ISO 27701 Clausule 5.6 uitgelegd: Belangrijkste operationele vereisten
ISO 27701 Clausule 5.6 gaat over de praktijk van het beheersen van de processen, controles en procedures die nodig zijn om te kunnen werken met een robuust privacybeschermingsplan en een privacy-informatiebeheersysteem.
Operationele planning bestrijkt een breed scala aan onderwerpen – van gestructureerde verandermanagementactiviteiten tot risicobeoordelingen op het gebied van privacybescherming en risicobehandelingsplannen de beveiliging van PII verbeteren binnen de grenzen van het netwerk van de organisatie.
Wat wordt er behandeld in ISO 27701, clausule 5.6
ISO 27701 Clausule 5.6 bevat drie subclausules vertrouw op begeleidende richtlijnen binnen ISO 27001:
- ISO 27701 5.6.1 – Operationele planning en controle (referenties ISO 27001 Controle 8.1)
- ISO 27701 5.6.2 – Informatiebeveiligingsrisicobeoordeling (referenties ISO 27001 Controle 8.2)
- ISO 27701 5.6.3 – Behandeling van informatiebeveiligingsrisico’s (referenties ISO 27001 Controle 8.3)
ISO 27701 5.6 bevat geen andere richtlijnen die specifiek betrekking hebben op de implementatie van een PIMS – in plaats daarvan richt de aandacht zich breder op de bescherming van de privacy van organisaties – en bevat ook geen aangrenzende GDPR artikelen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 5.6.1 – Operationele planning en controle
Referenties ISO 27001 Controle 8.1
ISO 27701 Control 5.6.1 schetst ISO's bredere benadering van de planning van privacybescherming. Organisaties moeten interne procedures of processen 'plannen, implementeren en controleren' die relevant zijn voor de bescherming van de privacy en de opslag en verwerking van PII (zie ISO 27001 6.1 & 6.2).
ISO vraagt organisaties ook om gedocumenteerde informatie te bewaren waaruit blijkt dat de privacybeschermingsmaatregelen van de organisatie worden nageleefd en gewijzigd, inclusief eventuele uitbestede activiteiten.
Planning strekt zich ook uit tot verandermanagement. ISO vereist dat organisaties alle interne wijzigingen beheren om het risico voor PII te minimaliseren en eventuele onbedoelde gevolgen van doelbewuste of onbedoelde wijzigingen te evalueren.
Relevante ISO 27001-controles
- 6.1 – Acties om risico's en kansen aan te pakken
- 6.1.2 – Risicobeoordeling van informatiebeveiliging
- 6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken
ISO 27701 Clausule 5.6.2 – Risicobeoordeling van informatiebeveiliging
Referenties ISO 27001 Controle 8.2
Organisaties moeten periodieke risicobeoordelingen op het gebied van privacybescherming uitvoeren in belangrijke fasen van de operatie, zoals bij een grote verandering of onmiddellijk na een beveiligingsincident.
Zoals bij alle PII-gerelateerde activiteiten moeten organisaties elke risicobeoordeling grondig documenteren om de algehele informatiebeveiligingsoperatie te verbeteren en om voldoende bewijs te kunnen leveren aan wet- en regelgevende instanties mocht dat nodig zijn.
Relevante ISO 27001-controles
- 6.1.2 – Risicobeoordeling van informatiebeveiliging
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 5.6.3 – Behandeling van informatiebeveiligingsrisico's
Referenties ISO 27001 Controle 8.3
Naast periodieke risicobeoordelingen moeten organisaties ook een 'risicobehandelingsplan' voor privacybescherming opstellen, dat aanbevelingen moet bevatten die de waarschijnlijkheid en/of impact van eventuele risico's die inherent zijn aan de opslag en verwerking van PII verminderen.
Ondersteunende controles van ISO 27001 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27001-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 5.6.1 | Operationele planning en controle |
8.1 – Operationele planning en controle voor ISO 27001 |
Geen |
| 5.6.2 | Risicobeoordeling informatiebeveiliging |
8.2 – Informatiebeveiligingsrisicobeoordeling voor ISO 27001 |
Geen |
| 5.6.3 | Behandeling van informatiebeveiligingsrisico's |
8.3 – Informatiebeveiligingsrisicobehandeling voor ISO 27001 |
Geen |
Hoe ISMS.online helpt
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27001 als ISO 27701.
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27001- en 27701-certificering met behulp van ISMS.online.
Zie het live met ISMS.online door een demo boeken.
