Bescherming van PII: Best practices van ISO 27002 Control 5.34
Persoonlijk identificeerbare informatie (PII) is elk stukje informatie dat de identiteit van een individu bevestigt.
De PII van een persoon kan het volgende omvatten:
- Adres
- Nationaal verzekeringsnummer of burgerservicenummer
- Rijbewijs
- Financiële informatie, inclusief bankrekeningen
- Medische gegevens
PII vormt een belangrijk onderdeel van de data governance-strategie van een organisatie en brengt een aantal unieke regelgevende, wetgevende en contractuele risico's met zich mee.
Controle 5.34 gaat op drie verschillende manieren met PII om:
- Behoud
- Privacy
- Bescherming
Doel van de controle 5.34
Controle 5.34 is een preventieve controle uit die houdt het risico in stand door richtlijnen en procedures te creëren die voldoen aan de wettelijke, statutaire, regelgevende en contractuele vereisten van een organisatie met betrekking tot de mediaopslag, privacy en bescherming van PII in al zijn vormen.
Kenmerken van controle 5.34
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Informatiebescherming | #Bescherming |
| #Integriteit | #Beschermen | #Juridisch en naleving | ||
| #Beschikbaarheid |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 5.34
Controle 5.34 noemt expliciet de gedelegeerde Privacyfunctionaris van een organisatie (of het equivalent van de organisatie) als de persoon die toezicht moet houden op de naleving van PII.
Algemene richtlijnen voor controle 5.34
Organisaties moeten PII behandelen als een onderwerpspecifieke bedrijfsfunctie en beleid ontwikkelen dat uniek is voor hun organisatie, en voor de categorieën PII die het meest voorkomen in hun dagelijkse activiteiten.
Eerst en vooral moet de organisatie een reeks beleidsmaatregelen opstellen, ontwikkelen en implementeren die gericht zijn op het behoud, de privacy en de bescherming van PII, en ervoor zorgen dat deze worden gecommuniceerd naar en gebruikt door alle werknemers die PII verwerken – niet alleen degenen die verplicht zijn om PII te verwerken. ermee omgaan als onderdeel van hun functie.
PII moet op een gestructureerde, duidelijke en beknopte manier worden beheerd. Om dit te bereiken vraagt Controle 5.34 organisaties om beleid op te stellen dat rekening houdt met individuele rollen en verantwoordelijkheden en gegevenscontroles in de hele organisatie.
De eenvoudigste en meest efficiënte manier om dit te bereiken is het hanteren van een top-downbenadering met een Privacy Officer, wiens taak het is om medewerkers en externe organisaties te begeleiden op het gebied van PII, en om advies te geven aan het senior management over hoe u kunt blijven voldoen aan de verplichtingen van de organisatie.
Naast regelgevende, wetgevende en contractuele richtlijnen, kan een De organisatie moet ook technische en operationele maatregelen implementeren die zich bezighouden met de praktische omgang met PII terwijl deze wordt opgeslagen en door het bedrijf stroomt.
Aanvullende begeleiding
De PII-wetgeving varieert van land tot land, zelfs binnen gebieden met gedecentraliseerde overheden of niet-federale overheden.
Organisaties moeten audits uitvoeren voldoen aan de vereisten voor de verwerking van PII en houden rekening met eventuele grensoverschrijdende implicaties die voortvloeien uit het verzamelen, verwerken of distribueren van PII binnen afzonderlijke rechtsgebieden.
Terwijl ISO 27002:2022 biedt geen aanvullende richtlijnen over hoe dit te bereiken, een aantal ISO-documenten gaan dieper in op deze kwestie, waaronder:
- ISO/IEC 29100 (bescherming van PII binnen ICT-systemen)
- ISO/IEC 27701 (privacy-informatiebeheersystemen)
- ISO/IEC 27018 (PII binnen publieke cloudinfrastructuur)
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022-5.34 vervangt 27002:2013-18.1.4 (Privacy en bescherming van persoonlijk identificeerbare informatie).
27002:2022-5.34 is bijna een kopie van zijn voorganger uit 2013, met twee opmerkelijke uitzonderingen.
- 27002:2022-5.34 vraagt organisaties om een onderwerpspecifiek beleid te overwegen bij het formuleren en implementeren van PII-beleid en -procedures.
- 27002:2022-5.34 legt meer nadruk op de behoud van PII (zoals vermeld in de controletitel), naast standaardprivacy- en beschermingsrichtlijnen.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u dat kunt checklist uw ISMS-proces terwijl u bezig bent om ervoor te zorgen dat het voldoet aan de eisen van ISO 27k. Correct gebruikt, ISMS. online kan u helpen bij het behalen van de certificering met een absoluut minimum aan tijd en middelen.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
