ISO 27001:2022 Bijlage A Controle 5.34

Privacy en bescherming van PII

Boek een demo

sluiten,omhoog,afbeelding,van,vrouw,handen,typen,op,laptop,computer

PII zijn alle gegevens die kunnen worden gebruikt om een ​​individu te identificeren.

Voorbeelden hiervan zijn:

  • Rijbewijs.
  • Financiële informatie, inclusief bankrekeningen.
  • Medische gegevens.
  • Adres.
  • Nationaal verzekeringsnummer of burgerservicenummer.

PII is een fundamenteel onderdeel van het datatoezichtplan van een organisatie en brengt een reeks duidelijke regelgevende, wetgevende en contractuele gevaren met zich mee.

ISO 27001:2022 Bijlage A 5.34 behandelt de bescherming van persoonlijk identificeerbare informatie (PII) op drie verschillende gebieden:

  • Privacy.
  • Bescherming.
  • Behoud.

Doel van ISO 27001:2022 Bijlage A 5.34

ISO 27001:2022 Bijlage A 5.34 is een preventieve maatregel dat helpt risico's op afstand te houden, door het opstellen van richtlijnen en procedures die voldoen aan de wettelijke, statutaire, regelgevende en contractuele verplichtingen van een organisatie met betrekking tot de opslag, privacy en bescherming van persoonlijk identificeerbare informatie (PII) in al zijn vormen.

Eigendom van bijlage A 5.34

ISO 27001:2022 bijlage A 5.34 kent de aangewezen organisatie toe Privacyfunctionaris (of relevant equivalent) als de persoon die verantwoordelijk is voor het toezicht op de naleving van PII.

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.34

Organisaties moeten de bescherming van PII als een gespecialiseerde bedrijfspraktijk beschouwen en beleid opstellen dat exclusief is voor hun organisatie en voor de specifieke soorten PII die het meest voorkomen in hun dagelijkse activiteiten.

De organisatie moet beleid opstellen, formuleren en uitvoeren dat gericht is op het behoud, de privacy en de bescherming van PII, en ervoor zorgen dat al het personeel dat PII verwerkt hiervan op de hoogte is en zich eraan houdt – en niet alleen degenen die er als onderdeel van hun taken mee omgaan.

Bijlage A 5.34 vereist dat organisaties op een overzichtelijke, beknopte manier beleid formuleren dat rekening houdt met individuele rollen, verantwoordelijkheden en gegevenscontroles in de hele organisatie.

Een top-down benadering is de meest effectieve en efficiënte manier om dit te doen, waarbij: Er wordt een Privacyfunctionaris aangesteld. De rol van deze persoon is om werknemers en externe organisaties te begeleiden met betrekking tot PII en om advies te geven aan het senior management over het naleven van de verplichtingen van de organisatie.

Organisaties moeten zich houden aan regelgevende, wettelijke en contractuele voorschriften en technische en operationele procedures inbouwen om PII effectief te beheren terwijl deze in het bedrijf worden opgeslagen en door het bedrijf stromen.

Aanvullend richtsnoer bij bijlage A 5.34

De wetgeving met betrekking tot persoonlijk identificeerbare informatie (PII) verschilt van land tot land, zelfs in gebieden met gedecentraliseerde overheden of niet-federale overheden.

Organisaties moeten hun behoeften op het gebied van de verwerking van persoonlijke informatie beoordelen en nadenken over eventuele internationale gevolgen die voortvloeien uit het verzamelen, verwerken of delen van persoonlijke informatie tussen verschillende landen.

Hoewel ISO 27001:2022 geen specifiek advies geeft over hoe dit te bereiken, biedt een reeks ISO-documenten uitgebreidere informatie over dit onderwerp, waaronder:

  • ISO / IEC 29100 – biedt richtlijnen voor de bescherming van persoonlijk identificeerbare informatie (PII) binnen informatie- en communicatietechnologie (ICT)-systemen. Het zet de vereisten uiteen voor de bescherming van PII en geeft een overzicht van de maatregelen die nodig zijn om de veilige verwerking van PII te garanderen.
  • ISO/IEC 27701 – biedt een raamwerk voor organisaties om privacy-informatie te beheren. Het stelt hen in staat een privacy-informatiebeheersysteem op te zetten, te implementeren, te onderhouden en voortdurend te verbeteren. Met dit systeem kunnen organisaties de privacy van individuen beschermen, misbruik van persoonsgegevens voorkomen en voldoen aan toepasselijke wet- en regelgeving.
  • ISO / IEC 27018 – is een praktijkcode voor het implementeren van de bescherming van persoonlijk identificeerbare informatie (PII) binnen de publieke cloudinfrastructuur. Het biedt richtlijnen voor het beschermen van PII en daarmee voor het beschermen van de privacy van individuen. De code is van toepassing op organisaties die PII verwerken binnen de publieke cloudinfrastructuur.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 5.34 vervangt ISO 27001:2013 Bijlage A 18.1.4 (Privacy en bescherming van persoonlijk identificeerbare informatie) in de herziene standaard uit 2022.

ISO 27001:2022 bijlage A 5.34 is vrijwel identiek aan de versie uit 2013, met twee belangrijke verschillen:

  1. ISO 27001:2022 Bijlage A 5.34 beveelt organisaties aan om een ​​onderwerpspecifiek beleid te overwegen bij het ontwikkelen en implementeren van beleid en procedures voor persoonlijke informatie.
  2. ISO 27001:2022 Bijlage A 5.34 legt meer nadruk op vrijwaring Persoonlijk identificeerbare informatie (zoals vermeld in de titel van Bijlage A Controle) en standaardprivacy- en beschermingsvoorschriften.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons cloudplatform biedt een sterk raamwerk van gegevensbeveiligingscontroles waarmee u uw ISMS-proces onderweg kunt controleren en ervoor kunt zorgen dat het voldoet aan de criteria van ISO 27001:2022. Bij correct gebruik kan ISMS.online u helpen certificering te verkrijgen met een absoluut minimum aan tijd en middelen.

Neem nu contact met ons op reserveer een demonstratie.

Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.

Emmie Cooney
Operations Manager, Amigo

Boek uw demo

Methode voor gegarandeerde resultaten
100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu