Begrijpen van ISO 27701 Clausule 5.5.5: Gedocumenteerde informatievereisten
Documentcontrole is een cruciaal onderdeel van elk privacybeschermingssysteem, of zelfs van elk breder informatiebeveiligingsbeleid.
In de diverse normen erkent ISO documentbeheer als een doorlopend proces dat wordt gebruikt om de naleving van zowel de ISO-normen als de eigen doelstellingen op het gebied van privacybescherming van de organisatie aan te tonen.
ISO vraagt organisaties om gedocumenteerde informatie niet alleen als een administratieve functie te beschouwen, maar deze in plaats daarvan te gebruiken als een terugkerend middel om de naleving van de privacybescherming te verbeteren door de gestructureerde opslag van richtlijnen die zorgen voor duidelijke richtlijnen voor PII-gerelateerde activiteiten.
Wat wordt er behandeld in ISO 27701, clausule 5.5.5
ISO 27701 5.5.5 behandelt gedocumenteerde informatie via drie subclausules. Elk behandelt een andere set privacy- en PII-specifieke zaken leidraadpunten die teruggaan naar ISO 27001:
- ISO 27701 Clausule 5.5.5.1 – Algemeen (Referenties ISO 27001 Controle 7.5.1)
- ISO 27701 Clausule 5.5.5.2 – Creëren en bijwerken (Referenties ISO 27001 Controle 7.5.2)
- ISO 27001 Clausule 5.5.5.3 – Beheersing van gedocumenteerde informatie (Referenties ISO 27001 Controle 7.5.3)
ISO 27701 5.5.5 bevat geen aanvullende richtlijnen over PIMS-specifieke vereisten, en is ook niet bijzonder relevant voor specifieke GDPR artikelen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 5.5.5.1 – Algemeen
Referenties ISO 27001 Controle 7.5.1
Het PIMS van de organisatie moet gedocumenteerde informatie bevatten die:
- Is vereist voor naleving van ISO 27701 en ISO 27001;
- Verbetert de efficiëntie van het PIMS en bijbehorende privacybeschermingssystemen.
ISO 27701 Clausule 5.5.5.2 – Creëren en bijwerken
Referenties ISO 27001 Controle 7.5.2
Gedurende het hele proces van het opstellen en wijzigen van documentatie moeten organisaties:
- Voeg een duidelijk identificerend veld toe, met een bijbehorende omschrijving;
- Zorg ervoor dat documenten correct zijn opgemaakt en beschikbaar zijn via de juiste bronnen – zowel fysiek als elektronisch;
- Houd u aan een gestructureerd wijzigingsproces dat documenten beoordeelt op basis van hun vermogen om de relevante informatie over te brengen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 5.5.5.3 – Beheersing van gedocumenteerde informatie
Referenties ISO 27001 Controle 7.5.3
Organisaties moeten adequate niveaus van controle en beveiliging uitoefenen op hun interne documentstructuur, zodat wordt gegarandeerd dat documenten:
- Toegankelijk, indien en wanneer vereist, door de relevante autoriteiten en/of personeel.
- Veilig en beschermd tegen ongeoorloofd gebruik, inbreuk op de vertrouwelijkheid of enig ander verlies van gegevensintegriteit;
ISO 27701 Controle 5.5.5 vraagt organisaties om vier hoofdactiviteiten te overwegen bij het uitoefenen van controle over documenten die verband houden met privacybescherming:
- Distributie (inclusief toegang en gebruik).
- Opslag (inclusief documentbewaring).
- Versiebeheer.
- Retentie.
Naast het beheer van interne documenten vraagt ISO organisaties om na te denken over de beste manier om hun interacties met en controle over externe documenten te beheren die nodig zijn voor de planning en implementatie van een PIMS of andere privacy/PII-gerelateerde activiteiten.
Ondersteunende controles van ISO 27001 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 5.5.5.1 | Algemeen |
7.5.1 – Algemene documentatie voor ISO 27001 |
Geen |
| 5.5.5.2 | Creëren en bijwerken |
7.5.2 – Gedocumenteerde informatie voor ISO 27001 creëren en bijwerken |
Geen |
| 5.5.5.3 | Controle van gedocumenteerde informatie |
7.5.3 – Beheersing van gedocumenteerde informatie voor ISO 27001 |
Geen |
Hoe ISMS.online helpt
Om ISO 27701 te behalen moet u een Privacy Informatie Management Systeem (PIMS) bouwen.
Met ons voorgeconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en personeelsinformatie organiseren en beheren om volledig te voldoen aan ISO 27701.
Zie het in actie met by een demo boeken.
