Inzicht in leiderschapsverantwoordelijkheden in ISO 27701, clausule 5.3
Organisatorisch leiderschap en management is een terugkerend thema in alle ISO-gerelateerde normen voor informatiebeveiligingsbeheersystemen.
Beleid en procedures zijn alleen effectief als ze worden erkend en op uniforme wijze worden nageleefd. Het senior management speelt een sleutelrol om dit te garanderen PII en PIMS-gerelateerde activiteiten krijgen het niveau van respect en professionaliteit dat wordt gerechtvaardigd door hun rol bij het minimaliseren van risico's en het verbeteren van informatiebeveiliging over de hele linie.
Wat wordt er behandeld in ISO 27701, clausule 5.3
Paragraaf 5.3 gaat rechtstreeks in op de rol van het senior management bij het opzetten van een PIMS dat vanaf de basis voldoet aan de externe verplichtingen en PII-vereisten van een organisatie, via drie belangrijke operationele gebieden:
- Leiderschap en betrokkenheid.
- Het beleid.
- Organisatorische rollen, verantwoordelijkheden en bevoegdheden.
Om dit te bereiken bevat ISO 27701-5.3 drie subclausules referentierichtlijnen uit 27001:2013.
Al deze clausules moeten worden bekeken door het prisma van het opzetten en onderhouden van een PIMS, PII-beveiliging en privacybescherming, in plaats van breed toegepast te worden op informatiebeveiliging als concept.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 5.3.1 – Leiderschap en betrokkenheid
Referenties ISO 27001 Controle 5.1
ISO 27001:2013-5.1 bevat zeven belangrijke richtlijnen die het topmanagement helpen bij het tonen van 'leiderschap en betrokkenheid' bij het opstellen van een informatiebeveiligingsbeleid met betrekking tot PII.
Gedurende het hele proces van het opzetten van een PIMS moet het topmanagement:
- Houd de operationele doelstellingen van het managementsysteem als geheel in gedachten en zorg ervoor dat PIMS-gerelateerde activiteiten aansluiten bij wat het bedrijf probeert te bereiken;
- Zorg ervoor dat het PIMS van de organisatie is ingebed in de informatiebeveiligingsprocessen van het bedrijf;
- Een adequate hoeveelheid middelen beschikbaar stellen om een functionerend PIMS te implementeren – inclusief budgetruimte en het juiste aantal medewerkers om het te implementeren en te onderhouden;
- De voordelen van een PIMS onder de aandacht brengen van al het personeel binnen de organisatie – en niet alleen van degenen die er rechtstreeks mee communiceren – om de betrokkenheid van medewerkers te maximaliseren en de therapietrouw te verbeteren;
- Maak afspraken over een duidelijke reeks resultaten, om de prestaties van een PIMS en de impact ervan op de PII-beveiliging te meten;
- Leiderschap en ondersteuning bieden aan elke werknemer die een rol speelt bij het verbeteren van de prestaties van het PIMS, en een proactieve houding koesteren ten aanzien van het beschermen van PII;
- Bied begeleiding en ondersteuning aan leden van het junior managementteam, binnen gebieden van hun werk die rechtstreeks verband houden met PIMS-gerelateerde activiteiten en PII-beveiliging.
ISO 27701 Clausule 5.3.2 – Beleid
Referenties ISO 27001 Controle 5.2
Informatiebeleid is het brood en de boter van de bredere inspanningen van een organisatie op het gebied van privacybescherming.
Het senior management gebruikt protocollen en procedures om niet alleen het risicobeheer van de informatiebeveiliging als geheel te verbeteren, maar ook als een instrument om de prestaties van het personeel te meten en aan wet- en regelgevende instanties aan te tonen dat de organisatie haar verplichtingen ten aanzien van PII nakomt.
Informatiebeveiligingsbeleid met betrekking tot privacybescherming, PII en PIMS moet:
- Relevant en passend blijven voor de unieke commerciële en resource-gerelateerde behoeften van de organisatie;
- Het schetsen van een duidelijke reeks PII-gerelateerde doelstellingen, of, waar dit niet relevant is, helpt bij het opzetten van een raamwerk voor het vaststellen van toekomstige beveiligings- en privacydoelen (zie ISO 27001 clausule 6.2*);
- Houd rekening met eventuele specifieke organisatorische vereisten met betrekking tot PII, inclusief die van externe juridische, advies- en regelgevende instanties;
- Bevorder een proactieve benadering van de voortdurende evaluatie van de PIMS van de organisatie, inclusief de verbeteringen die kunnen worden aangebracht;
Zodra het beleid eenmaal is vastgesteld, moet het voor al het relevante personeel direct beschikbaar worden gemaakt in de vorm van versiebeheerde documenten, en breed worden gecommuniceerd door de hele organisatie – hetzij op het moment dat het wordt gemaakt, of wanneer er wijzigingen worden aangebracht die mogelijk van invloed zijn op de beveiliging van PII.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 5.3.3 – Organisatorische rollen, verantwoordelijkheden en autoriteiten
Referenties ISO 27001 Controle 5.3
Binnen de familie van informatiebeveiligingsstandaarden verwijst ISO voortdurend naar op rollen gebaseerde activiteiten, gebaseerd op iemands functietype en toegewezen verantwoordelijkheden.
ISO 27701-5.3.3 vraagt organisaties ervoor te zorgen dat iedereen die PII gebruikt, interactie heeft met een PIMS of verantwoordelijk is voor de bescherming van de privacy, een duidelijk gedefinieerde rol heeft en precies begrijpt waarvoor hij of zij verantwoordelijk is, inclusief die van het senior management zelf.
Het senior management moet ervoor zorgen dat alle PIMS- en PII-gerelateerde procedures voldoen aan de ISO 27001-normen, en rapportageverantwoordelijkheden delegeren aan personeelsleden die de prestaties van de PIMS van de organisatie op regelmatige tijdstippen analyseren.
Ondersteunende controles van ISO 27001 en AVG
*Controle 6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken (waarnaar wordt verwezen in ISO 27701, clausule 5.3.2)
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 5.3.1 | Leiderschap en betrokkenheid |
5.1 – Leiderschap en commitment voor ISO 27001 |
Geen |
| 5.3.2 | Beleid |
5.2 – Informatiebeveiligingsbeleid voor ISO 27001 |
Geen |
| 5.3.3 | Organisatorische rollen, verantwoordelijkheden en autoriteiten |
5.3 – Organisatorische rollen, verantwoordelijkheden en bevoegdheden voor ISO 27001 |
Geen |
Hoe ISMS.online kan helpen
Met ons voorgeconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en personeelsinformatie organiseren en beheren om volledig te voldoen aan ISO 27701.
Wij maken data mapping tot een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
U moet laten zien hoe goed u de verzoeken om rechten van betrokkenen (Data Subject Rights Requests, DRR) beheert. Onze beveiligde DRR-ruimte bewaart alles op één plek en ondersteunt het met geautomatiseerde rapportage en inzicht.
We hebben een ingebouwde risicobank en een reeks andere praktische hulpmiddelen gecreëerd die u kunnen helpen bij elk onderdeel van het risicobeoordelings- en beheerproces.
Meer informatie via een demo boeken.
