ISO 27701 פּונקט 6.5.2: דער שליסל צו עפעקטיוו אינפֿאָרמאַציע קלאַסאַפאַקיישאַן
די וועלט פון גלאבאלע האַנדל איז אָנגעפילט מיט אַלע טייפּס פון אינפֿאָרמאַציע - פֿון מאַנדיין, עפנטלעך בנימצא דאַטאַסעץ, צו העכסט שפּירעוודיק PII רעקאָרדס וואָס אַנטהאַלטן פינאַנציעל אינפֿאָרמאַציע און קאפיעס פון רעגירונג שייַן.
אָרגאַנאַזיישאַנז דאַרפֿן צו האָבן אַ פעסט פארשטאנד פון די פאַרשידענע קאַטעגאָריעס פון דאַטן וואָס זיי קראָם, פּראָצעס און אַריבערפירן, און סטרויערן זייער אָפּעראַציע צו אַקאַמאַדייט אינפֿאָרמאַציע באזירט אויף זייַן ציל און ריזיקירן טיפּ.
אַמאָל די אָרגאַניזאַציע איז ביכולת צו ויסטיילן צווישן פאַרשידן דאַטן טייפּס - ספּעציעל אין די פאַל פון PII - זיי זאָל זיין ביכולת צו קלאר לייבלינג אַזאַ אינפֿאָרמאַציע אין אַ וועג וואָס מאכט פאַרשידענע קאַטעגאָריעס אונטערשיידן פון איינער דעם אנדערן, און חשבון פֿאַר וועריינג ריזיקירן לעוועלס אין ווי פּריוואַטקייט - פֿאַרבונדענע אַסעץ זענען פּראַסעסאַז און כאַנדאַלד איבער דער אָרגאַניזאַציע.
וואָס איז קאַווערד אין ISO 27701 פּונקט 6.5.2
ISO 27701 פּונקט 6.5.2 כּולל דריי סאַב-קלאָזיז וואָס אַנטהאַלטן אַלץ וואָס אַן אָרגאַניזאַציע דאַרף וויסן ווי צו קלאַסיפיצירן, פירמע און שעפּן PII.
אַלע דריי סאַב-קלאָזיז אַנטהאַלטן אינפֿאָרמאַציע גאַרנערד פֿון ISO 27002, אָבער מיט אַ ספּעציפיש פאָקוס אויף PII און פּריוואַטקייט שוץ:
- ISO 27701 6.5.2.1 - קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע (רעפערענצן ISO 27002 קאָנטראָל 5.12)
- ISO 27701 6.5.2.2 - לייבלינג פון אינפֿאָרמאַציע (רעפערענצן ISO 27002 קאָנטראָל 5.13)
- ISO 27701 6.5.2.3 - האַנדלינג פון אַסעץ (רעפערענסעס ISO 27002 קאָנטראָל 5.10)
סאַב-קלאָזיז 6.5.2.1 און 6.5.2.2 ביידע אַנטהאַלטן גיידאַנס וואָס איז באַטייַטיק צו וק GDPR געסעצ - געבונג, און די באַטייַטיק אַרטיקלען זענען ליסטעד פֿאַר דיין קאַנוויניאַנס.
ביטע טאָן אַז GDPR סייטיישאַנז זענען בלויז פֿאַר ינדיקאַטיוו צוועקן. אָרגאַנאַזיישאַנז זאָל ונטערזוכן די געסעצ - געבונג און מאַכן זייער אייגענע משפט אויף וואָס פּאַרץ פון די געזעץ אַפּלייז צו זיי.
פירן אַלע דיין העסקעם אויף איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס
און תקנות, געבן איר אַ איין
פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
ISO 27701 פּונקט 6.5.2.1 - קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע
רעפערענצן ISO 27002 קאָנטראָל 5.12
אלא ווי צו שטעלן אַלע אינפֿאָרמאַציע אויף אַ גלייַך פאָאָט, אָרגאַניזאַציעס זאָל קלאַסיפיצירן אינפֿאָרמאַציע אויף אַ טעמע-ספּעציפיש יקער.
אינפֿאָרמאַציע אָונערז זאָל באַטראַכטן פיר שליסל סיבות, ווען קלאַסאַפייינג דאַטן (ספּעציעל וועגן PII), וואָס זאָל זיין ריוויוד פּיריאַדיקלי, אָדער ווען אַזאַ סיבות טוישן:
- די מיט זיכערקייט פון די דאַטן.
- די אָרנטלעכקייַט פון די דאַטן.
- דאַטע אַוויילאַביליטי לעוועלס.
- די אָרגאַניזאַציע לעגאַל אַבלאַגיישאַנז צו PII.
כּדי צו צושטעלן אַ קלאָר אַפּעריישאַנאַל פריימווערק, אינפֿאָרמאַציע קאַטעגאָריעס זאָל זיין געהייסן אין לויט מיט די טאָכיק ריזיקירן מדרגה, אויב קיין ינסאַדאַנץ פאַלן וואָס קאַמפּראַמייז קיין פון די אויבן סיבות.
צו ענשור קרייַז-פּלאַטפאָרמע קאַמפּאַטאַבילאַטי, אָרגאַנאַזיישאַנז זאָל מאַכן זייער אינפֿאָרמאַציע קאַטעגאָריעס בנימצא צו קיין פונדרויסנדיק פּערסאַנעל מיט וואָס זיי טיילן אינפֿאָרמאַציע, און ענשור אַז די אָרגאַניזאַציע 'ס אייגענע קלאַסאַפאַקיישאַן סכעמע איז וויידלי פארשטאנען דורך אַלע באַטייַטיק פּאַרטיעס.
אָרגאַניזאַציעס זאָל זיין אָפּגעהיט פון אונטער-קלאַסאַפייינג אָדער, פאַרקערט, איבער-קלאַסאַפייינג דאַטן. די ערשטע קענען פירן צו מיסטייקס אין גרופּינג PII מיט ווייניקער-שפּירעוודיק דאַטן טייפּס, בשעת די ערשטע פירט אָפט צו צוגעלייגט קאָסט, אַ גרעסערע געלעגנהייַט פון מענטש טעות און פּראַסעסינג אַנאַמאַליז.
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (1) (f), (32) (2)
ISO 27701 פּונקט 6.5.2.2 - לייבלינג פון אינפֿאָרמאַציע
רעפערענצן ISO 27002 קאָנטראָל 5.13
לאַבעלס זענען אַ שליסל טייל פון ינשורינג אַז די אָרגאַניזאַציע 'ס PII קלאַסאַפאַקיישאַן פּאָליטיק (זען אויבן) איז אַדכירד צו, און אַז דאַטן קענען זיין קלאר יידענאַפייד אין לויט מיט זייַן סענסיטיוויטי (למשל PII איז לייבאַלד ווי אונטערשיידן פון ווייניקער קאַנפאַדענשאַל דאַטן טייפּס).
PII לייבלינג פּראָוסידזשערז זאָל דעפינירן:
- קיין סצענאַר ווו לייבלינג איז ניט פארלאנגט (עפנטלעך בנימצא דאַטן).
- ינסטראַקשאַנז אויף ווי פּערסאַנעל זאָל זיין לייבלינג ביידע דיגיטאַל און פיזיש אַסעץ און סטאָרידזש לאָוקיישאַנז.
- קאַנטינדזשאַנסי פּלאַנז פֿאַר קיין סצענאַר ווו לייבלינג איז ניט פיזיקלי מעגלעך.
ISO גיט אַ פּלאַץ פון פאַרנעם פֿאַר אָרגאַנאַזיישאַנז צו קלייַבן זייער אייגענע לייבלינג טעקניקס, אַרייַנגערעכנט:
- פיזיש לייבלינג.
- עלעקטראָניש לאַבעלס אין כעדערז און פאָאָטערס.
- די דערצו אָדער אַמענדמענט פון מעטאַדאַטאַ, אַרייַנגערעכנט סעאַרטשאַבלע טערמינען און ינטעראַקטיוו פאַנגקשאַנאַליטי מיט אנדערע אינפֿאָרמאַציע פאַרוואַלטונג פּלאַטפאָרמס (למשל די PIMS פון דער אָרגאַניזאַציע).
- וואַטערמאַרקינג וואָס גיט אַ קלאָר אָנווייַז פון די דאַטן קלאַסאַפאַקיישאַן אויף אַ דאָקומענט-ביי-דאָקומענט יקער.
- שטעמפּל מאַרקס אויף גשמיות קאפיעס פון אינפֿאָרמאַציע.
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (1) (f)
קאָמפּליאַנסע טוט נישט האָבן צו זיין קאָמפּליצירט.
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
ISO 27701 פּונקט 6.5.2.3 - האַנדלינג פון אַסעץ
רעפערענצן ISO 27002 קאָנטראָל 5.10
אָרגאַניזאַציעס זאָל אַנטוויקלען אַ באַנק פון טעמע-ספּעציפיש פּאַסיק נוצן פּאַלאַסיז, וואָס קאָווערס אַוועק די האַנדלינג פון PII-פֿאַרבונדענע אַסעץ און אינפֿאָרמאַציע.
יעדער גרופּע אָדער יחיד - אָדער ינערלעך אָדער פונדרויסנדיק - וואָס האט די פיייקייט צו שעפּן PII אויף ביכאַף פון דער אָרגאַניזאַציע, אָדער ווי אַ טייל פון אַן אינפֿאָרמאַציע ייַנטיילונג העסקעם, זאָל פֿאַרשטיין זייער ריספּאַנסאַבילאַטיז און וואָס ס דערוואַרט פון זיי.
טעמע-ספּעציפיש פּאַלאַסיז זאָל קלאר דעפינירן:
- אַקסעפּטאַבאַל און אַנאַקסעפּטאַבאַל נאַטור, אין דעם קאָנטעקסט פון פּריוואַטקייט שוץ.
- ווי און ווו PII איז דערלויבט צו זיין געוויינט.
- די דעטאַילס פון די PII מאָניטאָרינג אָפּעראַציע פון דער אָרגאַניזאַציע.
פּראַסעסאַז און פּראָוסידזשערז זאָל זיין ימפּלאַמענאַד וואָס נעמען אין באַטראַכטונג:
- RBAC רעקווירעמענץ (אָדער קיין פאָרעם פון דיגיטאַל און / אָדער פיזיש אַקסעס קאָנטראָל) וואָס פּראַטעקץ אַקסעס צו PII.
- א גרונטיק רעקאָרד פון וואָס איז דערלויבט צו אַקסעס PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ און אינפֿאָרמאַציע.
- ווי צו באַשיצן ביידע צייטווייליגע און שטענדיק קאָפּיעס פון פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע.
- מאַניאַפאַקטשערערז גיידליינז ווען סטאָרינג פּריוואַטקייט-פֿאַרבונדענע אַסעץ (זען ISO 27002 7.8).
- ווי סטאָרידזש מידיאַ איז אנגעצייכנט פֿאַר די ופמערקזאַמקייט פון די באַקומער (זען ISO 27002 7.10).
- ווי PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ זאָל זיין אויסגעמעקט אָדער פּערמאַנאַנטלי חרובֿ (זען ISO 27002 8.10).
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR
| ISO 27701 קלאָז אידענטיפֿיער | ISO 27701 פּונקט נאָמען | ISO 27002 רעקווירעמענץ | אַססאָסיאַטעד GDPR אַרטיקלען |
|---|---|---|---|
| 6.5.2.1 | קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע |
5.12 - קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע פֿאַר ISO 27002 | ארטיקלען (5), (32) |
| 6.5.2.2 | לייבלינג פון אינפֿאָרמאַציע |
5.13 - לייבלינג פון אינפֿאָרמאַציע פֿאַר ISO 27002 | אַרטיקל (5) |
| 6.5.2.3 | האַנדלינג פון אַסעץ |
5.10 - אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע אַססאָסיאַטעד אַסעץ פֿאַר ISO 27002 | גאָרניט |
ווי ISMS.online העלפּס
די ISMS.online פּלאַטפאָרמע האט אַ געבויט-אין גיידאַנס אין יעדער בינע, אין אַדישאַן צו אונדזער ימפּלאַמענטיישאַן צוגאַנג צו "אַדאָפּט, אַדאַפּט, לייג", צו העלפֿן איר דערגרייכן ISO 27701 מיט ווייניקער מי.
דערצו, איר וועט נוץ פון אַ פאַרשיידנקייַט פון צייט-שפּאָרן פֿעיִקייטן.
געפֿינען זיך מער דורך בוקינג אַ דעמאָ.
שפרינג צו דער טעמע
באַקומען סערטאַפייד אַרויף צו 5 קס פאַסטער
פשוט פּלאָמבירן די בלאַנקס.
ספר אַ דעמאָ באַקומען אַ ציטירן
