבן גענוג קאַפּאַציטעט צו פאַסילאַטייט באַקאַפּס אָדער קיין אנדערע טעמע-ספּעציפיש פאַנגקשאַנז.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 8.9 - קאַנפיגיעריישאַן מאַנאַגעמענט
• ISO 27002 8.16 - מאָניטאָרינג אַקטיוויטעטן

Asset Management

ISO 27701 פּונקט 6.5.2.1 (קלאַסיפיקאַטיאָן פון אינפֿאָרמאַציע) און EU GDPR אַרטיקל 5 (1) (f)

אלא ווי צו שטעלן אַלע אינפֿאָרמאַציע אויף אַ גלייַך פאָאָט, אָרגאַניזאַציעס זאָל קלאַסיפיצירן אינפֿאָרמאַציע אויף אַ טעמע-ספּעציפיש יקער.

אינפֿאָרמאַציע אָונערז זאָל באַטראַכטן פיר שליסל סיבות, ווען קלאַסאַפייינג דאַטן (ספּעציעל וועגן PII), וואָס זאָל זיין ריוויוד פּיריאַדיקלי, אָדער ווען אַזאַ סיבות טוישן:

1. די מיט זיכערקייט פון די דאַטן.
2. די אָרנטלעכקייַט פון די דאַטן.
3. דאַטע אַוויילאַביליטי לעוועלס.
4. די אָרגאַניזאַציע לעגאַל אַבלאַגיישאַנז צו PII.

כּדי צו צושטעלן אַ קלאָר אַפּעריישאַנאַל פריימווערק, אינפֿאָרמאַציע קאַטעגאָריעס זאָל זיין געהייסן אין לויט מיט די טאָכיק ריזיקירן מדרגה, אויב קיין ינסאַדאַנץ פאַלן וואָס קאַמפּראַמייז קיין פון די אויבן סיבות.

צו ענשור קרייַז-פּלאַטפאָרמע קאַמפּאַטאַבילאַטי, אָרגאַנאַזיישאַנז זאָל מאַכן זייער אינפֿאָרמאַציע קאַטעגאָריעס בנימצא צו קיין פונדרויסנדיק פּערסאַנעל מיט וואָס זיי טיילן אינפֿאָרמאַציע, און ענשור אַז די אָרגאַניזאַציע 'ס אייגענע קלאַסאַפאַקיישאַן סכעמע איז וויידלי פארשטאנען דורך אַלע באַטייַטיק פּאַרטיעס.

אָרגאַניזאַציעס זאָל זיין אָפּגעהיט פון אונטער-קלאַסאַפייינג אָדער, פאַרקערט, איבער-קלאַסאַפייינג דאַטן. די ערשטע קענען פירן צו מיסטייקס אין גרופּינג PII מיט ווייניקער-שפּירעוודיק דאַטן טייפּס, בשעת די ערשטע פירט אָפט צו צוגעלייגט קאָסט, אַ גרעסערע געלעגנהייַט פון מענטש טעות און פּראַסעסינג אַנאַמאַליז.

ISO 27701 פּונקט 6.5.2.2 (לייבלינג פון אינפֿאָרמאַציע) און EU GDPR אַרטיקל 5 (1) (f)

לאַבעלס זענען אַ שליסל טייל פון ינשורינג אַז די אָרגאַניזאַציע 'ס PII קלאַסאַפאַקיישאַן פּאָליטיק (זען אויבן) איז אַדכירד צו, און אַז דאַטן קענען זיין קלאר יידענאַפייד אין לויט מיט זייַן סענסיטיוויטי (למשל PII איז לייבאַלד ווי אונטערשיידן פון ווייניקער קאַנפאַדענשאַל דאַטן טייפּס).

PII לייבלינג פּראָוסידזשערז זאָל דעפינירן:

• קיין סצענאַר ווו לייבלינג איז ניט פארלאנגט (עפנטלעך בנימצא דאַטן).
• אינסטרוקציעס וועגן ווי פּערסאַנעל זאָל זיין לייבלינג ביידע דיגיטאַל און גשמיות אַסעץ און סטאָרידזש לאָוקיישאַנז.
• קאַנטינדזשאַנסי פּלאַנז פֿאַר קיין סצענאַר ווו לייבלינג איז ניט פיזיקלי מעגלעך.

ISO גיט אַ פּלאַץ פון פאַרנעם פֿאַר אָרגאַנאַזיישאַנז צו קלייַבן זייער אייגענע לייבלינג טעקניקס, אַרייַנגערעכנט:

• פיזיש לייבלינג.
• עלעקטראָניש לאַבעלס אין כעדערז און פאָאָטערס.
• די דערצו אָדער אַמענדמענט פון מעטאַדאַטאַ, אַרייַנגערעכנט סעאַרטשאַבלע טערמינען און ינטעראַקטיוו פאַנגקשאַנאַליטי מיט אנדערע אינפֿאָרמאַציע פאַרוואַלטונג פּלאַטפאָרמס (למשל די PIMS פון דער אָרגאַניזאַציע).
• וואַטערמאַרקינג וואָס גיט אַ קלאָר אָנווייַז פון די דאַטן קלאַסאַפאַקיישאַן אויף אַ דאָקומענט-ביי-דאָקומענט יקער.
• שטעמפּל מאַרקס אויף גשמיות קאפיעס פון אינפֿאָרמאַציע.

ISO 27701 פּונקט 6.5.3.1 (פאַרוואַלטונג פון רימווואַבאַל מעדיע) און EU GDPR אַרטיקל 5 (1) (f)

רימווואַבאַל סטאָרידזש מידיאַ

ווען דעוועלאָפּינג פּאַלאַסיז וואָס רעגירן די האַנדלינג פון מעדיע אַסעץ ינוואַלווד אין סטאָרינג PII, אָרגאַנאַזיישאַנז זאָל:

• אַנטוויקלען יינציק טעמע-ספּעציפיש פּאַלאַסיז באזירט אויף דעפּאַרטמענטאַל אָדער אַרבעט-באזירט רעקווירעמענץ.
• פאַרזיכערן אַז געהעריק דערלויבעניש איז געזוכט און געגעבן, איידער פּערסאַנעל איז ביכולת צו באַזייַטיקן סטאָרידזש מידיאַ פון די נעץ (אַרייַנגערעכנט בעכעסקעם אַ פּינטלעך און דערהייַנטיקט רעקאָרד פון אַזאַ אַקטיוויטעטן).
• קראָם מעדיע אין לויט מיט די מאַניאַפאַקטשערערז ספּעסאַפאַקיישאַנז, פריי פון קיין ינווייראַנמענאַל שעדיקן.
• באַטראַכטן ניצן ענקריפּשאַן ווי אַ פּרי-רעקוואַזאַט צו אַקסעס, אָדער אויב דאָס איז ניט מעגלעך, ימפּלאַמענינג נאָך גשמיות זיכערהייט מיטלען.
• מינאַמייז די ריזיקירן פון פאַרדאָרבן PII דורך טראַנספערינג אינפֿאָרמאַציע צווישן סטאָרידזש מידיאַ, ווי פארלאנגט.
• באַקענען PII יבעריקייַט דורך סטאָרינג פּראָטעקטעד אינפֿאָרמאַציע אויף קייפל אַסעץ אין דער זעלביקער צייט.
• בלויז דערלויבן די נוצן פון סטאָרידזש מידיאַ אויף באוויליקט ינפּוץ (ד"ה סד קאַרדס און וסב פּאָרץ), אויף אַ אַסעט-ביי-אַסעץ יקער.
• ענג מאָניטאָר די אַריבערפירן פון PII אַנטו סטאָרידזש מידיאַ, פֿאַר קיין ציל.
• נעמען אין באַטראַכט די ריסקס טאָכיק אין די גשמיות אַריבערפירן פון סטאָרידזש מידיאַ (און דורך פּראַקסי, די PII קאַנטיינד אויף עס), ווען מאָווינג אַסעץ צווישן פּערסאַנעל אָדער לאָקאַל (זען ISO 27002 קאָנטראָל 5.14).

שייַעך-נוץ און באַזייַטיקונג

ווען רי-פּורפּאָסינג, שייַעך-ניצן אָדער דיספּאָוזינג פון סטאָרידזש מידיאַ, געזונט פּראָוסידזשערז זאָל זיין שטעלן אין פּלאַץ צו ענשור אַז PII איז נישט אַפעקטאַד אין קיין וועג, אַרייַנגערעכנט:

1. פאָרמאַטטינג די סטאָרידזש מידיאַ און ינשורינג אַז אַלע PII איז אַוועקגענומען איידער שייַעך-נוצן (זען ISO 27002 קאָנטראָל 8.10), אַרייַנגערעכנט מיינטיינינג טויגן דאַקיומענטיישאַן פון אַלע אַזאַ אַקטיוויטעטן.
2. סיקיורלי דיספּאָוזינג קיין מעדיע וואָס די אָרגאַניזאַציע האט קיין ווייַטער נוצן פֿאַר, און איז געניצט צו קראָם PII.
3. אויב באַזייַטיקונג ריקווייערז ינוואַלוומאַנט פון אַ דריט-פּאַרטיי, אָרגאַניזאַציעס זאָל נעמען גרויס זאָרג צו ענשור אַז זיי זענען אַ פּאַסיק און געהעריק שוטעף צו דורכפירן אַזאַ פליכט, אין לויט מיט די אָרגאַניזאַציע ס פֿאַראַנטוואָרטלעכקייט צו PII און פּריוואַטקייט שוץ.
4. ימפּלאַמענטינג פּראָוסידזשערז וואָס ידענטיפיצירן וואָס סטאָרידזש מידיאַ זענען בארעכטיגט פֿאַר שייַעך-נוצן, אָדער קענען זיין דיספּאָוזד אַקאָרדינגלי.

אויב דעוויסעס וואָס זענען געניצט צו קראָם PII ווערן דאַמידזשד, אָרגאַניזאַציעס זאָל קערפאַלי באַטראַכטן צי עס איז מער צונעמען צו צעשטערן אַזאַ מידיאַ אָדער שיקן עס פֿאַר פאַרריכטן (ערינג אויף די זייַט פון די ערשטע).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.14

ISO 27701 פּונקט 6.5.3.2 (באַזייַטיקונג פון מעדיע) און EU GDPR אַרטיקל 5 (1) (f)

זען ISO 27701 פּונקט 6.5.3.1

נאָך PII-פֿאַרבונדענע גיידאַנס

אויב מעדיע זאָל זיין דיספּאָוזד פון די פריער געהאלטן PII, אָרגאַנאַזיישאַנז זאָל ינסטרומענט פּראָוסידזשערז וואָס דאָקומענט די צעשטערונג פון PII און פּריוואַטקייט-פֿאַרבונדענע דאַטן, אַרייַנגערעכנט קאַטאַגאָריקאַל אַשוראַנס אַז עס איז ניט מער בנימצא.

ISO 27701 פּונקט 6.5.3.3 און EU GDPR 5 (1) (f)

רימווואַבאַל סטאָרידזש מידיאַ

ווען ימפּלאַמענינג פּאַלאַסיז וואָס האַנדלען מיט רימווואַבאַל מידיאַ, אָרגאַנאַזיישאַנז זאָל:

• אַנטוויקלען פּראָוסידזשערז וואָס אַדרעס דיפּאַרטמענאַל אָדער אַרבעט-באזירט רעקווירעמענץ.
• פאַרזיכערן אַז געהעריק דערלויבעניש איז באקומען איידער קיין מידיאַ איז אַוועקגענומען פון די פֿירמע נעץ.
• פאַרזיכערן אַז די גיידליינז פון קיין פאַבריקאַנט זענען שטרענג אַדכירד צו, ווען אַפּערייטינג קיין פאָרעם פון סטאָרידזש מיטל.
• באַטראַכטן די נוצן פון קריפּטאָגראַפיק סטאָרידזש טעכנאָלאָגיע.
• נעמען סטעפּס צו ענשור אַז דאַטן זענען נישט פארדארבן בעשאַס קיין אַריבערפירן פּראָצעס.
• פאַרגרעסערן יבעריקייַט דורך סטאָרינג אינפֿאָרמאַציע אויף קייפל אַסעץ אין דער זעלביקער צייט.
• אַפּרווו די נוצן פון סטאָרידזש מידיאַ (ד"ה סד קאַרדס און וסב פּאָרץ), אויף אַ אַסעט-ביי-אַסעץ יקער.
• פֿאַרשטיין און פאַרמינערן די ריסקס טאָכיק אין מאָווינג מידיאַ און אַסעץ צווישן פּערסאַנעל און לאָוקיישאַנז (זען ISO 27002 קאָנטראָל 5.14).

אָרגאַנאַזיישאַנז זאָל האַלטן גרונטיק רעקאָרדס פון קיין סטאָרידזש מידיאַ געניצט צו פּראָצעס שפּירעוודיק אינפֿאָרמאַציע, אַרייַנגערעכנט:

• דער טיפּ פון מידיאַ וואָס זאָל זיין געשיקט (הדד, וסב, סד קאָרט עטק).
• קיין אָטערייזד סענדערס און קיין ינערלעך פּערסאַנעל דערלויבט צו באַקומען מעדיע.
• די דאַטע און צייט פון אַריבערפירן.
• ווי פיל מידיאַ איז צו זיין טראַנספערד.

שייַעך-נוץ און באַזייַטיקונג

איבער דעם פּראָצעס פון שייַעך-פּורפּאָסינג, שייַעך-ניצן אָדער דיספּאָוזינג פון סטאָרידזש מידיאַ, אָרגאַנאַזיישאַנז זאָל:

• פאַרזיכערן אַז אַלע מידיאַ איז ריכטיק פאָרמאַטטעד, און אַלע אַזאַ אַקטיוויטעטן זענען ונ דורך דאַקיומענטאַד (זען ISO 27002 קאָנטראָל 8.10).
• פאַרזיכערן אַז, ווען סטאָרידזש אַסעץ זענען ניט מער פארלאנגט, זיי זענען דיספּאָוזד אויף אַ זיכער און זיכער שטייגער - אַרייַנגערעכנט אַ גרונטיק וואַטינג פון קיין דריט פּאַרטיעס ינוואַלווד אין באַזייַטיקונג אַקטיוויטעטן, צו ענשור אַז די אָרגאַניזאַציע איז פולפילינג זייַן פליכט צו די האַנדלינג פון PII.
• ידענטיפיצירן וואָס מעדיע איז פּאַסיק פֿאַר שייַעך-נוצן, אָדער דאַרף צו זיין דיספּאָוזד, ספּעציעל ווען דעוויסעס האָבן ווערן דאַמידזשד אָדער פיזיקלי קאַמפּראַמייזד אין קיין וועג.

אַקסעס קאָנטראָל

ISO 27701 פּונקט 6.6.2.1 (באַניצער פאַרשרייבונג און דערעגיסטראַטיאָן) און EU GDPR 5 (1) (f)

באַניצער רעגיסטראַציע איז גאַווערנד דורך די נוצן פון אַסיינד 'יידענטאַטיז'. אידענטיטעט צושטעלן אָרגאַנאַזיישאַנז מיט אַ פריימווערק צו רעגירן באַניצער אַקסעס צו PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ און מאַטעריאַל, אין די קאַנפיינז פון אַ נעץ.

די אָרגאַניזאַציע דאַרף נאָכגיין זעקס הויפּט גיידאַנס פונקטן, אין סדר צו ענשור אַז אידענטיטעט זענען געראטן ריכטיק, און PII איז פּראָטעקטעד ווו נאָר עס איז סטאָרד, פּראַסעסט אָדער אַקסעסט:

1. ווען אידענטיטעט זענען אַסיינד צו אַ מענטש, בלויז דער מענטש איז ערלויבט צו אָטענטאַקייט מיט און / אָדער נוצן די אידענטיטעט ווען אַקסעסינג PII.
2. שערד אידענטיטעט - קייפל מענטשן רעגיסטרירט אויף דער זעלביקער אידענטיטעט - זאָל זיין דיפּלויד בלויז צו באַפרידיקן אַ יינציק גאַנג פון אַפּעריישאַנאַל רעקווירעמענץ.
3. ניט-מענטש ענטיטיז זאָל זיין באַטראַכט און געראטן דיפערענטלי צו באַניצער-באזירט אידענטיטעט וואָס אַקסעס PII און פּריוואַטקייט-פֿאַרבונדענע מאַטעריאַל.
4. אידענטיטעט זאָל זיין אַוועקגענומען אַמאָל זיי זענען ניט מער דארף - ספּעציעל יענע מיט אַקסעס צו PII אָדער פּריוואַטקייט-באזירט ראָלעס.
5. אָרגאַנאַזיישאַנז זאָל האַלטן זיך צו אַ 'איין ענטיטי, איין אידענטיטעט' הערשן, ווען דיסטריביוטינג אידענטיטעט אַריבער די נעץ.
6. רעדזשיסטריישאַנז זאָל זיין לאָגד און רעקאָרדעד דורך קלאָר דאַקיומענטיישאַן, אַרייַנגערעכנט טימעסטאַמפּס, אַקסעס לעוועלס און אידענטיטעט אינפֿאָרמאַציע.

אָרגאַנאַזיישאַנז וואָס אַרבעט אין שוטפעס מיט פונדרויסנדיק אָרגאַנאַזיישאַנז (ספּעציעל וואָלקן-באזירט פּלאַטפאָרמס) זאָל פֿאַרשטיין די טאָכיק ריסקס פֿאַרבונדן מיט אַזאַ פּראַקטיסיז, און נעמען סטעפּס צו ענשור אַז PII איז נישט אַדווערסלי אַפעקטאַד אין דעם פּראָצעס (זען ISO 27002 קאָנטראָלס 5.19 און 5.17).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.17
• ISO 27002 5.19

ISO 27701 פּונקט 6.6.2.2 (באַניצער אַקסעס פּראַוויזשאַנז) און EU GDPR 5 (1) (f)

'אַקסעס רעכט' רעגירן ווי אַקסעס צו PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע איז געגעבן און ריוואָוקט, ניצן די זעלבע גאַנג פון גיידינג פּרינסאַפּאַלז.

געבן און ריוואָוקינג אַקסעס רעכט

אַקסעס פּראָוסידזשערז זאָל אַרייַננעמען:

• דערלויבעניש און דערלויבעניש פון די באַזיצער (אָדער פאַרוואַלטונג) פון די אינפֿאָרמאַציע אָדער אַסעט (זען ISO 27002 קאָנטראָל 5.9).
• קיין פּריוויילינג געשעפט, לעגאַל אָדער אַפּעריישאַנאַל באדערפענישן.
• א דערקענטעניש פון די נויט צו סעגרעגירן דוטיז, אין סדר צו פֿאַרבעסערן PII זיכערהייט און בויען אַ מער ריזיליאַנט פּריוואַטקייט שוץ אָפּעראַציע.
• קאָנטראָלס צו צוריקציען אַקסעס רעכט, ווען אַקסעס איז ניט מער פארלאנגט (לאַווערז אאז"ו ו).
• צייט אַקסעס מיטלען פֿאַר צייַטווייַליק פּערסאַנעל אָדער קאָנטראַקטאָרס.
• א צענטראליזעד רעקאָרד פון אַקסעס רעכט צו ביידע מענטש און ניט-מענטש ענטיטיז.
• מיטלען צו מאָדיפיצירן די אַקסעס רעכט פון קיין פּערסאַנעל אָדער דריט-פּאַרטיי קאָנטראַקטאָרס וואָס האָבן געביטן אַרבעט ראָלעס.

ריוויוינג אַקסעס רעכט

אָרגאַנאַזיישאַנז זאָל דורכפירן פּעריאָדיש באריכטן פון אַקסעס רעכט אַריבער די נעץ, אַרייַנגערעכנט:

• בויען אַקסעס רעכט רעוואָקאַטיאָן אין HR אַוועק-באָרדינג פּראָוסידזשערז (זען ISO 27002 קאָנטראָלס 6.1 און 6.5) און ראָלע-טוישן וואָרקפלאָווס.
• ריקוועס פֿאַר 'פּריוולידזשד' אַקסעס רעכט.

טוישן מאַנאַגעמענט און לעאַווערס

פּערסאַנעל וואָס אָדער פאַרלאָזן די אָרגאַניזאַציע (אָדער ווילפאַלי אָדער ווי אַ טערמאַנייטיד אָנגעשטעלטער), און יענע וואָס זענען די ונטערטעניק פון אַ ענדערונג בעטן, זאָל האָבן זייער אַקסעס רעכט אַמענדיד באזירט אויף געזונט ריזיקירן פאַרוואַלטונג פּראָוסידזשערז, אַרייַנגערעכנט:

• דער מקור פון די ענדערונג / טערמאַניישאַן, אַרייַנגערעכנט די אַנדערלייינג סיבה.
• דער באַניצער ס קראַנט אַרבעט ראָלע און אַטאַטשט ריספּאַנסאַבילאַטיז.
• די אינפֿאָרמאַציע און אַסעץ וואָס זענען דערווייַל צוטריטלעך - אַרייַנגערעכנט זייער ריזיקירן לעוועלס און ווערט פֿאַר די אָרגאַניזאַציע.

סופּפּלעמענטאַרי גיידאַנס

באַשעפטיקונג קאַנטראַקץ און קאָנטראַקטאָר / סערוויס קאַנטראַקץ זאָל אַרייַננעמען אַ דערקלערונג פון וואָס כאַפּאַנז נאָך קיין פרווון צו אַנאָטערייזד אַקסעס (זען ISO 27002 קאָנטראָלס 5.20, 6.2, 6.4, 6.6).

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.9
• ISO 27002 5.20
• ISO 27002 6.2
• ISO 27002 6.4
• ISO 27002 6.6

ISO 27701 פּונקט 6.6.4.2 (זיכער לאָגין פּראָוסידזשערז) און EU GDPR 5 (1) (f)

PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ דאַרפֿן צו זיין סטאָרד אויף אַ נעץ וואָס פֿעיִקייטן אַ קייט פון אָטענטאַקיישאַן קאָנטראָלס, אַרייַנגערעכנט:

• מולטי-פאַקטאָר אָטענטאַקיישאַן (מפאַ).
• דיגיטאַל סערטיפיקאַץ.
• סמאַרט קאַרדס / פאָבס.
• ביאָמעטריק וועראַפאַקיישאַן.
• זיכער טאָקענס.

צו פאַרמייַדן און מינאַמייז די ריזיקירן פון אַנאָטערייזד אַקסעס צו PII, אָרגאַנאַזיישאַנז זאָל:

1. פאַרהיטן די אַרויסווייַזן פון PII אויף אַ מאָניטאָר אָדער ענדפּוינט מיטל, ביז אַ באַניצער האט הצלחה אָטענטאַקייטאַד.
2. געבן די יוזערז אַ קלאָר ווארענונג - איידער קיין לאָגין איז פּרוווד - וואָס אַוטליינז די שפּירעוודיק נאַטור פון די דאַטן זיי זענען וועגן צו אַקסעס.
3. זייט אָפּגעהיט צו צושטעלן צו פיל הילף איבער די אָטענטאַקיישאַן פּראָצעס (ד"ה דערקלערן וואָס טייל פון אַ ניט אַנדערש לאָגין פּרווון איז פאַרקריפּלט).
4. ניצן בעסטער פּראַקטיסיז זיכערהייט מיטלען, אַרייַנגערעכנט:
• קאַפּטטשאַ טעכנאָלאָגיע.
• פאָרסינג פּאַראָל ריסעץ און / אָדער טעמפּערעראַלי פּרעווענטינג לאָגינס נאָך עטלעכע ניט אַנדערש פרווון.
5. קלאָץ דורכפאַל לאָגין פרווון פֿאַר ווייַטער אַנאַליסיס און / אָדער דיסעמאַניישאַן צו געזעץ-ענפאָרסמאַנט יידזשאַנסיז.
6. אָנהייבן אַ זיכערהייט אינצידענט ווען אַ הויפּט לאָגין דיסקרעפּאַנסי איז דיטעקטאַד, אָדער די אָרגאַניזאַציע דיסקאַווערז אַן אָטענטאַקיישאַן אַנאַמאַלי וואָס האט די פּאָטענציעל צו ווירקן PII.
7. רעלע אָטענטאַקיישאַן לאָגס - מיט לעצטע לאָגאָן פּרווון און ניט אַנדערש לאָגין אינפֿאָרמאַציע - צו אַ באַזונדער דאַטן מקור.
8. בלויז רעזולטאַט פּאַראָל דאַטן ווי אַבסטראַקט סימבאָלס), סייַדן דער באַניצער האט אַקסעסאַביליטי / זעאונג ישוז.
9. פאַרהיטן די ייַנטיילונג פון קיין און אַלע אָטענטאַקיישאַן דאַטן.
10. טייטן דאָרמאַנט לאָגין סעשאַנז, ספּעציעל ווען PII איז געניצט אין ווייַט ארבעטן ינווייראַנמאַנץ אָדער אויף BYOD אַסעץ.
11. שטעלן אַ צייט לימיט פֿאַר אָטענטאַקייטאַד סעשאַנז, ספּעציעל יענע וואָס זענען אַקטיוולי אַקסעסט PII.

גשמיות & ענוויראָנמענטאַל זיכערהייַט

ISO 27701 פּונקט 6.8.2.7 (זיכער באַזייַטיקונג אָדער רינוץ פון ויסריכט) און EU GDPR 5 (1) (f)

PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע איז דער הויפּט אין ריזיקירן ווען די נויט קומט צו באַפרייַען אָדער שייַעך-ציל סטאָרידזש און פּראַסעסינג אַסעץ - אָדער ינעווייניק אָדער אין שוטפעס מיט אַ ספּעשאַלייזד דריט-פּאַרטיי שפּייַזער.

אויבן אַלע, אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז קיין סטאָרידזש מעדיע וואָס זענען אנגעצייכנט פֿאַר באַזייַטיקונג, וואָס כּולל PII, זאָל זיין פיזיש חרובֿ, אפגעווישט or איבער-געשריבן (זען ISO 27002 קאָנטראָל 7.10 און 8.10).

צו פאַרמייַדן PII ווערן קאַמפּראַמייזד אין קיין וועג, ווען דיספּאָוזינג אָדער שייַעך-ניצן אַסעץ, אָרגאַנאַזיישאַנז זאָל:

• פאַרזיכערן אַז אַלע לאַבעלס זענען אַוועקגענומען אָדער אַמענדיד, ווי נייטיק - ספּעציעל די וואָס אָנווייַזן דעם בייַזייַן פון PII.
• אַראָפּנעמען אַלע גשמיות און לאַדזשיקאַל זיכערהייט קאָנטראָלס, ווען דיקאַמישאַנינג פאַסילאַטיז אָדער מאָווינג לאָקאַל, מיט אַ מיינונג צו שייַעך-ניצן זיי אין אַ נייַע אָרט.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 7.10
• ISO 27002 8.10

ISO 27701 פּונקט 6.8.2.9 (קלאָר שרייַבטיש און קלאָר פאַרשטעלן פּאָליטיק) און EU GDPR 5 (1) (f)

PII און פּריוואַטקייט פֿאַרבונדענע אינפֿאָרמאַציע איז דער הויפּט אין ריזיקירן ווען אָפּגעלאָזן שטעקן און דריט-פּאַרטיי קאָנטראַקטאָרס פאַרלאָזן צו אַדכיר צו ווערקפּלייס זיכערהייט מיטלען וואָס באַשיצן קעגן די אַקסאַדענטאַל אָדער דיליבראַט וויוינג פון PII דורך אַנאָטערייזד פּערסאַנעל.

אָרגאַנאַזיישאַנז זאָל פּלאַן טעמע-ספּעציפיש קלאָר שרייַבטיש און קלאָר פאַרשטעלן פּאַלאַסיז (אויף אַ וואָרקספּאַסע-ביי-וואָרקספּאַסע יקער אויב איר דאַרפֿן) וואָס כולל:

• באַהאַלטן פון גלייַכגילטיק מיינונג, פאַרמאַכן אַוועק אָדער סיקיורלי סטאָרינג PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, ווען אַזאַ דאַטן מאַטעריאַל איז ניט פארלאנגט.
• גשמיות לאַקינג מעקאַניזאַמז אויף יקט אַסעץ.
• דיגיטאַל אַקסעס קאָנטראָלס - אַזאַ ווי אַרויסווייַזן טיימאַוץ, פּאַראָל פּראָטעקטעד פאַרשטעלן סייווערז און אָטאַמאַטיק לאָג-אויס פאַסילאַטיז.
• זיכער דרוקן און באַלדיק זאַמלונג פון דאָקומענטן.
• זיכער, פארשפארטע סטאָרידזש פון שפּירעוודיק דאַקיומענטיישאַן, און געהעריק באַזייַטיקונג פון אַזאַ מאַטעריאַל ווען זיי זענען ניט מער פארלאנגט (שרעדינג, דריט-פּאַרטיי באַזייַטיקונג באַדינונגס אאז"ו ו).
• זיין מיינדפאַל פון אָנזאָג פּריוויוז (E- בריוו, SMS, קאַלענדאַר רימיינדערז) וואָס קען צושטעלן אַקסעס צו שפּירעוודיק דאַטן; ווען אַ פאַרשטעלן איז שערד אָדער וויוד אין אַ ציבור אָרט.
• קלירינג גשמיות דיספּלייז (למשל ווהיטעבאָאַרדס און נאָטיץבאָאַרדס) פון שפּירעוודיק אינפֿאָרמאַציע, ווען ניט מער פארלאנגט.

ווען אָרגאַנאַזיישאַנז קאַלעקטיוולי פאַרלאָזן לאָקאַל - אַזאַ ווי בעשאַס אַן אָפיס מאַך אָדער ענלעך רילאָוקיישאַן - איך זאָל מאַכן השתדלות צו ענשור אַז קיין דאַקיומענטיישאַן איז לינקס הינטער, אָדער אין דעסקס און פילינג סיסטעמען, אָדער קיין וואָס קען האָבן געפאלן אין טונקל ערטער.

אָפּעראַטיאָנס סעקוריטי

ISO 27701 פּונקט 6.9.3.1 (אינפֿאָרמאַציע באַקקופּ) און EU GDPR 5 (1) (f)

אָרגאַנאַזיישאַנז זאָל פּלאַן טעמע-ספּעציפיש פּאַלאַסיז וואָס גלייך אַדרעס ווי די אָרגאַניזאַציע באַקאַפּס די באַטייַטיק געביטן פון זייַן נעץ אין סדר צו באַוואָרענען PII און פֿאַרבעסערן ריזיליאַנס קעגן פּריוואַטקייט-פֿאַרבונדענע ינסאַדאַנץ.

BUDR פּראָוסידזשערז זאָל זיין דראַפטיד צו דערגרייכן דעם ערשטיק ציל צו ענשור אַז אַלע געשעפט קריטיש דאַטן, ווייכווארג און סיסטעמען קענען זיין ריקאַווערד נאָך דאַטע אָנווער, ינטרוזשאַן, געשעפט יבעררייַס און קריטיש פייליערז.

ווי אַ בילכערקייַט, BUDR פּלאַנז זאָל:

• אַוטליין רעסטעריישאַן פּראָוסידזשערז וואָס דעקן אַלע קריטיש סיסטעמען און באַדינונגס.
• קענען פּראָדוצירן ווערקאַבאַל קאפיעס פון קיין סיסטעמען, דאַטן אָדער אַפּלאַקיישאַנז וואָס זענען טייל פון אַ באַקאַפּ אַרבעט.
• דינען די געשעפט און אַפּעריישאַנאַל רעקווירעמענץ פון דער אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.30).
• סטאָר באַקאַפּס אין אַן ינווייראַנמענאַלי פּראָטעקטעד אָרט וואָס איז פיזיקלי באַזונדער פון די מקור דאַטן (זען ISO 27002 קאָנטראָל 8.1).
• קעסיידער פּרובירן און אָפּשאַצן באַקאַפּ דזשאָבס קעגן די אָרגאַנאַזיישאַנז מאַנדייטיד אָפּזוך צייט, אין סדר צו גאַראַנטירן דאַטן אַוויילאַבילאַטי.
• ענקריפּט אַלע PII-פֿאַרבונדענע באַקאַפּ דאַטן.
• טאָפּל טשעק פֿאַר קיין דאַטן אָנווער איידער עקסאַקיוטינג אַ באַקאַפּ אַרבעט.
• אַדכיר צו אַ ריפּאָרטינג סיסטעם וואָס אַלערץ שטעקן צו די סטאַטוס פון באַקאַפּ דזשאָבס.
• זוכן צו ינקאָרפּערייט דאַטן פון וואָלקן-באזירט פּלאַטפאָרמס וואָס זענען נישט גלייך געראטן דורך די אָרגאַניזאַציע, אין ינערלעך באַקאַפּ דזשאָבס.
• סטאָר באַקאַפּס אין לויט מיט אַ צונעמען PII ריטענשאַן פּאָליטיק (זען ISO 27002 קאָנטראָל 8.10).

נאָך פּיי-ספּעציפיש גיידאַנס

אָרגאַנאַזיישאַנז דאַרפֿן צו אַנטוויקלען באַזונדער פּראָוסידזשערז וואָס האַנדלען בלויז מיט PII (אָלבייט קאַנטיינד אין זייער הויפּט BUDR פּלאַן).

רעגיאָנאַל דיפעראַנסיז אין PII BUDR סטאַנדאַרדס (קאַנטראַקטשואַל, לעגאַל און רעגולאַטאָרי) זאָל זיין גענומען אין באַטראַכטונג ווען אַ נייַע אַרבעט איז באשאפן, דזשאָבס זענען אַמענדיד אָדער נייַע PII דאַטן זענען מוסיף צו די BUDR רוטין.

ווען די נויט קומט צו ומקערן PII נאָך אַ BUDR אינצידענט, אָרגאַנאַזיישאַנז זאָל נעמען גרויס זאָרג צו צוריקקומען די PII צו זיין אָריגינעל שטאַט, און אָפּשאַצן ומקערן אַקטיוויטעטן צו סאָלווע קיין ישוז מיט די נייַע דאַטן.

אָרגאַנאַזיישאַנז זאָל האַלטן אַ קלאָץ פון רעסטעריישאַן טעטיקייט, אַרייַנגערעכנט קיין פּערסאַנעל ינוואַלווד אין די ומקערן, און אַ באַשרייַבונג פון די PII וואָס איז געווען געזונט.

אָרגאַנאַזיישאַנז זאָל קאָנטראָלירן מיט קיין געזעץ-מאכן אָדער רעגולאַטאָרי יידזשאַנסיז און ענשור אַז זייער PII רעסטאָראַטיאָן פּראָוסידזשערז זענען אין אַליינמאַנט מיט וואָס איז דערוואַרט פון זיי ווי אַ PII פּראַסעסער און קאָנטראָללער.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.30
• ISO 27002 8.1
• ISO 27002 8.10

ISO 27701 פּונקט 6.9.4.1 (עווענט לאָגינג) און EU GDPR 5 (1) (f)

ISO דיפיינז אַ 'געשעעניש' ווי קיין קאַמף געטאן דורך אַ דיגיטאַל אָדער גשמיות בייַזייַן / ענטיטי אויף אַ קאָמפּיוטער סיסטעם.

געשעעניש לאָגס זאָל אַנטהאַלטן:

• א באַניצער שייַן - ווער אָדער וואָס חשבון האט דורכגעקאָכט די אַקשאַנז.
• א רעקאָרד פון סיסטעם טעטיקייט.
• צייט סטאַמפּס.
• מיטל און סיסטעם ידענטיפיערס, און די אָרט פון דער געשעעניש.
• IP אַדרעס אינפֿאָרמאַציע.

געשעעניש טייפּס

ISO יידענאַפייד 11 געשעענישן / קאַמפּאָונאַנץ וואָס דאַרפן לאָגינג (און לינגקט צו דער זעלביקער צייט מקור - זען ISO 27002 קאָנטראָל 8.17), אין סדר צו האַלטן PII זיכערהייט און פֿאַרבעסערן אָרגאַנאַזיישאַנאַל פּריוואַטקייט שוץ:

1. סיסטעם אַקסעס פרווון.
2. דאַטאַ אַקסעס פרווון.
3. ריסאָרס אַקסעס פרווון.
4. אַס קאַנפיגיעריישאַן ענדערונגען.
5. העכערע פּריווילאַדזשאַז.
6. נוצן מגילה און וישאַלט פאַסילאַטיז (זען ISO 27002 קאָנטראָל 8.18).
7. טעקע אַקסעס ריקוועס, און וואָס איז געשען (דילישאַן, מיגראַטיאָן עטק).
8. קריטיש ינטעראַפּץ.
9. אַקטיוויטעטן אַרום זיכערהייט / אַנטי-מאַלוואַרע סיסטעמען.
10. אידענטיטעט אַדמיניסטראַציע אַרבעט (למשל באַניצער אַדישאַנז און דילישאַנז).
11. סעלעקטעד אַפּלאַקיישאַן סעסיע אַקטיוויטעטן.

קלאָץ פּראַטעקשאַן

לאָגס זאָל זיין פּראָטעקטעד קעגן אַנאָטערייזד ענדערונגען אָדער אַפּעריישאַנאַל אַנאַמאַליז, אַרייַנגערעכנט:

• אָנזאָג טיפּ אַמענדמאַנץ.
• ויסמעקן אָדער עדיטינג.
• איבער-שרייבן רעכט צו סטאָרידזש ישוז.

אָרגאַנאַזיישאַנז זאָל דינגען מיט די פאלגענדע טעקניקס צו פֿאַרבעסערן קלאָץ-באזירט זיכערהייט:

• קריפּטאָגראַפיק האַשינג.
• צוגעבן-בלויז רעקאָרדינג.
• לייענען-בלויז רעקאָרדינג.
• נוצן פון ציבור דורכזעיקייַט טעקעס.

ווען עס איז נויטיק צו צושטעלן לאָגס צו פונדרויסנדיק אָרגאַנאַזיישאַנז, שטרענג מיטלען זאָל זיין גענומען צו באַוואָרענען PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, אין לויט מיט אנגענומען דאַטן פּריוואַטקייט סטאַנדאַרדס (זען ISO 27002 קאָנטראָל 5.34 און נאָך גיידאַנס אונטן).

קלאָץ אַנאַליסיס

לאָגס וועט דאַרפֿן צו זיין אַנאַלייזד פון צייט צו צייט, אין סדר צו פֿאַרבעסערן פּריוואַטקייט שוץ אין אַלגעמיין, און צו האַלטן און פאַרמייַדן זיכערהייט בריטשיז.

ווען איר דורכפירן קלאָץ אַנאַליסיס, אָרגאַנאַזיישאַנז זאָל נעמען אין חשבון:

• די עקספּערטיז פון די פּערסאַנעל וואָס דורכפירן די אַנאַליסיס.
• די טיפּ, קאַטעגאָריע און אַטריביוט פון יעדער טיפּ פון געשעעניש.
• קיין אויסנעמען וואָס זענען געווענדט דורך נעץ כּללים פון זיכערהייַט ווייכווארג ייַזנוואַרג און פּלאַטפאָרמס.
• אַנאַמאַלאַס נעץ פאַרקער.
• ספּעציעלע דאַטן אַנאַליסיס.
• בנימצא סאַקאָנע סייכל (אָדער אינעווייניק, אָדער פֿון אַ טראַסטיד דריט טיילווייַז מקור).

קלאָץ מאָניטאָרינג

קלאָץ מאָניטאָרינג אָפפערס אָרגאַנאַזיישאַנז די געלעגנהייט צו באַשיצן PII ביי מקור און שטיצן אַ פּראָואַקטיוו צוגאַנג צו פּריוואַטקייט שוץ.

אָרגאַנאַזיישאַנז זאָל:

1. איבערבליק ינערלעך און פונדרויסנדיק פרווון צו אַקסעס זיכער רעסורסן.
2. אַנאַלייז דנס לאָגס (און דאַטן באַניץ ריפּאָרץ) צו ידענטיפיצירן פאַרקער צו און פֿון בייזע קוואלן.
3. קלייַבן לאָגס פון גשמיות אַקסעס פונקטן און גשמיות פּערימעטער זיכערהייט דעוויסעס (פּאָזיציע סיסטעמען אאז"ו ו).

נאָך PII-פֿאַרבונדענע גיידאַנס

ISO ריקווייערז אָרגאַנאַזיישאַנז צו מאָניטאָר לאָגס שייך צו PII דורך אַ 'קעסיידערדיק און אָטאַמייטיד מאָניטאָרינג און אַלערטינג פּראָצעס'. דאָס קען דאַרפן אַ באַזונדער גאַנג פון פּראָוסידזשערז וואָס מאָניטאָר אַקסעס צו PII.

אָרגאַנאַזיישאַנז זאָל ענשור אַז - ווי אַ בילכערקייַט - לאָגס צושטעלן אַ קלאָר חשבון פון אַקסעס צו PII, אַרייַנגערעכנט:

• ווער אַקסעסט די דאַטן.
• ווען די דאַטן איז אַקסעסט.
• וואָס פּרינסיפּאַל ס PII איז אַקסעסט.
• קיין ענדערונגען וואָס זענען געמאכט.

אָרגאַנאַזיישאַנז זאָל באַשליסן 'אויב, ווען און ווי' PII לאָג אינפֿאָרמאַציע זאָל זיין בארעכטיגט צו קאַסטאַמערז, מיט קיין קרייטיריאַ זענען פריי בנימצא צו די פּרינסיפּאַלס זיך און גרויס זאָרג צו ענשור אַז PII פּרינסיפּאַלס קענען בלויז אַקסעס אינפֿאָרמאַציע וועגן זיי.

שטיצן ISO 27002 קאָנטראָלס

• ISO 27002 5.34
• ISO 27002 8.11
• ISO 27002 8.17
• ISO 27002 8.18

ISO 27701 פּונקט 6.9.4.2 (שוץ פון קלאָץ אינפֿאָרמאַציע) און EU GDPR 5 (1) (f)

זען ISO 27701 פּונקט 6.9.4.1

נאָך PII-פֿאַרבונדענע גיידאַנס

אָרגאַנאַזיישאַנז זאָל אָפּגעבן אַ פּלאַץ פון ופמערקזאַמקייט צו ענשור אַז לאָגס וואָס אַנטהאַלטן PII זענען רעכט קאַנטראָולד און נוץ פון זיכער מאָניטאָרינג.

אָטאַמייטיד פּראָוסידזשערז זאָל זיין שטעלן אין פּלאַץ אַז דיליץ אָדער 'דע-ידענטיפיעס' לאָגס, אין לויט מיט אַ ארויס ריטענשאַן פּאָליטיק (זען ISO 27002 קאָנטראָל 7.4.7).

גיידאַנס פֿאַר PII קאַנטראָולערז

ISO 27701 פּונקט 7.2.1 (ידענטיפיצירן און דאָקומענט ציל) און EU GDPR 5 (1) (ב)

PII פּרינסיפּאַלס דאַרפֿן צו זיין גאָר באַקאַנט מיט אַלע די פאַרשידן סיבות פֿאַר וואָס זייער PII איז פּראַסעסט.

עס איז די פֿאַראַנטוואָרטלעכקייט פון דער אָרגאַניזאַציע צו יבערגעבן די סיבות צו PII פּרינסיפּאַלס, צוזאַמען מיט אַ 'קלאָר דערקלערונג' אויף וואָס זיי דאַרפֿן צו פּראָצעס זייער אינפֿאָרמאַציע.

כל דאַקיומענטיישאַן דאַרף זיין קלאָר, פולשטענדיק און לייכט פארשטאנען דורך קיין PII הויפּט וואָס לייענט עס - אַרייַנגערעכנט עפּעס רילייטינג צו צושטימען, ווי געזונט ווי קאָפּיעס פון ינערלעך פּראָוסידזשערז (זען ISO 27701 קלאָזיז 7.2.3, 7.3.2 און 7.2.8).

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.2.3
• ISO 27701 7.3.2
• ISO 27701 7.2.8

ISO 27701 פּונקט 7.2.2 (ידענטיפיצירן לעגאַל יקער) און EU GDPR 5 (1) (אַ)

צו פאָרעם אַ לעגאַל יקער פֿאַר פּראַסעסינג PII, אָרגאַנאַזיישאַנז זאָל:

• זוכן צושטימען פון PII פּרינסיפּאַלס.
• פּלאַן אַ קאָנטראַקט.
• נאָכקומען מיט פאַרשידן אנדערע לעגאַל אַבלאַגיישאַנז.
• באַשיצן די 'וויטאַל אינטערעסן' פון די פאַרשידן PII פּרינסיפּאַלס.
• פאַרזיכערן אַז די טאַסקס וואָס זענען געטאן זענען אין דעם ציבור אינטערעס.
• באַשטעטיקן אַז PII פּראַסעסינג איז אַ לאַדזשיטאַמאַט אינטערעס.

פֿאַר יעדער פונט דערמאנט אויבן, אָרגאַנאַזיישאַנז זאָל קענען צו פאָרשלאָגן דאַקיומענטאַד באַשטעטיקונג

אָרגאַנאַזיישאַנז אויך דאַרפֿן צו באַטראַכטן קיין 'ספּעציעל קאַטעגאָריעס' פון PII וואָס זענען פארבונדן צו זייער אָרגאַניזאַציע אין זייער דאַטן קלאַסאַפאַקיישאַן סכעמע (זען ISO 27701 פּונקט 7.2.8) (קלאַסאַפאַקיישאַנז קען בייַטן פון געגנט צו געגנט).

אויב אָרגאַנאַזיישאַנז דערפאַרונג ענדערונגען צו זייער אַנדערלייינג סיבות פֿאַר פּראַסעסינג PII, דאָס זאָל זיין גלייך שפיגלט אין זייער דאַקיומענטאַד לעגאַל יקער.

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.2.8

ISO 27701 פּונקט 7.2.6 (קאָנטראַקץ מיט פּיי פּראַסעסערז) און EU GDPR 5 (2)

אָרגאַנאַזיישאַנז דאַרפֿן צו אַרייַן געשריבן, ביינדינג קאַנטראַקץ מיט קיין פונדרויסנדיק PII פּראַסעסער וואָס עס ניצט.

קיין קאַנטראַקץ דאַרפֿן צו ענשור אַז די PII פּראַסעסער ימפּלאַמאַנץ אַלע די פארלאנגט אינפֿאָרמאַציע קאַנטיינד אין ISO 27701 אַנעקס ב, מיט ספּעציעל ופמערקזאַמקייט צו ריזיקירן אַסעסמאַנט קאָנטראָלס (ISO 27701 פּונקט 5.4.1.2) און די קוילעלדיק פאַרנעם פון די פּראַסעסינג אַקטיוויטעטן (זען ISO 27701 פּונקט 6.12) ).

אָרגאַנאַזיישאַנז דאַרפֿן צו באַרעכטיקן די אָומישאַן פון קיין קאָנטראָלס קאַנטיינד אין אַנעקס ב, אין זייער שייכות מיט די PII פּראַסעסער (זען ISO 27701 פּונקט 5.4.1.3).

ISO 27701 פּונקט 7.2.8 (רעקאָרדס שייַכות צו פּראַסעסינג PII) און EU GDPR 5 (2)

אָרגאַנאַזיישאַנז דאַרפֿן צו האַלטן אַ גרונטיק גאַנג פון רעקאָרדס וואָס שטיצן זייַן אַקשאַנז און אַבלאַגיישאַנז ווי אַ PII פּראַסעסער.

רעקאָרדס (אַנדערש באקאנט ווי 'ינווענטאָרי רשימות') זאָל האָבן אַ דעלאַגייטאַד באַזיצער, און קען אַרייַננעמען:

• אַפּעריישאַנאַל - דער ספּעציפיש טיפּ פון PII פּראַסעסינג וואָס איז דורכגעקאָכט.
• דזשאַסטאַפאַקיישאַנז - וואָס די PII איז פּראַסעסט.
• קאַטאַגאָריקאַל - רשימות פון PII ריסיפּיאַנץ, אַרייַנגערעכנט אינטערנאַציאָנאַלע אָרגאַנאַזיישאַנז.
• זיכערהייט - אַן איבערבליק פון ווי PII איז פּראָטעקטעד.
• פּריוואַטקייט - הייסט אַ פּריוואַטקייט פּראַל אַסעסמאַנט באַריכט.

ISO 27701 פּונקט 7.3.6 (אַקסעס, קערעקשאַן און / אָדער מעקן) און EU GDPR 5 (1) (ד)

אָרגאַנאַזיישאַנז זאָל פּלאַן, דאָקומענט און ינסטרומענט פּראָוסידזשערז וואָס לאָזן PII פּרינסיפּאַלס צו אַקסעס, ריכטיק און / אָדער ויסמעקן זייער PII.

פּראָוסידזשערז זאָל אַרייַננעמען מעקאַניזאַמז דורך וואָס די PII הויפּט איז ביכולת צו דורכפירן די אויבן קאַמף, אַרייַנגערעכנט ווי די אָרגאַניזאַציע איז צו מיטטיילן די הויפּט אויב קערעקשאַנז זענען נישט ביכולת צו זיין געמאכט.

אָרגאַנאַזיישאַנז זאָל יבערגעבן צו אַ ארויס ענטפער צייט פֿאַר אַלע אַקסעס, קערעקשאַן אָדער דילישאַן ריקוועס.

עס איז ווייטאַלי וויכטיק צו יבערגעבן אַזאַ ריקוועס צו דריט פּאַרטיעס וואָס זענען טראַנספערד PII (זען ISO 27701 פּונקט 7.3.7).

א PII הויפּט ס פיייקייט צו בעטן קערעקשאַנז אָדער דילישאַנז איז דיקטייטיד דורך די דזשוריסדיקשאַן אין וואָס די אָרגאַניזאַציע אַפּערייץ. ווי אַזאַ, קאָמפּאַניעס זאָל האַלטן זיך מיט אַלע לעגאַל אָדער רעגולאַטאָרי ענדערונגען וואָס רעגירן זייער אַבלאַגיישאַנז צו PII.

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.3.7

פּריוואַטקייט דורך דיזיין און פּריוואַטקייט דורך פעליקייַט

ISO 27701 פּונקט 7.4.1 (לימיט זאַמלונג) און EU GDPR 5 (1) (ב) און (1) (c)

אָרגאַנאַזיישאַנז זאָל באַגרענעצן זייער זאַמלונג פון PII באזירט אויף דריי סיבות:

1. שייכות.
2. פּראַפּאָרשאַנאַליטי.
3. נייטיקייַט.

אָרגאַנאַזיישאַנז זאָל בלויז קלייַבן PII - אָדער גלייַך אָדער מינאַצאַד - אין לויט מיט די אויבן סיבות, און בלויז פֿאַר צוועקן וואָס זענען באַטייַטיק און נייטיק פֿאַר זייער סטייטיד ציל.

ווי אַ באַגריף, 'פּריוואַטקייט דורך פעליקייַט' זאָל זיין אַדכירד צו - ד"ה, קיין אַפּשאַנאַל פאַנגקשאַנז זאָל זיין פאַרקריפּלט דורך פעליקייַט.

ISO 27701 פּונקט 7.4.3 (אַקיעראַסי און קוואַליטי) און EU GDPR 5 (1) (ד)

אָרגאַנאַזיישאַנז זאָל נעמען סטעפּס צו ענשור אַז PII איז פּינטלעך, פולשטענדיק און דערהייַנטיקט אין זיין גאַנץ לייפסייק.

אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז און טעכניש קאַנפיגיעריישאַנז זאָל אַנטהאַלטן סטעפּס וואָס זוכן צו מינאַמייז ערראָרס בעשאַס זיין PII פּראַסעסינג אָפּעראַציע, אַרייַנגערעכנט קאָנטראָלס אויף ווי צו ריספּאַנד צו ינאַקיעראַסיז.

ISO 27701 פּונקט 7.4.4 (PII מינימיזאַטיאָן אָביעקטיוו) און EU GDPR 5 (1) (c) און (1) (e)

אָרגאַנאַזיישאַנז דאַרפֿן צו בויען 'דאַטן מינימיזיישאַן' פּראָוסידזשערז, אַרייַנגערעכנט מעקאַניזאַמז אַזאַ ווי דע-ידענטיפיקאַטיאָן.

דאַטאַ מינימיזיישאַן זאָל זיין געוויינט צו ענשור אַז PII זאַמלונג און פּראַסעסינג איז לימיטעד צו די 'יידענטאַפייד ציל' פון יעדער פונקציע (זען ISO 27701 פּונקט 7.2.1).

א גרויס טייל פון דעם פּראָצעס ינוואַלווז דאַקיומענטינג די מאָס אין וואָס אַ PII פּרינסיפּאַל אינפֿאָרמאַציע זאָל זיין גלייַך אַטריביוטאַבאַל צו זיי, און ווי מינימיזיישאַן איז צו זיין אַטשיווד דורך אַ פאַרשיידנקייַט פון בנימצא מעטהאָדס.

אָרגאַנאַזיישאַנז זאָל ויסשליסן די ספּעציפיש טעקניקס צו דע-ידענטיפיצירן PII פּרינסיפּאַלס, אַזאַ ווי:

1. ראַנדאָמיזאַטיאָן.
2. ראַש דערצו.
3. גענעראַליזאַטיאָן.
4. אַטריביוט באַזייַטיקונג.

שטיצן ISO 27701 קלאָזיז

• ISO 27701 7.2.1

ISO 27701 פּונקט 7.4.5 (PII דע-ידענטיפיקאַטיאָן און דילישאַן אין די סוף פון פּראַסעסינג) און EU GDPR 5 (1) (c) און (1) (e)

אָרגאַנאַזיישאַנז אָדער דאַרפֿן צו גאָר צעשטערן קיין PII וואָס ניט מער מקיים אַ ציל, אָדער מאָדיפיצירן עס אויף אַ וועג וואָס פּריווענץ קיין פאָרעם פון הויפּט לעגיטימאַציע.

ווי באַלד ווי די אָרגאַניזאַציע האָט געגרינדעט אַז די PII דאַרף ניט זיין פּראַסעסט אין קיין צייט אין דער צוקונפֿט, די אינפֿאָרמאַציע זאָל זיין אויסגעמעקט or דע-יידענטאַפייד, ווי די אומשטענדן דיקטירן.

ISO 27701 פּונקט 7.4.6 (צייַטווייַליק טעקעס) און EU GDPR 5 (1) (c)

צייטווייליגע טעקעס זענען באשאפן פֿאַר אַ נומער פון טעכניש סיבות, איבער די PII פּראַסעסינג און זאַמלונג לייפסייקאַל, אַריבער פילע אַפּלאַקיישאַנז, סיסטעמען און זיכערהייט פּלאַטפאָרמס.

אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז די טעקעס זענען חרובֿ אין אַ גלייַך צייט, אין לויט מיט אַ באַאַמטער ריטענשאַן פּאָליטיק.

א פּשוט וועג צו ידענטיפיצירן די עקזיסטענץ פון אַזאַ טעקעס איז צו דורכפירן פּעריאָדיש טשעקס פון צייַטווייַליק טעקעס אַריבער די נעץ. צייטווייליגע טעקעס אָפט אַרייַננעמען:

• דאַטאַבאַסע דערהייַנטיקן טעקעס.
• קאַשט אינפֿאָרמאַציע.
• טעקעס באשאפן דורך אַפּלאַקיישאַנז און בעספּאָכע ווייכווארג פּאַקאַדזשאַז.

אָרגאַנאַזיישאַנז זאָל אַדכיר צו אַ אַזוי גערופענע מיסט זאַמלונג פּראָצעדור אַז דיליץ צייַטווייַליק טעקעס ווען זיי ניטאָ ניט מער דארף.

ISO 27701 פּונקט 7.4.8 (באַזייַטיקונג) און EU GDPR 5 (1) (f)

אָרגאַנאַזיישאַנז דאַרפֿן צו האָבן קלאָר פּאַלאַסיז און פּראָוסידזשערז וואָס רעגירן ווי PII איז דיספּאָוזד.

דאַטאַ באַזייַטיקונג איז אַ ברייט-ריינדזשינג טעמע וואָס פֿעיִקייטן אַ פּלאַץ פון פאַרשידענע וועריאַבאַלז, באזירט אויף די פארלאנגט באַזייַטיקונג טעכניק און די נאַטור פון די דאַטן וואָס איז דיספּאָוזד.

אָרגאַנאַזיישאַנז דאַרפֿן צו באַטראַכטן:

• וואָס די PII כולל.
• קיין ריזידזשואַל מעטאַדאַטאַ וואָס דאַרף זיין ירייסט צוזאמען די הויפּט דאַטן.
• דער טיפּ פון סטאָרידזש מידיאַ די PII איז געהאלטן אויף.

ISO 27701 פּונקט 7.4.9 (פּיי טראַנסמיסיע קאָנטראָלס) און EU GDPR 5 (1) (f)

יעדער PII וואָס איז באַשטימט צו זיין טראַנספערד צו אַ דריט פּאַרטיי אָרגאַניזאַציע זאָל זיין געטאן מיט די מאַקסימאַל זאָרג פֿאַר די אינפֿאָרמאַציע וואָס איז געשיקט, ניצן זיכער מיטלען.

אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז בלויז אָטערייזד פּערסאַנעל איז ביכולת צו אַקסעס טראַנסמיסיע סיסטעמען, און טאָן דאָס אויף אַ וועג וואָס איז לייכט אַודיטעד מיט די בלויז ציל צו באַקומען די אינפֿאָרמאַציע צו ווו עס דאַרף צו גיין אָן אינצידענט.

גיידאַנס פֿאַר PII פּראַסעסערז

ISO 27701 פּונקט 8.2.2 (אָרגאַנאַזיישאַנאַל צוועקן) און EU GDPR 5 (1) (אַ) און (1) (ב)

פון די אָנהייב, PII זאָל זיין פּראַסעסט בלויז אין לויט מיט די ינסטראַקשאַנז פון דער קונה.

קאַנטראַקץ זאָל אַרייַננעמען SLAs רילייטינג צו קעגנצייַטיק אַבדזשעקטיווז, און קיין פֿאַרבונדן צייט וואָג אין וואָס זיי דאַרפֿן צו זיין געענדיקט.

אָרגאַנאַזיישאַנז זאָל באַשטעטיקן זייער רעכט צו קלייַבן די פאַרשידענע מעטהאָדס וואָס זענען געניצט צו פּראַסעסינג PII, וואָס ליגאַלי דערגרייכן וואָס דער קונה איז קוקן פֿאַר, אָבער אָן די נויט צו באַקומען גראַניאַלער פּערמישאַנז אויף ווי די אָרגאַניזאַציע גייט וועגן עס אויף אַ טעכניש מדרגה.

ISO 27701 פּונקט 8.4.1 (צייַטווייַליק טעקעס) און EU GDPR 5 (1) (c)

אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז צייַטווייַליק טעקעס זענען חרובֿ אין אַ גלייַך צייט, אין לויט מיט אַ באַאַמטער ריטענשאַן פּאָליטיק און קלאָר דילישאַן פּראָוסידזשערז.

א פּשוט וועג צו ידענטיפיצירן די עקזיסטענץ פון אַזאַ טעקעס איז צו דורכפירן פּעריאָדיש טשעקס פון צייַטווייַליק טעקעס אַריבער די נעץ.

אָרגאַנאַזיישאַנז זאָל אַדכיר צו אַ אַזוי גערופענע מיסט זאַמלונג פּראָצעדור אַז דיליץ צייַטווייַליק טעקעס ווען זיי ניטאָ ניט מער דארף.

ISO 27701 פּונקט 8.4.3 (פּיי קאָנטראָלס) און EU GDPR 5 (1) (f)

ווען עס איז נויטיק פֿאַר PII צו זיין טראַנסמיטטעד איבער אַ דאַטן נעץ (אַרייַנגערעכנט אַ דעדאַקייטאַד לינק), אָרגאַנאַזיישאַנז דאַרפֿן צו זיין פאַרנומען מיט ינשורינג אַז די PII ריטשאַז די ריכטיק ריסיפּיאַנץ אין אַ בייַצייַטיק שטייגער.

ווען טראַנספערינג PII צווישן דאַטן נעטוואָרקס, אָרגאַנאַזיישאַנז זאָל:

• פאַרזיכערן אַז בלויז אָטערייזד מענטשן זענען ביכולת צו דורכפירן די אַריבערפירן.
• שטעקן צו ארויס פּראָוסידזשערז וואָס רעגירן די אַריבערפירן פון PII פון דער אָרגאַניזאַציע צו אַ דריט-פּאַרטיי.
• האַלטן אַלע קאָנטראָלירן דאַטן.
• אַרייַננעמען טראַנסמיסיע רעקווירעמענץ אין דער קונה ס קאָנטראַקט.
• באַראַטנ זיך מיט דער קונה איידער קיין אַריבערפירן איז דורכגעקאָכט אויב קיין געשריבן אָדער קאַנטראַקטשואַל סטיפּיאַליישאַנז עקסיסטירן.

שטיצן ISO 27701 קלאָזיז און ISO 27002 קאָנטראָלס

ווי ISMS.online הילף

דיין גאַנץ GDPR לייזונג.

א פאַר-געבויט סוויווע וואָס סימלאַסלי פּאַסיק אין דיין פאַרוואַלטונג סיסטעם אַלאַוז איר צו באַשרייַבן און באַווייַזן דיין צוגאַנג צו באַשיצן אייראפעישע און בריטיש קונה דאַטן.

מיט ISMS.online, איר קענען שפּרינגען גלייך אין GDPR העסקעם און באַווייַזן פּראַטעקשאַן לעוועלס וואָס גיין ווייַטער פון 'גלייַך', אַלע אין איין זיכער, שטענדיק-אויף אָרט.

אין קאָמבינאַציע מיט אונדזער "אַדאָפּט, אַדאַפּט, לייג" ימפּלאַמענטיישאַן צוגאַנג, די ISMS.online פּלאַטפאָרמע אָפפערס געבויט-אין גיידאַנס ביי יעדער שריט, רידוסינג די מי פארלאנגט צו באַווייַזן דיין GDPR העסקעם. א נומער פון שטאַרק צייט-שפּאָרן פֿעיִקייטן וועט אויך זיין בארעכטיגט פֿאַר איר.

געפֿינען זיך מער דורך בוקינג אַ קורץ 30 מינוט דעמאָ.