ISO 27701, clausule 5.4 – Planning

ISO 27701 Controles en clausules uitgelegd

Boek een demo

silhouetten,van,mensen,zittend,aan,de,tafel.,een,team,van

Het is essentieel dat organisaties, voordat ze een PIMS implementeren, een duidelijk beeld krijgen van wat hun specifieke privacybescherming/PII-doelstellingen zijn, op alle niveaus van hun informatiebeveiligingsactiviteiten.

Risicobeoordeling zou een sleutelelement moeten zijn van alle privacybeschermingsprotocollen voor de hele organisatie, inclusief inzicht in hoe risico's moeten worden beoordeeld en geanalyseerd, en 'risicobehandeling' – het proces van het wijzigen van risico's door middel van een reeks technische maatregelen.

Wat wordt er behandeld in ISO 27701, clausule 5.4

ISO 27701 5.4 behandelt de stappen die organisaties moeten nemen bij het plannen van een PIMS- of privacybeleid.

ISO 27701 5.4 is gebaseerd op richtlijnen uit ISO 27001 6.1 (Acties om risico's en kansen aan te pakken) en bevat verdere richtlijnen over vier belangrijke subclausules:

  • ISO 27701 Clausule 5.4.1.1 (Referenties ISO 27001 Controle 6.1.1)

  • ISO 27701 Clausule 5.4.1.2 (Referenties ISO 27001 Controle 6.1.2)

  • ISO 27701 Clausule 5.4.1.3 (Referenties ISO 27001 Controle 6.1.3)

  • ISO 27701 Clausule 5.4.2 (Referenties ISO 27001 Controle 6.2)

Twee subclausules (5.4.1.2 en 5.4.1.3) bevatten beide richtlijnen die rechtstreeks verband houden met artikel 32 van GDPRmeer specifiek, secties (1)(b), (2).

Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.

Ga naar onderwerp
Behaal ISO 27701-succes

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISO 27701 Clausule 5.4.1.1 – Algemeen

Referenties ISO 27001 Controle 6.1.1

In het algemeen moeten organisaties een risicospecifieke aanpak hanteren bij het plannen van een PIMS die:

  1. Werkt aan het bouwen van een PIMS dat een reeks specifieke doelstellingen voor privacybescherming bereikt.

  2. Streeft ernaar om eventuele nadelige effecten volledig uit te roeien of te minimaliseren.

  3. Streeft naar de voortdurende ontwikkeling en stapsgewijze verbetering van activiteiten op het gebied van PII en privacybescherming.

Bij het opstellen van een plan moeten organisaties:

  1. Houd rekening met de specifieke acties die nodig zijn om eventuele risico's aan te pakken en implementeer deze in een PIMS.

  2. Evalueer voortdurend hun aanpak.

Relevante ISO 27001-controles

De richtlijnen in ISO 27701 5.4.1.1 zijn nauw verbonden met het vermogen van een organisatie om haar eisen te begrijpen, en de verwachtingen van interne en externe medewerkers en PII-onderwerpen wier gegevens de organisatie bewaart.

  • ISO 27001 4.1 – Inzicht in de organisatie en haar context.

  • ISO 27001 4.2 – Inzicht in de behoeften en verwachtingen van geïnteresseerde partijen.

ISO 27701 Clausule 5.4.1.2 – Risicobeoordeling van informatiebeveiliging

Referenties ISO 27001 Controle 6.1.2

Organisaties moeten een risicobeoordelingsproces voor privacybescherming in kaart brengen en implementeren dat:

  • Omvat risicoacceptatiecriteria voor het uitvoeren van beoordelingen van de privacybescherming.

  • Biedt een raamwerk voor de vergelijkbare analyse van alle beoordelingen van privacybescherming.

  • Identificeert risico's op het gebied van privacybescherming (en hun eigenaren).

  • Houdt rekening met de gevaren en risico's die inherent zijn aan het verlies van 'vertrouwelijkheid, beschikbaarheid en integriteit' van PII.

  • Analyseert de risico's op het gebied van privacybescherming naast drie factoren:

    • Hun mogelijke gevolgen.

    • De waarschijnlijkheid dat ze voorkomen.

    • Hun ernst.

  • Analyseert en prioriteert alle geïdentificeerde risico's in overeenstemming met hun risiconiveau.

Aanvullende PIMS- en PII-richtlijnen

Organisaties moeten risicobeoordelingsactiviteiten richten die niet alleen betrekking hebben op informatiebeveiliging, maar ook een aanvulling vormen op de implementatie van een PIMS en op de verwerking en opslag van PII.

Organisaties moeten rekening houden met de gevolgen, niet alleen voor het bedrijf zelf, maar ook voor eventuele PII-opdrachtgevers, mocht er zich een probleem voordoen.

Toepasselijke AVG-artikelen

  • Artikel 32 – Beveiliging van verwerking

    • Toepasselijke secties – (1)(b), (2)

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Wij zijn kosteneffectief en snel

Ontdek hoe eenvoudig ISO 27701 is met ISMS.online
Vraag uw offerte aan

ISO 27701 Clausule 5.4.1.3 – Behandeling van informatiebeveiligingsrisico's

Referenties ISO 27001 Controle 6.1.3

Organisaties moeten een ‘risicobehandelingsproces’ voor privacybescherming/PII opstellen en implementeren dat:

  1. een 'risicobehandelingsplan' voor privacybescherming implementeren.

  2. identificeert hoe een PIMS individuele risiconiveaus moet behandelen, op basis van een reeks beoordelingsresultaten.

  3. benadrukt een reeks controles die nodig zijn om risicobehandeling op het gebied van privacybescherming te implementeren.

  4. kruisverwijzingen naar alle controles die zijn geïdentificeerd met de uitgebreide lijst van ISO in Bijlage A van ISO 27001.

  5. documenteren en rechtvaardigen van het gebruik van eventuele controles die worden gebruikt in een formele 'Verklaring van Toepasselijkheid'.

  6. Vraag goedkeuring aan eventuele risico-eigenaren voordat u een behandelplan voor privacybeschermingsrisico's opstelt, waarin eventuele 'resterende' privacybeschermings- en PII-risico's zijn opgenomen.

Toepasselijke AVG-artikelen

  • Artikel 32 – Beveiliging van verwerking

    • Toepasselijke secties – (1)(b), (2)

ISO 27701 Clausule 5.4.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken

Referenties ISO 27001 Controle 6.2

Organisatorische doelstellingen voor de bescherming van de privacy moeten:

  • Wees afgestemd op ander informatiebeveiligingsbeleid.

  • Wees kwantificeerbaar, voor rapportage- en beoordelingsdoeleinden.

  • Gegevens uit risicobeoordelingen en risicobehandelingen integreren.

  • Beschikbaar worden gesteld aan alle relevante personeelsleden en betrokkenen.

  • Worden voortdurend verbeterd en bijgewerkt in overeenstemming met operationele resultaten en gebeurtenissen uit de echte wereld.

  • Wees gedocumenteerd.

Gedurende het planningsproces moeten organisaties het volgende vaststellen:

  1. Alle middelen die nodig zijn.

  2. Wie krijgt het eigenaarschap over de doelstellingen, geheel of gedeeltelijk.

  3. Wanneer de gestelde doelstellingen van een organisatie zullen worden bereikt.

  4. Hoe gegevens moeten worden geanalyseerd.

Ondersteunende controles van ISO 27001 en AVG

ISO 27701-clausule-identificatieISO 27701 ClausulenaamISO 27001-vereisteBijbehorende AVG-artikelen
5.4.1.1Algemeen6.1.1 – Algemene aspecten bij het plannen van risico's voor ISO 27001Geen
5.4.1.2Risicobeoordeling informatiebeveiliging6.1.2 – Informatiebeveiligingsrisicobeoordeling voor ISO 27001Artikel (32)
5.4.1.3Behandeling van informatiebeveiligingsrisico's6.1.3 – Informatiebeveiligingsrisicobehandeling voor ISO 27001Artikel (32)
5.4.2Informatiebeveiligingsdoelstellingen en planning om deze te bereiken6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken voor ISO 27001Geen

Hoe ISMS.online helpt

U moet een Privacy Information Management System (PIMS) opzetten om aan ISO 27701 te voldoen. Met ons vooraf gebouwde Privacy Information Management System (PIMS) kunt u snel en efficiënt klant-, leveranciers- en werknemersinformatie organiseren en verwerken om aan de ISO 27701-vereisten te voldoen.

Privacybeoordelingen kunnen eenvoudig worden opgezet en uitgevoerd, variërend van gegevensbeschermingseffectbeoordelingen tot regelgevings- of nalevingsgereedheidsbeoordelingen.

Bekijk ons ​​volledige scala aan functies via een demo boeken.

Bekijk ons ​​platform
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Eenvoudig. Zeker. Duurzaam.

Zie ons platform in actie met een praktijkgerichte sessie op maat, gebaseerd op uw behoeften en doelen.

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie