דערגרייכן העסקעם מיט ISO 27701 פּונקט 6.15: אַ גאַנץ איבערבליק
קאָמפּליאַנסע איז אַ וויטאַל טייל פון קיין פּריוואַטקייט שוץ אָפּעראַציע - אָרגאַנאַזיישאַנז דאַרפֿן צו קענען באַווייַזן אַז זיי מקיים זייער אַבלאַגיישאַנז צו PII, און די סיסטעמען וואָס זענען געניצט צו קראָם און פּראַסעסינג פּריוואַטקייט-פֿאַרבונדענע מאַטעריאַל.
וואָס איז קאַווערד אין ISO 27701 פּונקט 6.15
ISO 27701 6.15 דילז מיט העסקעם אין צוויי הויפּט געביטן - העסקעם מיט לעגאַל און קאַנטראַקטשואַל באדערפענישן, און אינפֿאָרמאַציע זיכערהייט באריכטן (די לעצטע איז די הויפּט פאָרמיטל צו ופדעקן קאַסעס פון ניט-העסקעם און סאָלווע קיין פּריוואַטקייט-פֿאַרבונדענע ישוז).
- ISO 27701 6.15.1.1 - לעגיטימאַציע פון אָנווענדלעך געסעצ - געבונג און קאַנטראַקטשואַל רעקווירעמענץ (יסאָ קסנומקס קאָנטראָל 5.31)
- ISO 27701 6.15.1.2 - אינטעלעקטואַל פאַרמאָג רעכט (ISO 27002 קאָנטראָל 5.32)
- ISO 27701 6.15.1.3 - שוץ פון רעקאָרדס (ISO 27002 קאָנטראָל 5.33)
- ISO 27701 6.15.1.4 - פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (ISO 27002 קאָנטראָל 5.34)
- ISO 27701 6.15.1.5 - רעגולירן קריפּטאָגראַפיק קאָנטראָלס (ISO 27002 קאָנטראָל 5.31)
- ISO 27701 6.15.2.2 - העסקעם מיט זיכערהייט פּאַלאַסיז און סטאַנדאַרדס (ISO 27002 קאָנטראָל 5.36)
- ISO 27701 6.15.2.3 - טעכניש העסקעם רעצענזיע (ISO 27002 קאָנטראָל 5.36)
פיר סאַב-קלאָזיז אַנטהאַלטן אינפֿאָרמאַציע וואָס איז באַטייַטיק פֿאַר וק GDPR געסעצ - געבונג - מיר האָבן צוגעשטעלט די אַרטיקל באַווייַזן אונטער יעדער סאַב-קלאָז פֿאַר דיין קאַנוויניאַנס:
- ISO 27701 6.15.1.1
- ISO 27701 6.15.1.3
- ISO 27701 6.15.2.1
- ISO 27701 6.15.2.3
ISO 27001 געמאַכט גרינג
א 81% פֿאָרשפּרונג פֿון טאָג איינס
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
ISO 27701 פּונקט 6.15.1.1 - לעגיטימאַציע פון אָנווענדלעך געסעצ - געבונג און קאָנטראַקטואַל רעקווירעמענץ
רעפערענצן ISO 27002 קאָנטראָל 5.31
אָרגאַנאַזיישאַנז זאָל נאָכקומען מיט לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ ווען:
- דראַפטינג און / אָדער אַמענדינג פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראָוסידזשערז.
- קאַטאַגערייזינג אינפֿאָרמאַציע.
- עמבאַרקינג אויף ריזיקירן אַסעסמאַנץ רילייטינג צו פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט אַקטיוויטעטן.
- פאָרגינג סאַפּלייער באציונגען, אַרייַנגערעכנט קיין קאַנטראַקטשואַל אַבלאַגיישאַנז איבער די צושטעלן קייט.
לעגיסלאַטיווע און רעגולאַטאָרי סיבות
אָרגאַנאַזיישאַנז זאָל נאָכגיין פּראָוסידזשערז וואָס לאָזן זיי צו ידענטיפיצירן, אַנאַליסיס און פאַרשטיין לעגיסלאַטיווע און רעגולאַטאָרי אַבלאַגיישאַנז - ספּעציעל די וואָס זענען זארגן מיט פּריוואַטקייט שוץ און PII - ווו נאָר זיי אַרבעטן.
אָרגאַנאַזיישאַנז זאָל שטענדיק זיין מיינדפאַל פון זייער פּריוואַטקייט שוץ אַבלאַגיישאַנז ווען זיי אַרייַן נייַע אַגרימאַנץ מיט דריט פּאַרטיעס, סאַפּלייערז און קאָנטראַקטאָרס.
קריפּטאָגראַפי
ווען דיפּלויינג ענקריפּשאַן מעטהאָדס צו שטיצן פּריוואַטקייט שוץ און באַוואָרעניש PII, אָרגאַנאַזיישאַנז זאָל:
- אָבסערווירן קיין געזעצן וואָס רעגירן די אַרייַנפיר און אַרויספירן פון ייַזנוואַרג אָדער ווייכווארג וואָס האט די פּאָטענציעל צו מקיים אַ קריפּטאָגראַפיק פונקציע.
- צושטעלן אַקסעס צו ינקריפּטיד אינפֿאָרמאַציע אונטער די געזעצן פון די דזשוריסדיקשאַן זיי אַרבעטן אין.
- ניצן דריי שליסל עלעמענטן פון ענקריפּשאַן:
- דיגיטאַל סיגנאַטשערז.
- סתימות.
- דיגיטאַל סערטיפיקאַץ.
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (1) (f)
- אַרטיקל 28 - (1), (3) (אַ), (3) (ב), (3) (c), (3) (ד), (3) (e), (3) (f), ( 3)(ג), (3)(ה)
- אַרטיקל 30 - (2) (ד)
- אַרטיקל 32 - (1) (ב)
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 5.20
ISO 27701 פּונקט 6.15.1.2 - אינטעלעקטואַל פאַרמאָג רעכט
רעפערענצן ISO 27002 קאָנטראָל 5.32
צו באַוואָרענען קיין דאַטן, ווייכווארג אָדער אַסעץ וואָס קען זיין דימד ווי אינטעלעקטואַל פאַרמאָג (IP), אָרגאַנאַזיישאַנז זאָל:
- אַדכיר צו אַ "טעמע-ספּעציפיש" פּאָליטיק וואָס דילז מיט IP רעכט, וואָס נעמט אין חשבון IP אויף אַ פאַל-ביי-פאַל יקער.
- אַדכיר צו פּראָוסידזשערז וואָס דעפינירן ווי IP אָרנטלעכקייַט קענען זיין מיינטיינד ווען איר נוצן אָרגאַנאַזיישאַנאַל ווייכווארג און פּראָדוקטן.
- ניצן בלויז רעפּיאַטאַבאַל קוואלן צו קריגן ווייכווארג ווען פּערטשאַסינג, רענטינג אָדער ליסינג ווייכווארג און ווייכווארג סאַבסקריפּשאַנז.
- האַלטן דערווייַז פון אָונערשיפּ דאַקיומענטיישאַן (עלעקטראָניש אָדער פיזיש).
- אַדכיר צו ווייכווארג באַניץ לימאַץ.
- דורכגיין פּעריאָדיש ווייכווארג באריכטן צו ויסמיידן ניצן קיין אַנאָטערייזד אָדער פּאַטענטשאַלי שעדלעך אַפּלאַקיישאַנז.
- פאַרזיכערן אַז ווייכווארג לייסאַנסיז זענען גילטיק און דערהייַנטיקט, און גיידליינז פֿאַר יושר נוצן זענען אַדכירד צו.
- פּלאַן פּראָוסידזשערז וואָס ינשור די זיכער זיכער און געהאָרכיק באַזייַטיקונג פון ווייכווארג אַסעץ.
- (וואו עס זענען געשעפט רעקאָרדינגס), ענשור אַז קיין טייל פון די רעקאָרדינג איז יקסטראַקטיד, קאַפּיד אָדער קאָנווערטעד דורך קיין אַנאָטערייזד מיטלען.
- פאַרזיכערן אַז טעקסטשאַוואַל דאַטן זענען באַטראַכט צוזאמען מיט דיגיטאַל מעדיע.
באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן
איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.
ISO 27701 פּונקט 6.15.1.3 - שוץ פון רעקאָרדס
רעפערענצן ISO 27002 קאָנטראָל 5.33
אָרגאַנאַזיישאַנז זאָל באַטראַכטן רעקאָרד פאַרוואַלטונג אין 4 שליסל געביטן:
- אָטאַנטיסיטי
- רילייאַבילאַטי
- אָרנטלעכקייַט
- וסעאַביליטי
צו האַלטן אַ פאַנגקשאַנאַל רעקאָרדס סיסטעם וואָס באַוואָרענען PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, אָרגאַנאַזיישאַנז זאָל:
- אַרויסגעבן גיידליינז וואָס האַנדלען מיט:
- סטאָרידזש.
- האַנדלינג (קייט פון קאַסטאַדי).
- באַזייַטיקונג.
- פּרעווענטינג מאַניפּיאַליישאַן.
- באַשרייַבן ווי לאַנג יעדער רעקאָרד טיפּ זאָל זיין ריטיינד.
- אָבסערווירן קיין געזעצן וואָס האַנדלען מיט רעקאָרד בעכעסקעם.
- אַדכיר צו קונה עקספּעקטיישאַנז אין ווי אָרגאַנאַזיישאַנז זאָל שעפּן זייער רעקאָרדס.
- צעשטערן רעקאָרדס אַמאָל זיי ניטאָ ניט מער פארלאנגט.
- קלאַסיפיצירן רעקאָרדס באזירט אויף זייער זיכערהייט ריזיקירן, למשל:
- אַקאַונטינג.
- געשעפט טראַנזאַקשאַנז.
- פּערסאַנעל רעקאָרדס.
- לעגאַל
- פאַרזיכערן אַז זיי זענען ביכולת צו צוריקקריגן רעקאָרדס אין אַ פּאַסיק צייט, אויב געבעטן צו טאָן דאָס דורך אַ דריט פּאַרטיי אָדער געזעץ ענפאָרסמאַנט אַגענטור.
- שטענדיק אַדכיר צו די גיידליינז פון די פאַבריקאַנט ווען סטאָרינג אָדער האַנדלינג רעקאָרדס אויף עלעקטראָניש מעדיע קוואלן.
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (2)
- אַרטיקל 24 - (2)
ISO 27701 פּונקט 6.15.1.4 - פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע
רעפערענצן ISO 27002 קאָנטראָל 5.34
אָרגאַנאַזיישאַנז זאָל מייַכל PII ווי אַ טעמע-ספּעציפיש באַגריף וואָס דאַרף זיין אַדרעסד אין די פאַרנעם פון פילע פאַרשידענע געשעפט פאַנגקשאַנז.
ערשטער און ערשטער, אָרגאַנאַזיישאַנז זאָל ינסטרומענט פּאַלאַסיז וואָס באַזאָרגן צו דריי הויפּט אַספּעקץ פון PII פּראַסעסינג און סטאָרידזש:
- פּרעזערוויישאַן
- אַליינקייַט
- שוץ
אָרגאַנאַזיישאַנז זאָל ענשור אַז אַלע עמפּלוייז זענען אַווער פון זייער אַבלאַגיישאַנז צו האַנדלינג PII, ניט בלויז יענע וואָס טרעפן עס טעגלעך ווי אַ טייל פון זייער אַרבעט.
פּריוואַטקייט אָפפיסערס
אָרגאַנאַזיישאַנז זאָל נאָמינירן אַ פּריוואַטקייט אָפיציר, וועמענס אַרבעט עס איז צו צושטעלן גיידאַנס צו עמפּלוייז און דריט-פּאַרטיי אָרגאַנאַזיישאַנז אויף די טעמע פון PII, צוזאמען מיט געבן עצה צו עלטער פאַרוואַלטונג ווי צו האַלטן די אָרנטלעכקייַט און אַוויילאַבילאַטי פון פּריוואַטקייט אינפֿאָרמאַציע.
ISO 27701 פּונקט 6.15.1.5 - רעגולירן פון קריפּטאָגראַפיק קאָנטראָלס
רעפערענצן ISO 27002 קאָנטראָל 5.31
זען ISO 27701 פּונקט 6.15.1.1
ISO 27701 פּונקט 6.15.2.1 - אומאָפּהענגיק איבערבליק פון אינפֿאָרמאַציע זיכערהייט
רעפערענצן ISO 27002 קאָנטראָל 5.35
אָרגאַנאַזיישאַנז זאָל אַנטוויקלען פּראַסעסאַז וואָס באַזאָרגן פֿאַר פרייַ באריכטן פון זייער פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז, אַרייַנגערעכנט ביידע טעמע-ספּעציפיש פּאַלאַסיז און אַלגעמיין פּאַלאַסיז.
באריכטן זאָל זיין געפירט דורך:
- אינערלעכער אַדאַטערז.
- אומאָפּהענגיקע דעפּאַרטמענטאַלע מאַנאַדזשערז.
- ספּעשאַלייזד דריט-פּאַרטיי אָרגאַנאַזיישאַנז.
באריכטן זאָל זיין פרייַ און דורכגעקאָכט דורך יחידים מיט גענוג וויסן וועגן פּריוואַטקייט שוץ גיידליינז און די אָרגאַנאַזיישאַנז אייגענע פּראָוסידזשערז.
ריוויוערז זאָל באַשטימען צי פּריוואַטקייט אינפֿאָרמאַציע זיכערהייט פּראַקטיסיז זענען געהאָרכיק מיט די אָרגאַניזאַציע ס "דאַקיאַמענטאַד אַבדזשעקטיווז און רעקווירעמענץ".
ווי געזונט ווי סטראַקטשערד פּעריאָדיש באריכטן, אָרגאַנאַזיישאַנז קען טרעפן די נויט צו פירן אַד-האָק באריכטן וואָס זענען טריגערד דורך זיכער געשעענישן, אַרייַנגערעכנט:
- נאָך אַמענדמאַנץ צו ינערלעך פּאַלאַסיז, געזעצן, גיידליינז און רעגיאַליישאַנז וואָס ווירקן פּריוואַטקייט שוץ.
- נאָך הויפּט ינסאַדאַנץ וואָס האָבן ימפּאַקטיד אויף פּריוואַטקייט שוץ.
- ווען אַ נייַע געשעפט איז באשאפן, אָדער הויפּט ענדערונגען זענען ענאַקטאַד צו די קראַנט געשעפט.
- נאָך די אַדאַפּשאַן פון אַ נייַע פּראָדוקט אָדער דינסט וואָס דילז מיט פּריוואַטקייט שוץ אין קיין וועג.
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 32 - (1) (ד), (2)
פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
ISO 27701 פּונקט 6.15.2.2 - העסקעם מיט זיכערהייט פּאָליטיק און סטאַנדאַרדס
רעפערענצן ISO 27002 קאָנטראָל 5.36
אָרגאַנאַזיישאַנז דאַרפֿן צו ענשור אַז פּערסאַנעל איז ביכולת צו אָפּשאַצן פּריוואַטקייט פּאַלאַסיז איבער די פול ספּעקטרום פון געשעפט אַפּעריישאַנז.
פאַרוואַלטונג זאָל אַנטוויקלען טעכניש מעטהאָדס פון ריפּאָרטינג אויף פּריוואַטקייט העסקעם (אַרייַנגערעכנט אָטאַמיישאַן און בעספּאָכע מכשירים). ריפּאָרץ זאָל זיין רעקאָרדעד, סטאָרד און אַנאַלייזד צו פֿאַרבעסערן PII זיכערהייט און פּריוואַטקייט שוץ השתדלות.
ווען העסקעם ישוז זענען דיסקאַווערד, אָרגאַנאַזיישאַנז זאָל:
- פאַרלייגן די סיבה.
- באַשליסן אויף אַ מעטאָד פון קערעקטיוו קאַמף צו צאַפּן און העסקעם גאַפּס.
- איבערחזרן דעם אַרויסגעבן נאָך אַ צונעמען צייט, צו ענשור אַז די פּראָבלעם איז ריזאַלווד.
עס איז וויטאַל וויכטיק צו אָנפירן קערעקטיוו מיטלען ווי באַלד ווי מעגלעך. אויב ישוז זענען נישט גאָר סאַלווד אין דער צייט פון דער ווייַטער רעצענזיע, בייַ אַ מינימום, זאָגן זאָל זיין צוגעשטעלט צו ווייַזן אַז פּראָגרעס איז געמאכט.
ISO 27701 פּונקט 6.15.2.3 - טעכניש העסקעם איבערבליק
רעפערענצן ISO 27002 קאָנטראָל 5.36
זען ISO 27701 פּונקט 6.15.2.2
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 32 - (1) (ד), (2)
שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR
| ISO 27701 קלאָז אידענטיפֿיער | ISO 27701 פּונקט נאָמען | ISO 27002 רעקווירעמענץ | אַססאָסיאַטעד GDPR אַרטיקלען |
|---|---|---|---|
| 6.15.1.1 | לעגיטימאַציע פון אָנווענדלעך געסעצ - געבונג און קאָנטראַקטואַל רעקווירעמענץ |
5.31 - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאָנטראַקטואַל רעקווירעמענץ פֿאַר ISO 27002 |
ארטיקלען (5), (28), (30), (32) |
| 6.15.1.2 | אינטעלעקטואַל פאַרמאָג הזכויות |
5.32 - אינטעלעקטואַל פאַרמאָג רעכט פֿאַר ISO 27002 |
גאָרניט |
| 6.15.1.3 | שוץ פון רעקאָרדס |
5.33 - שוץ פון רעקאָרדס פֿאַר ISO 27002 |
ארטיקלען (5), (24) |
| 6.15.1.4 | פּריוואַטקייט און שוץ פון פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע |
5.34 - פּריוואַטקייט און שוץ פון PII פֿאַר ISO 27002 |
גאָרניט |
| 6.15.1.5 | רעגולירן פון קריפּטאָגראַפיק קאָנטראָלס |
5.31 - לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאָנטראַקטואַל רעקווירעמענץ פֿאַר ISO 27002 |
גאָרניט |
| 6.15.2.1 | אומאָפּהענגיק איבערבליק פון אינפֿאָרמאַציע זיכערהייט |
5.35 - אומאָפּהענגיק איבערבליק פון אינפֿאָרמאַציע זיכערהייט פֿאַר ISO 27002 |
אַרטיקל (32) |
| 6.15.2.2 | העסקעם מיט זיכערהייט פּאַלאַסיז און סטאַנדאַרדס |
5.36 - העסקעם מיט פּאָליסיעס, כּללים און סטאַנדאַרדס פֿאַר אינפֿאָרמאַציע זיכערהייט פֿאַר ISO 27002 |
גאָרניט |
| 6.15.2.3 | טעכניש קאָמפּליאַנסע איבערבליק |
5.36 - העסקעם מיט פּאָליסיעס, כּללים און סטאַנדאַרדס פֿאַר אינפֿאָרמאַציע זיכערהייט פֿאַר ISO 27002 |
אַרטיקל (32) |
ווי ISMS.online העלפּס
ISO 27701 איז ניט בלויז אַ פריימווערק פֿאַר אָרגאַנאַזיישאַנז צו אַדאַפּט; עס מיטל צו אַדאַפּט די וועג מענטשן פֿאַרשטיין, צובינד און ינטעראַקט מיט דאַטן.
ביי ISMS.online, מיר האָבן דיזיינד אונדזער סיסטעם אַזוי אַז איר און דיין שטעקן קענען נוצן אונדזער גרינג-צו-נוצן צובינד פֿאַר דאַקיומענטינג דיין ISO נסיעה.
מיר אויך צושטעלן ווידעא רעסורסן און אַקסעס צו אינפֿאָרמאַציע זיכערהייט פּראָפעססיאָנאַלס צו העלפֿן איר ויסשטימען סטאַנדאַרדס אין דיין פירמע.
געפֿינען זיך מער דורך בוקינג אַ הענט אויף דעמאָ.
