פּונקט 6.3, אָרגאַניזאַציע פון אינפֿאָרמאַציע זיכערהייט

ISO 27701 - פּונקט 6.3 - אָרגאַניזאַציע פון אינפֿאָרמאַציע זיכערהייט

ISO 27701 פּונקט 6.3 - ארגאניזאציע פון אינפֿאָרמאַציע זיכערהייט דיסקוסירט די וויכטיקייט פון גרינדן אַ סטראַקטשערד פריימווערק פֿאַר אָנפירונג אינפֿאָרמאַציע זיכערהייט אין אַן אָרגאַניזאַציע. עס קאָווערס גאַווערנאַנס, ריזיקירן פאַרוואַלטונג, ריסאָרס אַלאַקיישאַן און פּאָליטיק ינאַגריישאַן, ינשורינג זיכערהייט מיטלען ייַנרייען מיט קוילעלדיק געשעפט פּראַסעסאַז צו באַשיצן שפּירעוודיק דאַטן און האַלטן העסקעם.

פֿאַרשטיין פּונקט 6.3: יפעקטיוולי אָרגאַניזירן אינפֿאָרמאַציע זיכערהייט

פּריוואַטקייט שוץ זאָל זיין אַדמינאַסטערד ווי אַ באַגריף, ווי אויך אַן אַפּעריישאַנאַל פאַקט.

אָרגאַנאַזיישאַנז זאָל באַטראַכטן פּריוואַטקייט שוץ ניט בלויז אין טערמינען פון די סיסטעמען זיי נוצן צו באַשיצן דאַטן, אָבער אויך אין די וועג זיי פירן די מענטשן וואָס אַקסעס PII, און ווי פּריוואַטקייט שוץ איז באהאנדלט צוזאמען אנדערע געשעפט פאַנגקשאַנז, אַזאַ ווי פּרויעקט פאַרוואַלטונג.

ISO 27701 6.3 באשרייבט ווי אָרגאַנאַזיישאַנז קענען פירן פּריוואַטקייט שוץ ווי אַ סוף-צו-סוף פּראָצעס, אַרייַנגערעכנט די אויבן סיבות.

וואָס איז קאַווערד אין ISO 27701 פּונקט 6.3

ISO 27701 6.3 כּולל דריי סאַב-קלאָזיז וואָס אַרייַננעמען פּריוואַטקייט שוץ-ספּעציפיש גיידאַנס, צוגעפאסט פֿון דריי שטיצן קלאָזיז אין ISO 27002:

ISO 27701 6.3.1.1 - אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז (רעפערענצן ISO 27002 קאָנטראָל 5.2)
ISO 27701 6.3.1.2 - סעגרעגאַציע פון דוטיז (רעפערענצן ISO 27002 קאָנטראָל 5.3)
ISO 27701 6.3.1.5 - אינפֿאָרמאַציע זיכערהייט אין פּרויעקט פאַרוואַלטונג (רעפערענצן ISO 27002 קאָנטראָל 5.8)

נאָך PIMS-ספּעציפיש גיידאַנס רילייטינג צו די פּראַסעסינג פון PII קענען זיין געפֿונען אין פּונקט 6.3.1.1, וואָס איז אויך לינגקט צו אַרטיקלען קאַנטיינד מיט GDPR געסעצ - געבונג.

ביטע טאָן אַז GDPR סייטיישאַנז זענען בלויז פֿאַר ינדיקאַטיוו צוועקן. אָרגאַנאַזיישאַנז זאָל ונטערזוכן די געסעצ - געבונג און מאַכן זייער אייגענע משפט אויף וואָס פּאַרץ פון די געזעץ אַפּלייז צו זיי.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.3.1.1 - אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז

רעפערענצן ISO 27002 קאָנטראָל 5.2

אָרגאַנאַזיישאַנז זאָל דעפינירן ראָלעס און ריספּאַנסאַבילאַטיז וואָס זענען ספּעציפיש צו יחיד פאַנגקשאַנז קאַנטיינד אין זייער פּריוואַטקייט שוץ פּאָליטיק - ביידע זייער אַלגעמיינע פּאָליטיק און טעמע-ספּעציפיש פּאַלאַסיז.

מענטשן מיט ספּעציפיש ריספּאַנסאַבילאַטיז זאָל זיין גענוג גענוג צו דורכפירן פּריוואַטקייט-פֿאַרבונדענע טאַסקס, און זאָל זיין געפֿינט קעסיידערדיק שטיצן וואָס האלט אַ פּאַסיק מדרגה פון קאַמפּאַטינס.

אַרעאַס פון פֿאַראַנטוואָרטלעכקייט זאָל אַרייַננעמען:

דער שוץ פון PII און קיין פּריוואַטקייט-פֿאַרבונדענע אַסעץ.
עקסאַקיוטינג פּריוואַטקייט שוץ פּראָוסידזשערז.
PII-פֿאַרבונדענע ריזיקירן פאַרוואַלטונג אַקטיוויטעטן, אַרייַנגערעכנט רימידיאַל אַקשאַנז.
ווער עס יז וואס ניצט די אָרגאַנאַזיישאַנז אינפֿאָרמאַציע און דאַטן, אַרייַנגערעכנט די נוצן פון יקט אַסעץ.
מענטשן מיט העכסט-מדרגה פֿאַראַנטוואָרטלעכקייט פֿאַר פּריוואַטקייט שוץ דעלאַגייטינג טאַסקס צו אנדערע.

ISO אנערקענט אַז יעדער אָרגאַניזאַציע איז יינציק אין די וועג זיי פּראַסעסינג אינפֿאָרמאַציע. די אויבן אַרעאַס פון פֿאַראַנטוואָרטלעכקייט זאָל זיין באגלייט דורך פּלאַץ און מעכירעס-ספּעציפיש גיידליינז וואָס נעמען אין חשבון פאַקטיש וועלט סיבות וואָס ווירקן אַן אָרגאַנאַזיישאַנז PII-פּראַסעסינג אָפּעראַציע.

אַלע פון די אויבן ריספּאַנסאַבילאַטיז און זיכערהייט געביטן זאָל זיין קלאר דאַקיומענטאַד און געמאכט בנימצא צו אַלע באַטייַטיק שטעקן מיטגלידער.

נאָך PIMS-ספּעציפיש גיידאַנס

אָרגאַנאַזיישאַנז זאָל נאָמינירן אַ יחיד וואָס קאַסטאַמערז (און פונדרויסנדיק אויטאריטעטן) קענען נוצן ווי אַ דעדאַקייטאַד פונט פון קאָנטאַקט פֿאַר אַלע PII-פֿאַרבונדענע ענינים (זען ISO 27701 7.3.2).

אין אַדישאַן, אָרגאַנאַזיישאַנז זאָל דעלאַגייט פֿאַראַנטוואָרטלעכקייט צו איינער אָדער מער יחידים פֿאַר בויען אַן אָרגאַנאַזיישאַנאַל פּריוואַטקייט גאַווערנאַנס פּראָגראַם וואָס שטיצט די אַדכיראַנס צו לאָוקאַלייזד און נאציאנאלע PII געזעצן און רעגיאַליישאַנז.

אָנווענדלעך GDPR אַרטיקלען

אַרטיקל 27 - (1), (2) (אַ), (2) (ב), (3), (4), (5)
אַרטיקל 37 - (1) (אַ), (1) (ב), (1) (c), (2), (3), (4), (5), (6), (7)
אַרטיקל 38 - (1), (2), (3), (4), (5), (6)
אַרטיקל 39 - (1) (אַ), (1) (ב), (1) (c), (1) (ד), (1) (e), (2)

שטיצן קלאָזיז

ISO 27701 פּונקט 7.3.2

ISO 27701 פּונקט 6.3.1.2 - סעגרעגאַציע פון דוטיז

רעפערענצן ISO 27002 קאָנטראָל 5.3

אין אַן אָרגאַניזאַציע מיט פילע פאַרשידענע פּריוואַטקייט-פֿאַרבונדענע ראָלעס, ריספּאַנסאַבילאַטיז און דוטיז קענען אָפט קומען אין קאָנפליקט מיט איין אנדערן.

מענטשן קענען אָפט דורכפירן ראָלעס וואָס האָבן די פּאָטענציעל צו קאָמפּראָמיס PII, ווייַל זיי זענען די איינציקע אויטאָריטעט אָדער פעלן אין פאַרוואַלטונג פאַרזע.

ריספּאַנסאַבילאַטיז זאָל זיין סעגרעגאַטעד צו ענשור אַ מער געזונט פּריוואַטקייט שוץ אָפּעראַציע. ביישפילן פון ראָלעס וואָס קען אַנטהאַלטן קאָנפליקט אַרייַננעמען:

ריקוועסטינג, אַפּרוווינג אָדער ימפּלאַמענינג אַ ענדערונג צו די PIMS.
מאַכן אַמענדמאַנץ צו אַקסעס רעכט, אַרייַנגערעכנט RBAC.
שרייבן אָדער אַמענדינג קאָד, אָדער דורכפירן קיין טיפּ פון אַפּלאַקיישאַן אַנטוויקלונג.
ניצן אַפּלאַקיישאַנז אָדער דאַטאַבייסיז וואָס האַנדלען מיט די פּראַסעסינג און / אָדער סטאָרידזש פון PII.
דראַפטינג, אַפּרוווינג און / אָדער ריוויוינג קאָנטראָלס פֿאַר פּריוואַטקייט שוץ.

סעגרעגאַציע קאָנטראָלס זאָל זיין דעוועלאָפּעד מיט פאַרשידן סיבות אין זינען:

פּרעווענטינג קאַלוזשאַן.
ידענטיפיצירן קאָנפליקט.
מאָניטאָרינג אַקטיוויטעטן.
שאפן קאָנטראָלירן טריילז.
אָטאַמייטינג דעם פּראָצעס פון ידענטיפיצירן קאָנפליקט.

ISO אנערקענט אַז קלענערער אָרגאַנאַזיישאַנז קען געפֿינען עס שווער צו סעגרעגירן ראָלעס, ווייַל פון זייער לימיטעד רעסורסן, אָבער דער גאנצער באַגריף פון סעגרעגאַציע זאָל פונדעסטוועגן זיין פּערסוד ווי ווייַט ווי עס איז קאמערשעל און אַפּעריישאַנאַל מעגלעך.

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.3.1.5 - אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט

רעפערענצן ISO 27002 קאָנטראָל 5.8

ווי געזונט ווי טעגלעך ריקערינג רעוועך דור, פּריוואַטקייט שוץ זאָל אויך פאַרברייטערן צו פּרויעקט ימפּלאַמענטיישאַן און פאַרוואַלטונג אַקטיוויטעטן.

פּראַדזשעקס אָפט אַרייַננעמען די מיגראַטיאָן, שאַפונג און אָלטערניישאַן פון וואַסט אַמאַונץ פון PII, און ווי אַזאַ, זאָל זיין קאַנסידערד טויגן באַטראַכטונג אין סדר פֿאַר אָרגאַנאַזיישאַנז צו האַלטן העסקעם מיט לאָוקאַלייזד און נאציאנאלע פּריוואַטקייט-פֿאַרבונדענע געזעצן און רעגולאַטאָרי גיידליינז.

א "פּראָיעקט" קען זיין אַ טעטיקייט וואָס ענדערונגען אַ נאָרמאַל וועג פון אַרבעט, אָדער ינטראַדוסיז נייַע פּראָצעס און / אָדער ויסריכט און אַפּלאַקיישאַנז צו אַן אָרגאַניזאַציע.

פּרויעקט פאַרוואַלטונג אַקטיוויטעטן זאָל ענשור אַז:

ריסקס און רעקווירעמענץ פֿאַר פּריוואַטקייט שוץ זענען קאַנסידערד פרי אין די פּרויעקט, און זענען מיינטיינד איבער די לייפסייק פון די פּרויעקט (זען ISO 27002, קלאָזיז 5.32 און 8.26).
פּריוואַטקייט שוץ איז קעסיידער מאָניטאָרעד און אַקטאַד אויף - דורך פאָרמאַל יוואַליויישאַנז דורך פּאַסיק מענטשן אָדער גאַווערנאַנס ללבער, און סטראַקטשערד טעסץ.
אַלע ראָלעס שייַכות צו פּרויעקט-ספּעציפיש פּריוואַטקייט שוץ זענען קלאר דיפיינד.
אַלע פּראָדוקטן אָדער באַדינונגס צו זיין איבערגעגעבן ווי אַ טייל פון די פּרויעקט זאָל זיין באשאפן אין לויט מיט די פארעפנטלעכט פּריוואַטקייט סטאַנדאַרדס פון דער אָרגאַניזאַציע.
פּריוואַטקייט שוץ איז געשטארקט דורך מעטהאָדס אַזאַ ווי סאַקאָנע מאָדעלינג, אינצידענט באריכטן, וואַלנעראַביליטי טרעשאַלז און קאַנטינדזשאַנסי פּלאַנירונג.

פּריוואַטקייט שוץ השתדלות זאָל ניט זיין לימיטעד צו יקט פּראַדזשעקס. אָרגאַנאַזיישאַנז זאָל באַטראַכטן אַ קייט פון סיבות ווען דיטערמאַנינג ספּעציפיש PII-פֿאַרבונדענע באדערפענישן, אַרייַנגערעכנט:

די יינציק אינפֿאָרמאַציע וועריאַבאַלז, אַרייַנגערעכנט וואָס ספּעציפיש דאַטן איז ינוואַלווז, די זיכערהייט באדערפענישן און די קאַנסאַקווענסאַז פון אַ בריטש אָדער מיסיוז.
די אַשוראַנסיז וואָס דאַרפֿן צו זיין געזוכט אין טערמינען פון קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי.
די פּראַוויזשאַנז פון אַקסעס רעכט און דערלויבעניש פּראָטאָקאָלס פֿאַר ינערלעך און פונדרויסנדיק פּערסאַנעל (אַרייַנגערעכנט קאַסטאַמערז).
באַשטעטיקן קלאָר עקספּעקטיישאַנז אַז מיטטיילן וסערס פון זייער אַבלאַגיישאַנז.
די באדערפענישן פון אנדערע ינערלעך זיכערהייט קאָנטראָלס.
קיין סיסטעם-פֿאַרבונדענע אַקשאַנז וואָס זענען פארלאנגט רעכט צו אַפּעריישאַנאַל אַקטיוויטעטן (למשל, טראַנסאַקטיאָן לאָגינג).
אָנהאַלטן אַדכיראַנס מיט לעגאַל, רעגולאַטאָרי און קאַנטראַקטשואַל רעקווירעמענץ.
דריט-פּאַרטיי קאַנטראַקטשואַל אַבלאַגיישאַנז וואָס זענען אַליינד מיט די אָרגאַניזאַציע ס אייגענע פּריוואַטקייט סטאַנדאַרדס.

באַטייַטיק ISO 27002 קאָנטראָלס

ISO 27002 5.32
ISO 27002 8.26

שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR

ISO 27701 קלאָז אידענטיפֿיער	ISO 27701 פּונקט נאָמען	ISO 27002 רעקווירעמענץ	אַססאָסיאַטעד GDPR אַרטיקלען
6.3.1.1	אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז	5.2 - אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז פֿאַר ISO 27002	ארטיקלען (27), (37), (38), (39)
6.3.1.2	סעגרעגאַציע פון דוטיז	5.3 - סעגרעגאַציע פון דוטיז פֿאַר ISO 27002	גאָרניט
6.3.1.5	אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט	5.8 - אינפֿאָרמאַציע זיכערהייט אין פּראָיעקט מאַנאַגעמענט פֿאַר ISO 27002	גאָרניט

ווי ISMS.online העלפּס

אונדזער ISMS.online סאַלושאַנז מאַכן עס גרינג פֿאַר אָרגאַנאַזיישאַנז צו דערגרייכן פּרויעקט פאַרזע, ינשורינג אַז די דאַטן קאָנטראָללער און פּראַסעסער פּאַלאַסיז און פּראָוסידזשערז זענען אין לויט מיט די ISO נאָרמאַל.

אונדזער אָנליין סיסטעם ינשורז אויך אַז סיסטעם ימפּלאַמענערז האָבן אַ איין אָרט פֿאַר רעפֿערענץ און מיטאַרבעט.

אונדזער אַשורד רעזולטאַטן מעטאַד (ARM) ינייבאַלז איר צו זיין זיכער אַז איר טיקטאַק אַלע די באָקסעס איר דאַרפֿן צו נאָכקומען מיט די נאָרמאַל.

געפינען אויס מער און באַקומען אַ האַנט אויף דעמאַנסטריישאַן דורך בוקינג אַ דעמאָ.

טאָבי קיין

פּאַרטנער קונה סאַקסעס מאַנאַדזשער

טאָבי קיין איז דער סיניער פּאַרטנער סאַקסעס מאַנאַדזשער פֿאַר ISMS.online. ער האָט געאַרבעט פֿאַר דער פֿירמע פֿאַר נאָענט צו 4 יאָר און האָט אויסגעפֿירט אַ ריי ראָלעס, אַרייַנגערעכנט האָסטינג זייערע וועבינאַרן. איידער ער האָט געאַרבעט אין SaaS, איז טאָבי געווען אַ לערער אין אַ מיטלשול.

מיר זענען אַ פירער אין אונדזער פעלד