Persoonlijk identificeerbare informatie (PII) is elk stukje informatie dat de identiteit van een individu bevestigt.
De PII van een persoon kan het volgende omvatten:
PII vormt een belangrijk onderdeel van de data governance-strategie van een organisatie en brengt een aantal unieke regelgevende, wetgevende en contractuele risico's met zich mee.
Controle 5.34 gaat op drie verschillende manieren met PII om:
Controle 5.34 is een preventieve controle dat houdt het risico in stand door richtlijnen en procedures te creëren die voldoen aan de wettelijke, statutaire, regelgevende en contractuele vereisten van een organisatie met betrekking tot de mediaopslag, privacy en bescherming van PII in al zijn vormen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Identificeren #Beschermen | #Informatiebescherming #Juridisch en naleving | #Bescherming |
Controle 5.34 noemt expliciet de gedelegeerde Privacyfunctionaris van een organisatie (of het equivalent van de organisatie) als de persoon die toezicht moet houden op de naleving van PII.
Organisaties moeten PII behandelen als een onderwerpspecifieke bedrijfsfunctie en beleid ontwikkelen dat uniek is voor hun organisatie, en voor de categorieën PII die het meest voorkomen in hun dagelijkse activiteiten.
Eerst en vooral moet de organisatie een reeks beleidsmaatregelen opstellen, ontwikkelen en implementeren die gericht zijn op het behoud, de privacy en de bescherming van PII, en ervoor zorgen dat deze worden gecommuniceerd naar en gebruikt door alle werknemers die PII verwerken – niet alleen degenen die verplicht zijn om PII te verwerken. ermee omgaan als onderdeel van hun functie.
PII moet op een gestructureerde, duidelijke en beknopte manier worden beheerd. Om dit te bereiken vraagt Controle 5.34 organisaties om beleid op te stellen dat rekening houdt met individuele rollen en verantwoordelijkheden en gegevenscontroles in de hele organisatie.
De eenvoudigste en meest efficiënte manier om dit te bereiken is het hanteren van een top-downbenadering met een Privacy Officer, wiens taak het is om medewerkers en externe organisaties te begeleiden op het gebied van PII, en om advies te geven aan het senior management over hoe u kunt blijven voldoen aan de verplichtingen van de organisatie.
Naast regelgevende, wetgevende en contractuele richtlijnen, kan een De organisatie moet ook technische en operationele maatregelen implementeren die zich bezighouden met de praktische omgang met PII terwijl deze wordt opgeslagen en door het bedrijf stroomt.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
De PII-wetgeving varieert van land tot land, zelfs binnen gebieden met gedecentraliseerde overheden of niet-federale overheden.
Organisaties moeten audits uitvoeren voldoen aan de vereisten voor de verwerking van PII en houden rekening met eventuele grensoverschrijdende implicaties die voortvloeien uit het verzamelen, verwerken of distribueren van PII binnen afzonderlijke rechtsgebieden.
Terwijl ISO 27002:2022 biedt geen aanvullende richtlijnen over hoe dit te bereiken, een aantal ISO-documenten gaan dieper in op deze kwestie, waaronder:
27002:2022-5.34 vervangt 27002:2013-18.1.4 (Privacy en bescherming van persoonlijk identificeerbare informatie).
27002:2022-5.34 is bijna een kopie van zijn voorganger uit 2013, met twee opmerkelijke uitzonderingen.
Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u dat kunt checklist uw ISMS-proces terwijl u bezig bent om ervoor te zorgen dat het voldoet aan de eisen van ISO 27k. Correct gebruikt, ISMS. online kan u helpen bij het behalen van de certificering met een absoluut minimum aan tijd en middelen.
Neem vandaag nog contact op met boek een demo.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
